La crisi pandemica ha messo in evidenza la fragilità delle supply chain sotto molti aspetti. Il più evidente è quello della sicurezza informatica in senso stretto, rimarcato da attacchi come quelli ai danni di SolarWinds e dalle campagne Hafnium. Ma non si può liquidare la questione argomentando solo sull’ampliamento della superficie di rischio.

Certo, attaccare i fornitori più piccoli per ottenere l'accesso alle reti dei clienti più grandi e meglio difesi sotto l’aspetto cyber è un modus operandi sempre più diffuso. Sono sotto al fuoco di fila gli ISP/MSP, le PMI e i dipendenti in smart working. In pratica qualsiasi anello debole della catena, che può essere sfruttato per aggirare le difese aziendali più solide. Di questo abbiamo parlato a lungo, ma c’è dell’altro.

La crisi della supply chain

Poco dopo l’avvio della crisi pandemica si è delineato a livello mondiale un grave problema di fornitura, che non è ancora rientrato. Una recente ricerca condotta da reichelt elektronik, commissionata all'istituto di ricerca OnePoll, ha evidenziano le forti conseguenze della crisi della supply chain per il 51% delle aziende del settore manifatturiero italiano.

Dal primo semestre del 2021 ad oggi, i dati mostrano un aumento del 20% dei fermo produzione verificatisi in media durante gli ultimi dodici mesi, per un totale di 44,2 giorni (in media), a causa dei ritardi e dei rallentamenti lungo la catena di approvvigionamento. Ancora, il 34% degli intervistati teme che l’attuale instabilità delle supply chain possa innescare un aumento del costo dei componenti critici, come la microelettronica (32%).

Nuovi fornitori cercansi

Che cosa c’entra il dato di mercato sulla crisi delle supply chain con la security? Per dire il vero, molto. Pur di mantenere il flusso di produzione, la stragrande maggioranza delle aziende ha innescato la ricerca di nuovi fornitori. Con l’effetto collaterale che i fornitori nuovi e potenzialmente meno controllati portano con sé nuovi rischi, fra cui il potenziale di introdurre vulnerabilità nel ciclo di vita dei prodotti.

Per fare un esempio, si pensi a un’azienda che produce dispositivi per l’healthcare. Interrompere la produzione, in un contesto pandemico, non è un'opzione. Ospedali e centri medici devono essere riforniti più e meglio che in passato. Da qui la ricerca affannosa di fornitori alternativi che siano in grado di garantire spedizioni costanti.

La situazione è tale da rischiare di compromettere la valutazione di aspetti importanti quali secure by design, qualità dei controlli sulla linea produttiva, garanzie sugli aggiornamenti per i prodotti software. Le aziende che riescono a spedire le merci sono poche, spesso la questione si riduce al prendere o lasciare. In pratica, si è andato a concretizzarsi quel grave squilibrio tra il time-to-market e il time-to-security che tanto preoccupava il World Economic Forum dopo il primo lockdown.

Sappiamo che le vulnerabilità che entrano nel ciclo di vita del prodotto possono creare danni altissimi. E che in fase di assemblaggio di un prodotto finito c’è una bassa capacità di controllo e una visibilità limitata sui rischi insiti delle parti hardware e software in uso. Com’era stato giustamente sottolineato al SecSolutionForum, la robustezza di un sistema equivale alla robustezza dell'anello più debole della catena. È sufficiente una sola vulnerabilità non gestita by design e by default fin dalla fase di progettazione per costringere tutta la filiera a gestire problemi per tutto il ciclo di vita del prodotto.

Non fidarsi

Quando si sottoscrive un contratto con un nuovo fornitore, la fiducia è tutta da costruire. Nonostante l’emergenza e la drammatica carenza di componenti e materiali, è imperativa la cautela. È doveroso monitorare le vulnerabilità hardware e software, oltre che prendersi il tempo necessario per validare la sicurezza di componenti hardware e software.

Non tutti gli strumenti di valutazione delle vulnerabilità possono fornire risultati accurati, e che per ciascuna vulnerabilità rilevata è sempre necessario valutarne la portata e il rischio. Tuttavia, l’impiego di strumenti appositi per condurre queste analisi consente di tenere traccia di ogni possibile problema, per agevolare la gestione del rischio nel momento in cui dovesse manifestarsi.