DI LUCA URCIUOLI
Professore aggregato di Gestione della Supply Chain del Programma MIT-Saragozza
Le minacce informatiche sono una preoccupazione crescente per le aziende. Solo nel 2021, gli esperti di sicurezza informatica hanno rilevato un aumento del 15,1% del numero di attacchi informatici e violazioni dei dati rispetto all'anno precedente. Si prevede che il numero continuerà a crescere a causa di tendenze in forte espansione come l' industria 4.0 e la digitalizzazione dei processi, che vengono adottate dalle aziende di tutto il mondo. Sia le industrie che i governi a livello globale devono gestire queste tendenze con cautela, garantendo la corretta implementazione di soluzioni e strategie che migliorino la sicurezza e la solidità dell'intera catena di approvvigionamento.
Motivazioni degli attacchi informatici
Le ragioni degli attacchi informatici possono essere molto diverse sebbene le tre principali siano: motivazioni economiche, ideologiche e geopolitiche. I problemi di sicurezza, come i furti e le contraffazioni nelle catene di fornitura, non sono nuovi per le aziende. Tuttavia, rafforzare la protezione con misure di sicurezza fisica può spostare gli attacchi verso livelli più vulnerabili, ovvero i sistemi informatici. Attraverso gli attacchi informatici, come la manipolazione e la copia dei dati o il sabotaggio dei dispositivi di sicurezza, le organizzazioni criminali rubano più facilmente denaro o altri beni, oltre a commettere reati di proprietà intellettuale.
In alcuni casi, gli attacchi vengono perpetrati sulla base di specifiche ideologie (il cosiddetto hacktivismo) inviando un messaggio "per disturbare, mettere in imbarazzo o fare un esempio del loro obiettivo o di tutti" (Urciuoli et al. 2013). Ad esempio, sono stati registrati attacchi informatici per condannare le azioni delle industrie che non rispettano le politiche di sostenibilità. Anche il terrorismo e gli ideali religiosi possono essere alla base degli attentati per punire gruppi di persone e persino far sprofondare un Paese nella paura o nel panico.
In ultima analisi, le tensioni geopolitiche si trasformano spesso in guerra informatica, ovvero in gruppi di hacker che causano danni e interrompono le funzioni vitali della società. Recentemente, le aziende italiane del settore energetico ed elettrico sono state oggetto di attacchi informatici che hanno portato all'interruzione delle forniture di gas ed elettricità. Inoltre, gli hacker potrebbero rubare e raccogliere informazioni sensibili dai Paesi o utilizzare i media e i canali di comunicazione a fini propagandistici per minare i regimi esistenti.
Sofisticatezza degli attacchi alla supply chain
Per minaccia informatica si intende qualsiasi attività che mira a compiere azioni illecite contro individui o organizzazioni per mezzo di computer, reti o dispositivi hardware. Le aziende possono essere compromesse non solo in termini di accesso ai dati riservati dei dipendenti, dei clienti o dei fornitori, ma anche alla proprietà intellettuale, come i progetti di nuovi prodotti.
Le violazioni informatiche possono bloccare qualsiasi azienda, incidendo sulla produttività, sulle vendite, sull'evasione degli ordini e sulla soddisfazione dei clienti. In casi estremi, gli hacker potrebbero manipolare i PLC (Controllori Logici Programmabili) negli impianti di produzione, con un impatto sulla qualità e sulla reputazione del marchio e, potenzialmente, creando problemi di sicurezza per la società.
Attacchi isolati
Guardando al passato, gli hacker hanno causato danni sostanziali attaccando nodi isolati di una catena di approvvigionamento. Ad esempio, il 4 dicembre 2020, un gruppo di hacker ha attaccato PickPoint, un'azienda di e-commerce specializzata in armadietti per pacchi. L'azienda disponeva di una rete di 8.000 armadietti situati nelle città di Mosca e San Pietroburgo, in spazi aperti e liberamente accessibili. Attraverso un attacco informatico, 2.732 armadietti situati a Mosca sono stati aperti e sono stati rubati i pacchi all'interno, dimostrando la vulnerabilità dell'ultimo miglio nelle supply chain.
Attacchi legati al sequestro di dati
Un'altra tecnica di attacco alle catene di fornitura prevede l'uso di malware in grado di infettare i computer della catena. Ad esempio, nel 2017, il virus NotPetya ha compromesso i sistemi del conglomerato logistico Maersk e si è diffuso tra le industrie e i porti marittimi, infettando più di 200.000 computer in 150 Paesi e causando danni per miliardi di dollari. Quando Maersk si è resa conto della velocità con cui il virus si stava diffondendo nella sua rete di partner e clienti, ha deciso di chiudere completamente i suoi sistemi informatici per tre giorni. Di conseguenza, i terminal portuali hanno dovuto interrompere le operazioni, lasciando migliaia di imbarcazioni in attesa sulle banchine o ancorate in mare.
