Supply Chain: rischi e soluzioni nella gestione delle terze parti

ICT-Insider-Supply-Chain-Cybersecurity

“Se non riceverò una chiamata il 12 dicembre, lo considererò un successo”. Con queste parole, pronunciate nel 2020 dal Presidente e CEO di SolarWinds, Sudhakar Ramakrishna, si cercava di sdrammatizzare a poche ore dalla presa di coscienza, da parte dell’azienda stessa, di essere stata vittima di una delle operazioni di cyber-spionaggio più complesse mai realizzate.

L’attacco a SolarWinds è senza dubbio uno degli esempi più eloquenti ed interessanti che rientrano nella categoria dei c.d. supply chain attack. In generale, queste violazioni si verificano allorché un attaccante riesca a penetrare all’interno di una rete o sistema target dopo aver compromesso un fornitore legato al bersaglio designato. In altri termini, anziché colpire direttamente la vittima finale si attacca l’anello debole della catena di fornitura informatica su cui la vittima fa affidamento. Senza considerare che, in tal modo, da un lato la superficie d’attacco ne risulterà ampliata – con conseguente aumento delle probabilità di colpire anche bersagli ulteriori – dall’altro, l’attaccante avrà la possibilità di rendersi ancor meno visibile.

 

Il caso SolarWinds

Nel caso specifico di SolarWinds, azienda fornitrice di soluzioni per la gestione di reti di terze parti, l’attacco è conseguito ad una compromissione del software proprietario Orion. L’attaccante – utilizzando un malware denominato SUNBURST[1] come componente malevolo all’interno di un aggiornamento del suddetto software – è riuscito ad accedere all’interno delle reti e infrastrutture delle vittime, esfiltrando dati, aumentando i privilegi e, come ogni kill chain che si rispetti, attuando lateral movements funzionali alla propagazione dell’infezione e garantendosi persistenza attraverso l’utilizzo della tecnica c.d. Golden SAML, del tutto inedita.

Si stima che l’attacco di cui si discute abbia ad oggi potenzialmente coinvolto quasi ventimila aziende. Tra queste, quella che ha fatto più notizia in ambienti di cybersecurity è stata sicuramente (ironia della sorte) FireEye, società statunitense specializzata in sicurezza di reti informatiche, in cui gli hacker sono riusciti ad accedere alla rete interna e trafugare strumenti di penetration testing, cagionando all’azienda un danno d’immagine, oltre che economico, di non poco conto.

Va sottolineata, infine, la presenza di dipartimenti governativi tra i bersagli, elemento che suggerisce la considerazione che, molto probabilmente, il vero obiettivo dell’attacco fosse proprio l’information gathering relativo a strategie diplomatiche e di difesa militare degli Stati Uniti d’America.

Come già sottolineato in precedenza, l’attacco a SolarWinds può essere considerato, per molti versi, un unicum nel panorama dei supply chain attacks, i quali non sono tuttavia una novità. Basti pensare che già nel 2019 la CISA (Cybersecurity and Infrastructure Security Agency) aveva sottolineato come le agenzie federali, nell’anno precedente, avessero dovuto affrontare quasi duecento minacce relative alla sola catena di approvvigionamento digitale. Senza considerare, poi, il recente moltiplicarsi delle minacce alla supply chain rivolte alle strutture sanitarie, con riguardo ai processi di approvvigionamento del vaccino COVID-19. Pertanto, risulta pacifico affermare che – a seguito di un generale rafforzamento della cybersecurity delle infrastrutture IT delle organizzazioni pubbliche e private – i black hats hanno rivolto la loro attenzione verso gli asset dei fornitori.

 

La gestione delle terze parti e il GDPR

L’estrema attualità ed importanza della gestione delle terze parti è sottolineata dall’attenzione ad esso rivolta dalla normativa cogente e volontaria in tema di privacy e cybersecurity.

