Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Domenica, 29 Maggio 2022
Focus on Supply Chain Security: cos’è e come si affronta il rischio - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Focus on Supply Chain Security: cos’è e come si affronta il rischio - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

GENNAIO 2022

Si chiama Supply Chain 4.0 ed indica la quarta rivoluzione dei sistemi di gestione delle catene di fornitura (supply chain), che integra le operazioni di produzione dell’industry 4.0 con i processi di telecomunicazione e di Information Technology. Oltre agli ovvi obiettivi legati al business, necessari a qualsiasi catena di approvvigionamento (efficienza, tempestività, redditività, interoperabilità) è oggi necessario fronteggiare i rischi operativi digitali e legati alla Cybersecurity.
Lo sviluppo degli attacchi informatici e la protezione da questi è un'area di studio mondiale che procede in parallelo alla adozione pervasiva della digitalizzazione. Le Supply chain 4.0 non sfuggono a questi processi evolutivi e sono quindi sempre più interconnesse e digitalmente abilitate, ma non necessariamente e nativamente resilienti alle minacce informatiche. Anzi i ricercatori che studiano questi temi evidenziano come la catena di approvvigionamento 4.0 abbia una mancanza di standard semantici, scarsa interoperabilità e mancanza di sicurezza nel funzionamento dei processi di produzione e di tecnologia dell'informazione (Fonte Reasearch paper 2020). Quindi i ricercatori evidenziano come ci siano vulnerabilità intrinseche in aggiunta a quelle legate alle tecnologie. Oltre ai prevedibili problemi di digitalizzazione e revisione dei processi fra i fornitori di una catena di approvvigionamento, vi è anche l’integrazione di nuove tecnologie e di interi sistemi digitali: sistemi ERP e gestionali, reti di comunicazione, sistemi integrati abilitanti specifici per settore di mercato, sistemi cyber-fisici, Internet of Things e Industrial Internet of Things ma anche applicazioni di intelligenza artificiale, blockchain, contratti intelligenti. Il rischio di sicurezza legato alla supply chain è quindi un mix di valutazioni di rischio legate non solo all’intero processo visto come un unicum, ma anche legato al singolo sistema digitale coinvolto, con implicazioni sulla tecnologia presa da sola e nelle combinazioni con le altre. Il rischio della catena di approvvigionamento è definito come l'improvvisa probabilità di un attacco informatico che influisca sul livello macro o micro dei processi della catena di approvvigionamento e che porti all'impatto in qualsiasi parte delle operazioni della catena di approvvigionamento incluse le componenti di IT e OT. Si tratta dunque di un sistema complesso di cui garantire la sicurezza informatica a vari livelli di granularità (Fonte Reasearch paper 2020).
Secondo Daniel Stanton autore del libro “Supply Chain Risk Management for dummies”, un sistema di gestione del rischio della catena di approvvigionamento (SCRM) fornisce visibilità per mantenere la catena di approvvigionamento operativa in qualsiasi condizione di mercato o nei casi di un attacco informatico. Un sistema SCRM può contribuire ad evitare rischi prevenibili non solo vagliando e monitorando attentamente i fornitori, ma anche identificando tutte le minacce lungo la catena di approvvigionamento e fornendo i mezzi per collaborare con i partner e mitigare il rischio. Per impostarlo correttamente Daniel Stanton suggerisce un approccio (ispirato allo standard NIST CF n.d.r.) basato sui seguenti passi:

  1. Stabilire le priorità: l primo passo nella costruzione di un processo di gestione del rischio di Supply Chain è determinare quali parti della catena di fornitura saranno incluse. Idealmente, si dovrebbero coprire tutti i prodotti e servizi acquistati dall’azienda e tutti i fornitori, ma molte aziende inizialmente danno la priorità a un sottoinsieme della loro base di fornitura totale, in particolare quelle aree che sono più critiche per la produzione.
  2. Identificare e mappare tutte le componenti della supply chain per la tenuta sotto controllo: Un buon punto di partenza è creare un elenco di oggetti a rischio come, ad esempio, infrastrutture di trasporto o dotazioni particolari per le quali il fornitore è prioritario nella catena di fornitura. I fornitori si distinguono fra primari, secondari etc, quindi idealmente, un processo efficace di gestione del rischio della catena di approvvigionamento dovrebbe identificare gli oggetti di rischio ai diversi livelli in una catena di approvvigionamento.
  3. Identificare i rischi specifici: per ogni fornitore mappato è necessario identificare i rischi che potrebbero avere un impatto su di lui, creando un profilo di rischio specifico costituito dalla valutazione percentuale e dalla valutazione di impatto di ogni voce.
  4. Introdurre misure di protezione per ridurre i rischi: per ogni voce della lista di cui al punto precedente è appropriato prevedere misure di protezione perché la mitigazione è la chiave per diventare proattivi nella gestione del rischio. È necessario anche condividere con i fornitori l’approccio seguito, anche per avere contezza della reale implementazione delle misure di protezione. Di recente anche per le catene di approvvigionamento si stanno adottando approcci di “Zero trust” security in cui si richiede la verifica, l'autenticazione e l’approvazione per l’accesso di tutte le risorse: account utente, applicazioni e sistemi. Anche gli utenti all'interno di una determinata infrastruttura tecnologica devono confermare i propri dati ogni volta che richiedono l'accesso a qualsiasi risorsa interna o esterna alla rete. Questi controlli zero trust dovrebbero essere estesi anche per tutte le aziende della stessa supply chain in modo che un attaccante non possa intrufolarsi. (per approfondimenti sui motivi di adozione dell’approccio zero trust nella supply chain si suggerisce la lettura delle indicazioni edite dal WEC).
  5. Monitorare i rischi e definire degli indicatori: per avere una chiara e dinamica visibilità dei rischi si rende necessario introdurre indicatori scelti in funzione della loro capacità di indicare una situazione di variazione del rischio per gestire la possibile evoluzione.
  6. Introdurre mezzi di individuazione delle situazioni di rischio (incidente informatico: per capire che qualcosa di grave sta avvenendo è necessario decidere come gli indicatori per attivare l'azione di emergenza. Si inizia individuando i valori di soglia e definendo le condizioni per l’attivazione di una risposta al rischio.
  7. Personalizzare le attività di mitigazione e response: secondo il comportamento degli indicatori si possono attuare misure di mitigazione e azioni di response attivando i gruppi di sicurezza preposti o i fornitori che si occupano di incident handling in outsourcing. In ogni caso il risultato deve portare ad una azione di contenimento, riduzione di impatto e progressiva normalizzazione della operatività della catena di approvvigionamento fino al ripristino della situazione pre-incidente di sicurezza.
  8. Introduzione della automazione del sistema di gestione: per effettuare attività in automatico si ricorre a sistemi di Machine learning che possano automatizzare le decisioni in funzione di determinate casistiche. È ovviamente cruciale condividere i sistemi di “apprendimento e risposta” (Machine learning, automation &response) anche con i fornitori perché possano essere attuati correttivi lungo tutta la catena di fornitura. In questi casi non è affatto scontato che tutte le terze parti acconsentano ad una gestione che sembrerebbe sfuggire al loro controllo diretto. Le implicazioni sono molteplici (alterazione degli SLA di fornitura, penali) e necessitano di accordi contrattuali integrativi per la gestione di ogni evenienza.

Un sistema digitale di supply chain ha un valore che deriva dalla capitalizzazione delle opportunità di business e dalla riduzione al minimo dei rischi legati alla sicurezza informatica. Infatti, i singoli fornitori contribuiscono a generare valore che alla fine del processo di supply chain porta a un vantaggio competitivo, ma tutto ciò resta vero se e solo se i rischi di sicurezza informatica, lungo tutta la filiera sono individuati, monitorati gestiti e mitigati al fine di mantenere alta l’operatività eventualmente anche in caso di attacco. Per impostare un business case di supply chain security e condividerlo con i fornitori motivandoli ad affrontare una valutazione dei rischi di filiera, è opportuno mostrare il ROI dell’iniziativa in termini di benefici nella diminuzione degli impatti potenziali, verso i costi di investimento per le dotazioni e l’impostazione del processo di tenuta sotto controllo dei rischi. Qualora si voglia approfondire la modalità per avviare un processo di supply chain security ispirandosi a casi reali si può consultare il sito di GOV.UK che ha pubblicato linee guida ed esempi specifici per procedere nella messa in sicurezza delle catene di approvvigionamento come uno degli ambiti della più ampio obiettivo di Cyber resilience per le organizzazioni commerciali.
(Riprodotto da ISACA Rome Chapter Nwesletter)

Dott.ssa Alessia Valentini

(Newletter AIIC n. 11 (2021))