Il tradizionale perimetro di sicurezza non esiste più. Oggi le aziende operano all’interno di ecosistemi complessi e distribuiti, che includono fornitori, piattaforme SaaS, collaboratori esterni e partner. Questa interdipendenza sta diventando una delle principali minacce per la resilienza aziendale. Secondo un recente report commissionato da Zscaler, intitolato The Ripple Effect: A Hallmark of Cybersecurity, il 68% dei responsabili IT afferma che la propria azienda fa più affidamento che mai su fornitori esterni e terze parti; tuttavia, meno della metà ha implementato controlli adeguati per la gestione dei rischi legati agli accessi di tali fornitori. Il divario tra dipendenza e preparazione non è più solo teorico: il 60% delle aziende dichiara di aver già subito, nell’ultimo anno, un’interruzione significativa causata da un fornitore o da una terza parte, e il 63% prevede che un episodio analogo si verificherà nei prossimi 12 mesi.

Questi incidenti raramente restano circoscritti. Quando un fornitore subisce una violazione, l’impatto si propaga a catena sull’organizzazione, bloccandone le operazioni, esponendone dati sensibili o compromettendo l’accesso a servizi critici di tutta la forza lavoro.

Nonostante ciò, solo il 42% delle aziende afferma che la propria strategia di cyber resilience includa esplicitamente collaboratori esterni e lavoratori occasionali, e appena il 34% ritiene, con elevata fiducia, che i controlli attuali siano in grado di affrontare la volatilità della supply chain. In un contesto in cui tre quarti dei responsabili IT prevedono che fattori macroeconomici e geopolitici imporranno rapidi cambiamenti operativi, la resilienza non può più essere concepita come un approccio rivolto esclusivamente all’interno dell’azienda. Per troppo tempo la sicurezza si è concentrata sulla difesa delle “quattro mura” del perimetro aziendale. Oggi, una resilienza efficace richiede di trattare ogni interazione, interna o esterna, con un certo livello di controllo e verifica. La sfida principale è chiara: come mantenere elevati standard di sicurezza e prevenire esposizioni critiche dei dati, continuando al contempo a garantire una collaborazione necessaria ed efficiente con i partner esterni.

Tony Fergusson, CISO in Residence

Comprendere le diverse sfumature dei rischi legati alle terze parti

I rischi derivanti da una terza parte compromessa non sono omogenei, ma si manifestano in diverse forme critiche, ciascuna delle quali rappresenta una minaccia specifica per la continuità operativa e l’integrità dei dati.

In uno degli scenari più classici e al tempo stesso più dannosi, un fornitore terzo diventa un vero e proprio canale di accesso alla rete, abilitando un attacco con spostamento laterale. Il fornitore, ad esempio un service provider con accesso remoto ai sistemi interni, può subire un incidente di sicurezza. A causa di una connettività di rete tradizionale ed eccessivamente permissiva (come tunnel VPN o IPsec), il criminale informatico riesce a spostarsi senza ostacoli dalla rete del fornitore compromesso direttamente all’ambiente dell’azienda cliente.

La terza parte diventa così un vettore di propagazione dell’attacco e il “raggio d’impatto” della violazione si estende immediatamente anche al business stesso, causando interruzioni di servizio significative e danni reputazionali.

Una minaccia diversa, ma altrettanto comune, deriva dalla semplice realtà della condivisione eccessiva dei dati. Molte aziende condividono inconsapevolmente con i propri partner dati critici in misura eccessiva. Che si tratti di condividere un intero database, quando basterebbe fornire un numero (ad esempio, quello dei pezzi residui in magazzino), oppure di concedere un accesso a livello di sistema quando sarebbe sufficiente una funzionalità limitata, questo eccesso di condivisione genera rischi enormi.

Se la terza parte viene compromessa, il criminale informatico ottiene immediatamente accesso all’intero perimetro dei dati condivisi: proprietà intellettuale sensibile, dati dei clienti o informazioni operative possono essere sottratti non a causa di una vulnerabilità interna dell’azienda vittima, ma di un partner. Un rischio che, una volta che i dati sono stati condivisi, è spesso difficile da mitigare.

Un altro rischio significativo è l’interruzione operativa delle attività aziendali, che riguarda esclusivamente la perdita di servizio. In questo scenario, la violazione di una terza parte è di natura puramente operativa. Se un provider cloud critico, una piattaforma SaaS o un servizio esterno su cui l’azienda fa affidamento dovesse andare offline a causa di un attacco informatico (ad esempio un attacco ransomware), l’azienda perderebbe la capacità di svolgere funzioni essenziali, con conseguente paralisi delle operazioni. Pur non trattandosi di una violazione diretta dei dati dell’azienda cliente, l’impatto sulla resilienza e sulla continuità operativa risulta comunque estremamente significativo.

