Gli attacchi alla supply chain si confermano la minaccia informatica più diffusa nell'ultimo anno a livello globale: quasi un'azienda su tre ne è stata vittima negli ultimi dodici mesi, con un'incidenza che supera quella di qualsiasi altro tipo di attacco cyber. A rilevarlo è la ricerca di Kaspersky Supply chain reaction: securing the global digital ecosystem in an age of interdependence, condotta su 1.714 dirigenti aziendali in 16 paesi, tra cui l'Italia, in aziende con oltre 500 dipendenti.

Uno degli aspetti più significativi che ne consegue è la concentrazione del rischio sulle organizzazioni più interconnesse: le grandi imprese sono quelle che a conti fatti registrano il tasso più elevato di attacchi subìti (36%), anche perché gestiscono in media circa 100 fornitori di software e hardware e accordano, per motivi inderogabili, l'accesso diretto ai sistemi aziendali a decine di appaltatori. Questo moltiplica la superficie d'attacco e apre la strada agli attacchi alle relazioni di fiducia, che sfruttano le connessioni legittime già esistenti tra aziende. Nell'ultimo anno hanno colpito un quarto delle aziende a livello globale.

Il dato più contraddittorio emerso dalla ricerca riguarda la percezione del rischio: solo il 9% delle aziende considera gli attacchi alla supply chain come la principale preoccupazione, e appena l'8% cita quelli alle relazioni di fiducia. In entrambi i casi, si parla di minacce riconosciute come pericolose dal punto di vista astratto, ma raramente vengono trattate come priorità operative, segnalando una distanza tra consapevolezza e azione che è essa stessa un fattore di rischio.

In questo contesto si inserisce un cambiamento di prospettiva significativo, che riguarda la modalità con cui le organizzazioni intendono fronteggiare le minacce. Secondo uno studio Kaspersky, il 69% delle aziende si dichiara disponibile a investire nella sicurezza dei propri fornitori esterni per rafforzare la propria resilienza informatica. Un ulteriore 25% ha già avviato forme concrete di condivisione dei costi di sicurezza con i partner della supply chain.

La logica sottostante è lineare: se il livello di rischio di un'azienda dipende anche dalla postura di sicurezza di ogni appaltatore o partner con accesso alle sue infrastrutture, allora la protezione non può essere delegata a ciascun anello della catena in autonomia. Il perché è presto detto: come sottolineato più volte, le piccole e medie imprese che operano come fornitori di grandi organizzazioni dispongono spesso di risorse insufficienti e skill shortage per potersi adeguare agli standard richiesti. Il risultato è un'asimmetria strutturale che espone l'intera filiera, indipendentemente dall'investimento che il cliente finale effettua sulla propria infrastruttura interna.

La disponibilità a condividere i costi segnala, almeno nelle intenzioni, il superamento di una visione perimetrale della sicurezza in favore di un approccio ecosistemico e apre al paradigma che proteggere la propria organizzazione significa contribuire a proteggere anche chi opera attorno ad essa.

Il nodo italiano

Il contesto italiano rende questi temi particolarmente urgenti. Il tessuto produttivo nazionale è composto in larga misura da PMI, molte delle quali operano come subfornitori o partner di imprese più strutturate, spesso di dimensioni internazionali. In questo segmento, i budget dedicati alla sicurezza cyber sono tradizionalmente contenuti e la presenza di personale specializzato è la regola dell'eccezione. Le organizzazioni che non possono permettersi team di sicurezza interni, né le tecnologie necessarie per un monitoraggio continuativo delle proprie infrastrutture, rappresentano il punto di ingresso preferenziale per gli attaccanti che puntano alla supply chain.

La risposta strutturale a questa condizione non è nuova nei principi, ma sta assumendo contorni più definiti nella pratica: i servizi di sicurezza gestita (MSSP e MSP) e le piattaforme di rilevamento e risposta gestite (MXDR) consentono alle aziende prive di risorse proprie di accedere a capacità di protezione avanzata, in un modello a consumo che abbatte la barriera d'ingresso. Si tratta di un cambio di paradigma nell'accessibilità della sicurezza: ciò che fino a pochi anni fa era prerogativa delle grandi enterprise è oggi fruibile anche da realtà di dimensioni più contenute, purché si scelga il modello di erogazione corretto.

Il legame con la supply chain è diretto. Un fornitore che adotta un servizio gestito di detection e response riduce il proprio profilo di rischio e, di riflesso, riduce il rischio che trasferisce all'upstream. In un'ottica di condivisione dei costi di sicurezza lungo la filiera, l'investimento del cliente finale nella protezione del fornitore può tradursi proprio nel co-finanziamento di questi servizi, che rende sostenibile per entrambe le parti un livello di protezione altrimenti inaccessibile.

L'analisi proposta da Kaspersky indica che la riduzione del rischio supply chain richiede un approccio che combina misure tecnologiche preventive con una governance strutturata dei rapporti con i fornitori. Sul piano operativo, l'adozione di modelli Zero Trust e del principio del privilegio minimo limita i danni in caso di compromissione di un nodo della catena. La gestione matura delle identità riduce ulteriormente la superficie sfruttabile attraverso le connessioni di fiducia esistenti.

Sul piano contrattuale e procedurale, la valutazione preventiva della postura di sicurezza dei fornitori (che include l'analisi delle policy interne, la verifica della conformità agli standard di settore e l'esame delle vulnerabilità note per i componenti software e cloud) diventa un elemento di selezione del partner prima ancora che un requisito post-contrattuale. I contratti dovrebbero incorporare clausole specifiche su audit periodici, protocolli di notifica degli incidenti e conformità alle policy dell'organizzazione cliente.

Un piano di risposta agli incidenti che includa esplicitamente gli scenari di compromissione della supply chain completa il quadro: sapere come isolare un fornitore compromesso, senza interrompere l'operatività complessiva, è una competenza che si costruisce prima che l'incidente si verifichi.