I servizi di sicurezza che controllano la catena di approvvigionamento del cliente hanno buone possibilità di successo. Le valutazioni di cybersecurity stanno diventando sempre più parte degli audit dei fornitori. Le soluzioni per il canale sono già disponibili.
È lo scenario peggiore per tutti i tipi di imprese: Le aziende sono le meno preparate per gli attacchi alla catena di approvvigionamento con i loro alti costi di mitigazione, dice l'agenzia di cybersicurezza dell'UE ENISA. Poiché non c'è una buona soluzione per difendersi da un attacco alla catena di approvvigionamento, l'impatto può essere massiccio, aggiunge l'ENISA. Ovviamente, gli attacchi alla catena di approvvigionamento devono essere prevenuti in anticipo, attraverso la scansione della vulnerabilità dei fornitori e dei fornitori a monte. Finora, però, molte aziende non sono riuscite a farlo.
Gli attacchi alla supply chain sono in aumento
Per esempio, lo studio di Sophos "The Impossible Puzzle of Cybersecurity" ha scoperto che il 75% dei manager IT intervistati considera gli exploit, le vulnerabilità senza patch o le minacce zero-day come il più alto rischio di sicurezza. Solo il 16% dei manager IT ha in mente gli attacchi alla supply chain come un rischio per la sicurezza IT. Gli attacchi alla catena di approvvigionamento sono un modo efficace per i criminali informatici di condurre attacchi automatizzati in cui selezionano un'azienda da un pool più ampio di vittime potenziali e poi entrano attivamente in quella specifica organizzazione utilizzando tecniche da mano a tastiera per raggiungere il loro obiettivo senza essere scoperti", ha detto Chester Wisniewski, principale ricercatore di Sophos.
Audit della catena di fornitura anche nella sicurezza
Le aziende che producono o configurano prodotti IT per l'uso in aree sensibili dovrebbero prendere misure efficaci nella sicurezza della catena di fornitura, dice il BSI (Ufficio federale tedesco per la sicurezza informatica). Questo include la documentazione completa dei processi di produzione e configurazione dei singoli componenti, come è richiesto per la certificazione dei gateway per contatori intelligenti da parte del BSI. Le certificazioni possono essere importanti ancore di fiducia per la sicurezza dei prodotti IT e anche delle catene di fornitura e quindi aumentare il livello generale di sicurezza IT in Germania, secondo il BSI.
Una catena di fornitura insicura esiste, per esempio, quando componenti con firmware già compromessi arrivano al produttore, che poi li installa non testati. Ci sono stati abbastanza esempi di questo nel recente passato, compresi gli smartphone con malware preinstallato di cui la BSI ha messo in guardia.
I rischi associati alla globalizzazione richiedono ai fornitori un approccio sistematico e dettagliato ai processi della catena di approvvigionamento, spiega anche l'agenzia europea ENISA. Il rischio che un aggressore introduca una vulnerabilità nella catena di approvvigionamento non è nuovo, e mitigarlo si è dimostrato estremamente difficile. Una definizione accurata dei requisiti di sicurezza e l'aderenza alle migliori pratiche di sicurezza-by-design dovrebbero essere centrali per mitigare questi rischi.
Con l'aumento degli attacchi alla supply chain, aumenta anche la pressione sui manager della sicurezza, spiegano i ricercatori di mercato di Gartner. Le aziende devono prepararsi a integrare la sicurezza e la gestione dei rischi nei sistemi di fornitura, domanda e produzione, secondo lo studio di Gartner, Get Ahead of the Expanding Risk Frontier: Supply Chain Security. Tuttavia, molte aziende non possono gestire da sole le valutazioni di cybersecurity presso i fornitori e quindi hanno bisogno di un fornitore di servizi. Questo è esattamente dove il canale può fornire supporto e servizi quando si tratta di audit dei fornitori per la sicurezza informatica.