In questo contesto, occorre fare innanzitutto riferimento all’art. 28 del Reg. 2016/679 (GDPR, General Data Protection Regulation), il quale raccomanda ai titolari del trattamento di affidarsi unicamente a fornitori (responsabili del trattamento) che assicurino “garanzie sufficienti” – misurabili in termini di solidità ed affidabilità delle infrastrutture e delle risorse – “per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento”[2].

Da questa statuizione, consegue l’instaurazione di un vincolo sia formale che sostanziale tra organizzazione e fornitore. Il successivo paragrafo 3 dell’art. 28 GDPR, infatti, impone in primo luogo la sussistenza di una formale costituzione del rapporto sulla base di un “contratto o altro atto giuridico a norma del diritto dell’Unione Europea”: trattasi del c.d. DPA (Data Processing Agreement), in cui devono essere indicate, tra l’altro, elementi quali la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti dei titolari del trattamento.

Oltre a ciò, l’articolo in esame delinea una serie di prescrizioni sostanziali e procedurali, non limitandosi dunque ad un mero formalismo. Il contratto deve infatti prevedere che ciascun fornitore, in qualità di Responsabile del trattamento:

        1. tratti i dati personali soltanto su “istruzioni documentate” del Titolare, anche nell’ipotesi di trasferimento extra-UE;
        2. garantisca l’impegno/obbligo legale alla riservatezza dei propri dipendenti autorizzati al trattamento dei dati personali;
        3. assista il Titolare nell’assicurare le richieste per l’esercizio dei diritti degli interessati, nella gestione di eventuali data breach e nelle valutazioni di impatto sulla protezione dei dati personali (DPIA);
        4. metta a disposizione del Titolare tutte le informazioni necessarie per dimostrare la compliance al GDPR, consentendo agli stessi l’esecuzione di appositi audit di seconda parte;
        5. adotti tutte le misure di sicurezza ai sensi dell’articolo 32 GDPR.

Va sottolineato, infine, che le misure di sicurezza ex art. 32 GDPR, riferite alla “protezione” dei processi di supply chain, sono ben delineate nell’allegato III della Decisione di Esecuzione 2021/915 del 4 giugno 2021, con cui la Commissione UE ha adottato le c.d. “Clausole Contrattuali Tipo”.

In esso, si precisa che tutte le misure di sicurezza devono essere specificate in dettaglio all’interno del contratto e vengono proposti alcuni esempi di possibili misure, con riguardo, tra l’altro:

        • alla identificazione e autorizzazione dell’utente (in applicazione dei famosi principi di least privilege e need to know);
        • alla pseudonimizzazione e alla cifratura dei dati personali;
        • alla tutela dei requisiti di riservatezza, integrità e disponibilità dei dati;
        • alla predisposizione di procedure di assessment circa l’efficacia delle misure tecniche e organizzative poste in essere.

Risulta evidente, pertanto, che l’implementazione di siffatta architettura a sostegno dei processi di fornitura ed approvvigionamento, può offrire sicure garanzie di solidità e robustezza, in cui i possibili “anelli deboli” all’interno della supply chain vengono ad essere tutelati da possibili attacchi e minacce.

 

La normativa nazionale: il Perimetro di Sicurezza Nazionale Cibernetica

A livello nazionale, anche il legislatore italiano ha dimostrato una particolare sensibilità con riferimento alla “messa in sicurezza” della catena di fornitura, proprio alla luce del recente moltiplicarsi degli attacchi alla suddetta filiera.

In particolare, nell’ambito del D.L. n. 105 del 2019 (convertito con modifiche in Legge 18 novembre 2019, n. 133) istitutivo del Perimetro di Sicurezza Nazionale Cibernetica, nonché nei numerosi DPCM che hanno fatto seguito ad esso, è stato affrontato con attenzione il tema della previsione di specifici obblighi per le imprese che nella catena di approvvigionamento utilizzano servizi/beni ICT di terze parti.