Il virus NotPetya ha seguito uno schema simile a quello del cyberattacco WannaCry, bloccando l'accesso ai computer con il messaggio "un disco contiene errori e deve essere riparato". Per sbloccare i computer, alle persone colpite è stato chiesto di pagare un riscatto. Maersk è riuscita a ricostruire l'intera infrastruttura IT in 10 giorni e a ripristinare gradualmente le proprie attività. Tuttavia, si stima che l'azienda abbia subito perdite per 300 milioni di dollari e danni incommensurabili alla sua reputazione, in particolare a causa della copertura mediatica seguita all'attacco informatico.
Attacchi alla supply chain
Negli ultimi anni, gli attacchi informatici sono diventati più complessi e gli autori più consapevoli dell'importanza della catena di fornitura per le organizzazioni attaccate. Di conseguenza, molte grandi aziende hanno rafforzato la loro protezione contro gli attacchi informatici. Tuttavia, gli hacker hanno scoperto che le aziende più piccole che fanno parte della stessa catena di fornitura sono più vulnerabili e possono usarle come trampolino di lancio per attaccare i loro fornitori o acquirenti, compresi i grandi gruppi di venditori. Gli esperti informatici hanno coniato il termine "attacco alla catena di approvvigionamento" per classificare questi eventi.
Nel 2020, ad esempio, gli hacker sono riusciti a infiltrarsi in SolarWind, un fornitore di soluzioni software per la supply chain. Hanno introdotto un virus noto come Trojan backdoor nel software Orion utilizzato da SolarWind, compromettendo i dati, le reti e i sistemi di tutte le aziende che utilizzano il software Orion. Questo hackeraggio ha colpito più di 18.000 organizzazioni e si ritiene che abbia compromesso nove agenzie federali e un centinaio di aziende del settore privato. L'aspetto più preoccupante è che gli hacker sono rimasti inosservati per diversi mesi, probabilmente rubando ed esponendo enormi quantità di dati. Non si è trattato di un attacco isolato, poiché incidenti simili sono stati registrati nel maggio e nel luglio 2021 con cyberattacchi rispettivamente a Colonial Pipeline (importante operatore di gasdotti statunitense) e a Kaseya (società di software).
Passi importanti per proteggere le catene di approvvigionamento dalle minacce informatiche
È chiaro che le supply chain e le tendenze attuali, come l'automazione e la digitalizzazione, portano numerosi vantaggi alle imprese e alla società. I ricercatori hanno ripetutamente dimostrato che queste tecnologie possono migliorare in modo significativo la produttività, l'efficacia dei costi delle operazioni, i tempi di commercializzazione e i tempi di risposta ai clienti.
La condivisione delle informazioni lungo la catena di fornitura riduce l'effetto frusta e aiuta i manager a ottimizzare le scorte di sicurezza e a sincronizzare i passaggi di consegne nella catena di fornitura. Altre informazioni che le aziende devono condividere nella catena di fornitura sono la progettazione di nuovi prodotti o altri documenti interni relativi a piani strategici legati a programmi di sviluppo dei fornitori. Tutto ciò contribuisce a rendere la catena di fornitura più competitiva e a guadagnare quote di mercato.
Misure di sicurezza informatica
L'interconnessione tra gli attori logistici deve essere rafforzata con una protezione informatica specializzata per garantire una supply chain priva di attacchi informatici. In altre parole, un'organizzazione non può proteggere da sola le proprie operazioni e attrezzature senza coinvolgere tutti i fornitori e i professionisti della sicurezza informatica.
Esistono standard e certificazioni per supportare le organizzazioni che vogliono migliorare la loro protezione contro le minacce informatiche, come lo standard internazionale ISO/IEC 27001 e il NIST 800-55 del National Institute of Standards and Technology (NIST), un'agenzia del Dipartimento del Commercio degli Stati Uniti. Lo standard ISO/IEC 27001 incorpora una serie di procedure di controllo che consentono alle aziende di garantire la sicurezza dei loro livelli ICT. Queste procedure comprendono, ad esempio, il controllo degli accessi, la sicurezza fisica, l'approvvigionamento del sistema, le procedure di manutenzione e le relazioni con i fornitori. Lo standard NIST 800-55 propone una solida metodologia per identificare e misurare gli impatti dei controlli di sicurezza in tre categorie: implementazione, efficienza ed efficacia e misure di impatto organizzativo.
Il NIST, in particolare, ha sviluppato un approccio specializzato (la guida NIST Cybersecurity Supply Chain Risk Management -C-SCRM- practices) per affrontare la cybersecurity nelle catene di fornitura, concentrandosi principalmente su appalti, contratti con i fornitori e condivisione delle informazioni. Di conseguenza, attività come la selezione dei fornitori, le offerte, le richieste di preventivo, la valutazione delle proposte e le condizioni contrattuali devono essere svolte in conformità ai requisiti di sicurezza informatica stabiliti.