Sono disponibili soluzioni per la sicurezza della catena di approvvigionamento
I servizi di sicurezza della catena di approvvigionamento possono includere tutti i servizi offerti a un'azienda stessa, tranne che sono forniti altrove, ai fornitori e ai partner del cliente, in coordinamento con il cliente e i suoi fornitori da controllare. Per esempio, i test di penetrazione coordinati presso i fornitori sono altrettanto concepibili quanto un'analisi di vulnerabilità per il componente software appena creato che il fornitore consegna al fornitore di servizi prima del cliente. Alcuni esempi di sicurezza della catena di approvvigionamento come servizio:
- Scansioni firmware: Per l'Internet delle cose (IoT), i fornitori di servizi potrebbero offrire un controllo del firmware dei dispositivi che vengono poi installati o implementati dal cliente. Per esempio, l'IoT Inspector offre un corrispondente scanner di vulnerabilità IoT.
- Application Security Testing: La soluzione Supply Chain Security di ZeroNorth offre più strumenti di scansione delle applicazioni incorporati in una piattaforma unificata. La soluzione aiuta ad aumentare la sicurezza della catena di fornitura testando le applicazioni in ogni fase del ciclo di vita dello sviluppo del software (SDLC).
- Certificati e firme:Integrity Security Services aiuta a implementare infrastrutture di sicurezza a livello aziendale per generare e gestire tutte le chiavi, i certificati e le operazioni di firma all'interno della catena di fornitura di un prodotto e attraverso le reti dei partner. Un portale utente fornisce una semplice interfaccia per la firma del software e dei dati in modo che tutte le chiavi del prodotto possano essere protette.
- Security Monitoring: Il Digital Threat Monitoring di FireEye può essere applicato non solo all'azienda stessa, ma anche ai suoi fornitori e partner. Questo servizio può essere combinato con altri dati sulle minacce che mostrano potenziali problemi con i componenti forniti per sviluppare un panorama di minacce e rischi associati alla catena di approvvigionamento. Un tale servizio fornisce anche la base per un punteggio di reputazione e di rischio regolarmente aggiornabile che può essere usato per identificare problemi potenziali o emergenti.
Addendum all'argomento
Consigli dell'agenzia europea per la sicurezza informatica ENISA per una catena di fornitura sicura
- Mantenere una piccola base di fornitori in modo da avere un controllo più stretto sui vostri fornitori.
- Fornire la sicurezza integrata nel progetto per rilevare qualsiasi accesso non autorizzato precedente all'ambiente di produzione.
- Fornire stretti controlli sui fornitori.
- Condurre occasionalmente audit in loco dei fornitori e far visitare regolarmente i siti dal personale per garantire un migliore controllo.
- Assicurare la stretta osservanza dei requisiti di reporting prescritti dal quadro normativo dell'UE.
- Prevedere una stretta collaborazione con le autorità investigative in caso di un incidente con implicazioni penali.
Chiarire la responsabilità nei contratti
Nella gestione della qualità, la selezione e il controllo di fornitori e subappaltatori è una pratica standard. Tuttavia, la sicurezza informatica non è ancora coerentemente riconosciuta come parte della qualità del prodotto. Pertanto, gli audit dei fornitori sotto forma di valutazioni di cybersecurity devono essere spiegati ad alcuni fornitori. Alcune industrie, tuttavia, prevedono da tempo dei controlli presso i loro fornitori. Un esempio è TISAX (Trusted Information Security Assessment Exchange) nell'industria automobilistica.
Se certe soluzioni di sicurezza, procedure o certificati sono richiesti devono essere determinati dal cliente. Come fornitore di servizi, si controlla quindi la conformità con i requisiti di sicurezza fissati per contratto. Il contratto del fornitore dovrebbe anche stipulare che il fornitore di servizi può effettuare alcuni controlli per conto del cliente. Va da sé che le disposizioni sulla protezione dei dati e la riservatezza devono essere rispettate.
I fornitori di servizi di sicurezza devono dichiarare precisamente ai loro clienti che controlleranno la sicurezza dei fornitori, ma non che si sostituiranno a loro e la garantiranno. Naturalmente, può succedere che il fornitore sottoposto ad audit voglia poi anche servizi di sicurezza dal fornitore di servizi per colmare le lacune identificate. Tuttavia, tali offerte devono sempre essere strettamente separate dalla valutazione della sicurezza informatica, perché la sicurezza ha bisogno di fiducia e indipendenza.
>