Il quadro che viene di conseguenza a delinearsi testimonia la centralità della cybersecurity per gli interessi del Paese, anche con riguardo alla necessità di un’attività di risk management in tutte le fasi della supply chain, al fine di “minimizzare” il rischio legato all’utilizzo di fornitori terzi da parte delle organizzazioni inserite nel campo di applicazione del Perimetro.

Nello specifico, le aziende in esame possono certamente avvalersi del contributo di soggetti esterni per la fornitura di asset ICT funzionali all’erogazione dei loro servizi essenziali. Tale circostanza deve essere tuttavia prontamente notificata al CVCN (Centro di Valutazione e Certificazione Nazionale), allegando a tale comunicazione gli esiti di una risk evaluation condotta in relazione all’oggetto della fornitura e all’ambito di impiego. Il CVCN, organo istituito presso il MISE, è infatti deputato a svolgere un’attività di verifica di secondo livello sui prodotti e servizi offerti dal fornitore, attraverso un’attività di testing che può condizionare sospensivamente o risolutivamente il contratto di fornitura stesso.

Oltre a ciò, il legislatore ha ritenuto opportuno procedere all’individuazione di quattro categorie di beni e servizi ICT destinati ad essere impiegati nel Perimetro di sicurezza nazionale cibernetico, dimostrando una spiccata sensibilità ai temi del controllo della filiera di approvvigionamento. Tali categorie sono:

        1. Componenti hardware e software che svolgono funzionalità e servizi di rete di telecomunicazione (accesso, trasporto, commutazione)
        2. Componenti hardware e software che svolgono funzionalità per la sicurezza di reti di telecomunicazione e dei dati da esse trattati
        3. Componenti hardware e software per acquisizione dati, monitoraggio, supervisione controllo, attuazione e automazione di reti di telecomunicazione e sistemi industriali e infrastrutturali
        4. Applicativi software per l’implementazione di meccanismi di sicurezza.

Sulla base del predetto elenco, i soggetti rientranti nel Perimetro Nazionale di Sicurezza Cibernetica sono dunque tenuti ad effettuare un attento controllo con riferimento alla qualificazione dei beni, dei sistemi e dei servizi oggetto dei propri contratti di fornitura, al fine di adempiere ai citati obblighi di previa comunicazione in caso di corrispondenza con quelli contenuti nell’elenco medesimo. È evidente, allora, che anche ai sensi della normativa sul Perimetro tutte le organizzazioni impegnate nella fornitura di beni e servizi devono garantire elevati standard di sicurezza e affidabilità.

Diventa altresì necessario, per ciascun fornitore, implementare una serie di attività (VAPT, code review, ecc.) prodromiche alle verifiche che potrebbero essere svolte, durante tutte le fasi dell’approvvigionamento, dall’organizzazione-cliente ovvero dalle Autorità preposte (CVCN). Infine, l’affidabilità del supplier potrà essere dimostrata, tra l’altro, anche attraverso opportune certificazioni, di prodotto e/o di processo.

 

A conclusione di questo breve excursus, emerge con chiarezza la inevitabile commistione supply chain e cybersecurity, due concetti senz’altro autonomi e distinti ma che condividono il medesimo scopo: garantire adeguati livelli di efficacia ed efficienza nella catena di fornitura ed approvvigionamento. In altri termini, è nell’interconnessione tra persone, processi e tecnologie propria della catena di fornitura che si innesta la cybersecurity – funzionale alla protezione della riservatezza, integrità e disponibilità delle informazioni – con l’obiettivo finale di riuscire a garantire, per quanto possibile, la “cyber safety” della catena di fornitura medesima.

 

 

 

 

[1] Come sottolineato dall’azienda di cybersicurezza russa Kaspersky, SUNBURST non agiva da solo, ma le sue funzionalità beneficiavano del contributo di una backdoor già identificata e conosciuta come KAZUAR, nonché di altri due malware denominati SUNSPOT e TEARDROP.

[2] Così, l’art. 28 GDPR.

ICT Cyber Consulting
ictcc_WP@ictcyberconsulting.com