La crisi della supply chain amplia i rischi di cyber security

La crisi delle supply chain sta costringendo molte aziende a un cambio in corsa dei fornitori, alzando a dismisura il rischio di realizzare prodotti finiti carenti sotto l’aspetto della security.

Tecnologie/Scenari

La crisi pandemica ha messo in evidenza la fragilità delle supply chain sotto molti aspetti. Il più evidente è quello della sicurezza informatica in senso stretto, rimarcato da attacchi come quelli ai danni di SolarWinds e dalle campagne Hafnium. Ma non si può liquidare la questione argomentando solo sull’ampliamento della superficie di rischio.

Certo, attaccare i fornitori più piccoli per ottenere l'accesso alle reti dei clienti più grandi e meglio difesi sotto l’aspetto cyber è un modus operandi sempre più diffuso. Sono sotto al fuoco di fila gli ISP/MSP, le PMI e i dipendenti in smart working. In pratica qualsiasi anello debole della catena, che può essere sfruttato per aggirare le difese aziendali più solide. Di questo abbiamo parlato a lungo, ma c’è dell’altro.

La crisi della supply chain

Poco dopo l’avvio della crisi pandemica si è delineato a livello mondiale un grave problema di fornitura, che non è ancora rientrato. Una recente ricerca condotta da reichelt elektronik, commissionata all'istituto di ricerca OnePoll, ha evidenziano le forti conseguenze della crisi della supply chain per il 51% delle aziende del settore manifatturiero italiano.


Dal primo semestre del 2021 ad oggi, i dati mostrano un aumento del 20% dei fermo produzione verificatisi in media durante gli ultimi dodici mesi, per un totale di 44,2 giorni (in media), a causa dei ritardi e dei rallentamenti lungo la catena di approvvigionamento. Ancora, il 34% degli intervistati teme che l’attuale instabilità delle supply chain possa innescare un aumento del costo dei componenti critici, come la microelettronica (32%).

Nuovi fornitori cercansi

Che cosa c’entra il dato di mercato sulla crisi delle supply chain con la security? Per dire il vero, molto. Pur di mantenere il flusso di produzione, la stragrande maggioranza delle aziende ha innescato la ricerca di nuovi fornitori. Con l’effetto collaterale che i fornitori nuovi e potenzialmente meno controllati portano con sé nuovi rischi, fra cui il potenziale di introdurre vulnerabilità nel ciclo di vita dei prodotti.

Per fare un esempio, si pensi a un’azienda che produce dispositivi per l’healthcare. Interrompere la produzione, in un contesto pandemico, non è un'opzione. Ospedali e centri medici devono essere riforniti più e meglio che in passato. Da qui la ricerca affannosa di fornitori alternativi che siano in grado di garantire spedizioni costanti.

La situazione è tale da rischiare di compromettere la valutazione di aspetti importanti quali secure by design, qualità dei controlli sulla linea produttiva, garanzie sugli aggiornamenti per i prodotti software. Le aziende che riescono a spedire le merci sono poche, spesso la questione si riduce al prendere o lasciare. In pratica, si è andato a concretizzarsi quel grave squilibrio tra il time-to-market e il time-to-security che tanto preoccupava il World Economic Forum dopo il primo lockdown.


Sappiamo che le vulnerabilità che entrano nel ciclo di vita del prodotto possono creare danni altissimi. E che in fase di assemblaggio di un prodotto finito c’è una bassa capacità di controllo e una visibilità limitata sui rischi insiti delle parti hardware e software in uso. Com’era stato giustamente sottolineato al SecSolutionForum, la robustezza di un sistema equivale alla robustezza dell'anello più debole della catena. È sufficiente una sola vulnerabilità non gestita by design e by default fin dalla fase di progettazione per costringere tutta la filiera a gestire problemi per tutto il ciclo di vita del prodotto.

Non fidarsi

Quando si sottoscrive un contratto con un nuovo fornitore, la fiducia è tutta da costruire. Nonostante l’emergenza e la drammatica carenza di componenti e materiali, è imperativa la cautela. È doveroso monitorare le vulnerabilità hardware e software, oltre che prendersi il tempo necessario per validare la sicurezza di componenti hardware e software.

Non tutti gli strumenti di valutazione delle vulnerabilità possono fornire risultati accurati, e che per ciascuna vulnerabilità rilevata è sempre necessario valutarne la portata e il rischio. Tuttavia, l’impiego di strumenti appositi per condurre queste analisi consente di tenere traccia di ogni possibile problema, per agevolare la gestione del rischio nel momento in cui dovesse manifestarsi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Threat Intelligence

Speciale

Cloud Security

Speciale

Cybertech Europe 2022

Speciale

Backup e protezione dei dati

Speciale

Cyber security: dentro o fuori?

Calendario Tutto

Ott 12
Business Continuity in IperConvergenza per l’Edge e la PMI
Ott 18
IT CON 2022 - Milano
Ott 19
IDC Future of Data 2022
Ott 20
SAP NOW 2022
Ott 20
Dell Technologies Forum 2022
Ott 20
IT CON 2022 - Roma
Nov 03
Exclusive Tech Experience 2022 - Milano
Nov 08
Red Hat Summit Connect - Roma
Nov 08
Exclusive Tech Experience 2022 - Roma

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter