hacking

Supply Chain Attack

Di per se il concetto è molto semplice: viene colpito un elemento vulnerabile di una organizzazione in un contesto di intima relazione con altre organizzazioni al fine di colpire l’intero cluster.

Le organizzazioni (aziende, enti privati e pubblici, associazioni, ecc) sono oggi molto legate tra loro in rapporti di cooperazione, fornitura di asset e servizi, partnership. E’ del tutto ovvio, se non indispensabile, che si avviino relazioni intime in cui le stesse fondamenta dell’organizzazione dipendono dai servizi erogati dai propri partner. Viviamo quindi in un contesto sociale e di mercato in cui nulla è isolato dal resto del mondo e pochi elementi di questa maglia possono influire sull’intera struttura.

Banalizzando: se la mia azienda vende prodotti o servizi tramite una piattaforma online, ospitata da una qualsiasi piattaforma cloud che il mercato offre, è ovvio che un fault sulla piattaforma in questione si ripercuote sul mio business e sulla mia reputazione; in un contesto di security incident questa proprietà transitiva rischia di essere parecchio fastidiosa. E’ inoltre ovvio che se il servizio da me erogato non è fruibile o ha subito un incidente riguardante — ad esempio — il furto di dati, l’impatto di ciò che è accaduto al mio fornitore arriva a toccare al mio cliente finale che, tipicamente, verrà da me a chiedere spiegazioni.

Legami di questo tipo esistono a tutti i livelli e possiamo fare mille esempi. Gli studi professionali gestiscono dati talvolta riservati dei propri clienti e probabilmente lo fanno tramite un sistema informatico che, a sua volta, è gestito da personale interno o esterno che deve necessariamente dotarsi di strumenti e tecnologia. Hardware e software vengono tipicamente acquistati da aziende specializzate nella produzione di questi asset o acquisiti a servizio per sostituire soluzioni on premise.
Un’anomalia software dal punto di vista della sicurezza informatica mette quindi a repentaglio l’organizzazione che utilizza il software/servizio che presenta l’anomalia, ma anche i dati che vengono con esso gestiti. Ne siamo tutti ben consapevoli.

Ciò che è recentemente accaduto a SolarWinds è semplicemente l’esempio di più eclatante per impatto, ma la modalità è sempre quella: SolarWinds è stata colpita direttamente al fine di manomettere il software dalla stessa azienda distribuito. A seguito del rilascio delle nuove versioni, opportunamente modificate degli attacker, le organizzazioni clienti (e che organizzazioni) hanno di fatto installato una versione vulnerabile la cui falla era ben nota agli attacker che hanno così potuto colpire, senza troppa fatica, i clienti di SolatWinds tra cui ci sono nomi come il Pentagono, la NASA, la NSA e Microsoft. Letteralmente un disastro, un meteorite di cui i danni dell’impatto non sono ancora chiari.

Ma questo è solo un evento, l’ennesimo, non è il messaggio che voglio condividere. La riflessione su cui vorrei portarvi si riferisce all’esigenza di cambiare modo di ragionare in relazione all’approccio alla sicurezza informatica. Dobbiamo uscire dalla gabbia mentale in cui ci siamo chiusi per anni dove la sicurezza di fa acquistando una soluzione o un servizio.

Nell’attuale contesto il tema lo si affronta con la volontà di agire secondo una logica cyber-sicura, le nostre organizzazioni devono essere intrinsecamente sicure: dobbiamo implementare processi sicuri, dobbiamo imparare ad usare gli strumenti in modo sicuro, comunicare in modo sicuro, gestire i dati in modo sicuro, lavorare in modo sicuro a tutti i livelli (non solo IT).

Costruire una cultura della sicurezza informatica ci porterà a realizzare prodotti e servizi che sin dalle fasi di design saranno stati concepiti in un contesto dove la sicurezza dei dati e delle infrastrutture era un valore intrinseco del processo di produzione, valore che può essere trasferito nel risultato del nostro lavoro e come tale verrà percepito dai nostri clienti e collaboratori.

Le nostre organizzazioni fanno parte della stessa enorme catena: impariamo a collaborare con anelli robusti ed accertiamoci di essere un anello robusto con cui sia vantaggioso collaborare.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.