L'interconnessione tra gli attori logistici deve essere rafforzata con una protezione specializzata per garantire una supply chain priva di attacchi informatici dall'inizio alla fine
Inoltre, si prevede che l'audit e il monitoraggio delle prestazioni dei fornitori integrino i rischi di cybersecurity e rivalutino i termini e le condizioni contrattuali con i fornitori, al fine di stabilire una risposta che attenui i danni nel caso in cui venga rilevata una violazione. La guida del NIST copre anche le pratiche rilevanti per formare i responsabili, come le politiche e gli accordi di condivisione delle informazioni, i flussi di lavoro per la pubblicazione e il consumo delle informazioni, la protezione dei dati e il supporto continuo per qualsiasi informazione condivisa con i fornitori.
Protezione dei dati dei consumatori
Un'altra responsabilità primaria delle aziende riguarda la protezione dei dati dei consumatori lungo tutta la catena di fornitura. Le aziende che operano nel settore dell'e-commerce e della vendita al dettaglio devono disporre di sistemi di protezione delle informazioni dei clienti per evitare che gli hacker possano perpetrare attacchi e rubare identità o carte di credito (un gruppo di hacker, ad esempio, ha rubato milioni di dati di carte di credito dalla rete PlayStation di Sony). Per la società, la privacy è sinonimo di fiducia, rispetto e libertà di pensiero. Ma soprattutto, limita il potere politico: "più qualcuno sa di noi, più potere può avere su di noi". Pertanto, la protezione dei dati diventa ancora più critica dal punto di vista geopolitico e della sicurezza nazionale quando, ad esempio, vengono utilizzati per attuare strategie di propaganda da parte di gruppi di hacker.
I Paesi europei stanno lavorando sodo per preparare quadri legislativi in grado di garantire la protezione dei dati personali. I siti web o altre applicazioni, come i negozi online, gli spazi di apprendimento digitale o le app per i trasporti, spesso richiedono dati personali per potersi registrare. Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (UE) 2016/679 contiene norme rigorose per proteggere il trattamento dei dati, stabilendo linee guida per "il trattamento da parte di un individuo, di un'impresa o di un'organizzazione di dati personali relativi a persone fisiche nell'Unione europea”. Secondo il GDPR, i dati personali si riferiscono a informazioni o parti di informazioni che potrebbero essere raccolte per identificare un particolare individuo. Tuttavia, le politiche e i regolamenti esistenti non sono stati redatti per disciplinare in modo specifico le operazioni di trasporto intelligente (ITS) e, pertanto, è probabile che nei prossimi anni si assisterà allo sviluppo di nuovi quadri legislativi.
La cybersecurity, in conclusione, gioca un ruolo fondamentale nel processo di trasformazione che la supply chain sta subendo grazie alle pratiche consigliate dall’Industria 4.0. I consigli di amministrazione devono affrontare queste sfide sviluppando nuove strategie che incorporino un modello di sicurezza informatica noto come Zero Trust (Modelli di sicurezza Fiducia Zero), nonché sistemi che consentano di rilevare e rispondere agli attacchi informatici.
La sicurezza informatica deve migliorare ed estendersi all'intera supply chain, dall’inizio alla fine, e alle sue funzioni interne. Allo stesso modo, gli standard esistenti sono disponibili per implementare misure di sicurezza lungo tutta la catena di approvvigionamento, eliminando i punti deboli del sistema che gli hacker potrebbero sfruttare per perpetrare attacchi.
Dr. Luca Urciuoli Professore aggregato nel Programma Internazionale di Logistica MIT-Saragozza. Inoltre, è Professore associato del KTH Royal Institute of Technology (Stoccolma, Svezia) e ricercatore nel Centro per il Trasporto e la Logistica del MIT.
Articoli
- Boyens, Jon M. 2022. Cybersecurity Supply Chain Risk Management for Systems and Organizations.
- Desai, Avani. n.d. Council Post: The Urgent Concern That Boardrooms Must Brace for in 2022: Supply Chain Cyberattacks. Forbes. Accessed September 14, 2022.
- EU Data Protection Rules. 2019. European Commission. 2019.
- Kaspersky. 2019. What Is Cyber Security? Kaspersky.com. 2019.
- Levy-Bencheton, Cédric, and Eleni Darra. 2015. Review of Cyber Security and Resilience of Intelligent Public Transport. Good Practices and Recommendations. Edited by European Union Agency for Network and Information Security (ENISA). ENISA Reports, December.
- Oladimeji, Saheed, and Sean Michael Kerner. 2022. SolarWinds Hack Explained: Everything You Need to Know. WhatIs.com. June 29, 2022.
- PlayStation Network: Hackers Claim to Have 2.2m Credit Cards. 2011. The Guardian. April 29, 2011.
- Protection of Personal Data and Privacy. n.d. Www.coe.int.
- Solove, Daniel J. 10 Reasons Why Privacy Matters. TeachPrivacy. January 20, 2014.
- Supply Chain Attack Examples.” n.d. Www.ncsc.gov.uk.
- Urciuoli, Luca, Toni Männistö, Juha Hintsa, and Tamanna Khan. 2013. “Supply Chain Cyber Security – Potential Threats.” Information & Security: An International Journal 29: 51–68.
- Walton, Hilary. n.d. The Maersk Cyber Attack - How Malware Can Hit Companies of All Sizes. Www.kordia.co.nz. Accessed September 14, 2022.