Guardando al futuro, la minaccia emergente dell’Agentic AI introduce una nuova categoria di rischio legato alle terze parti ancora inesplorata. Le aziende stanno iniziando a implementare centinaia, se non migliaia, di agenti di intelligenza artificiale (veri e propri “dipendenti sintetici”) per svolgere attività e questi agenti devono inevitabilmente accedere a dati e sistemi. Di fatto, rappresentano la più ampia e rapida ondata di “collaboratori esterni” che un’azienda si sia mai trovata a gestire. In assenza di chiari protocolli di sicurezza, meccanismi di autenticazione per verificare l’identità dell’agente e una definizione precisa delle responsabilità legali, questi strumenti potenti rappresentano un rischio profondo e potenzialmente fuori controllo.

Resilienza avanzata: oltre il principio del privilegio minimo

Per mitigare in modo efficace questi rischi, le aziende devono andare oltre il principio del privilegio minimo e adottare un approccio più incentrato sui dati, che punti a ridurre al minimo l’esposizione delle informazioni e a rafforzare i meccanismi di verifica della fiducia.

Il tradizionale principio Zero Trust del privilegio minimo si concentra sulla limitazione di chi (utente/dispositivo) può accedere a cosa (applicazioni/segmenti di rete). L’evoluzione moderna è rappresentata dal concetto di Least Information by Design, che limita quali informazioni possono essere accessibili o trasferite, anche dopo che un utente è stato autenticato ed autorizzato ad accedere ad un sistema.

Questo cambiamento implica che le policy siano ora basate sul contesto dei dati e sull’intento, consentendo un controllo degli accessi estremamente granulare. Ad esempio, un collaboratore esterno può accedere a un sistema ERP, ma le policy possono impedirgli di visualizzare documenti finanziari o dati relativi a operazioni di fusione e acquisizione.

Inoltre, questo approccio affina ulteriormente il controllo, con il principio della least function: un utente ha realmente bisogno di leggere, modificare o eliminare dati? Limitare, ad esempio, le sue autorizzazioni alla sola lettura (read-only), riduce drasticamente il rischio di danni, sia accidentali sia intenzionali.

Infine, le aziende possono implementare policy basate sull’intento sfruttando tecnologie di IA e machine learning per comprendere il significato delle azioni dell’utente (ad esempio analizzando un prompt o una sequenza di operazioni). Questo consente di introdurre meccanismi di protezione contro comportamenti anomali o ad alto rischio, indipendentemente dai privilegi di base dell’utente.

La condivisione eccessiva è una conseguenza diretta della richiesta di accedere a informazioni complete quando, in realtà, sarebbe sufficiente una semplice validazione. Le Zero-Knowledge Proofs offrono una soluzione crittografica a questo problema. Il principio alla base è semplice: dimostrare di conoscere o possedere un’informazione senza mai rivelare l’informazione stessa.

Nelle interazioni con partner esterni, questo approccio trasforma radicalmente la natura dello scambio di dati. Invece di fornire ad una terza parte i dati completi di inventario, il sistema consente al partner di porre una domanda basata su una funzione, ad esempio: “Il livello di stock per uno specifico articolo è superiore a 500 unità?”. Il sistema restituisce una semplice risposta affermativa o negativa, senza esporre il sistema di inventario né valori precisi. Allo stesso modo, per la verifica dell’identità, questa tecnologia consente a un soggetto di dimostrare il soddisfacimento di un determinato requisito - ad esempio l’autorizzazione ad accedere a un servizio - senza rivelare dati personali sensibili come nome, indirizzo o data di nascita. In questo modo, un’azienda può garantire che, anche nel caso in cui un partner esterno subisca una violazione andata a buon fine, le credenziali sottratte consentano esclusivamente di interrogare specifiche informazioni, senza permettere l’estrazione dei dati grezzi sottostanti. In questo modo, il potenziale impatto di un incidente di sicurezza che coinvolge una terza parte viene drasticamente ridotto.

Zero Trust per l’intero ecosistema

La chiave per una resilienza duratura rispetto ai rischi della supply chain e delle terze parti è superare la distinzione artificiale tra “interni” ed “esterni”. Oggi infatti le aziende operano in un ecosistema fluido, composto da dipendenti, collaboratori esterni, partner e agenti automatizzati.

Trattare tutti come terze parti rappresenta la naturale evoluzione del modello Zero Trust. Perché un dipendente, che potrebbe diventare insoddisfatto o agire con negligenza, dovrebbe essere considerato intrinsecamente più affidabile rispetto a un collaboratore esterno qualificato e verificato? Applicando gli stessi principi del privilegio minimo e dell’accesso solo alle informazioni strettamente necessarie e un rigoroso controllo degli accessi a ogni entità che interagisce con i sistemi aziendali - inclusi gli agenti di intelligenza artificiale - le aziende possono raggiungere un livello di sicurezza uniforme e solido.

Nell’era dell’interconnessione, essere resilienti significa gestire con attenzione gli accessi, limitare la condivisione delle informazioni e verificare le intenzioni di ogni utente, per ogni funzione, in tutta l’organizzazione estesa.