4 punti chiave del nostro evento sulla catena di fornitura DORA

Domande che abbiamo discusso

✔ Come gestire i grandi fornitori che non concedono spazio nei contratti?
✔ Dobbiamo includere tutti i fornitori nella nostra gestione del rischio? E nel nostro approccio?
✔ Come gestire i contratti in corso?
✔ Includiamo le applicazioni critiche nei nostri test di resilienza operativa?
✔ 'Siamo già certificati ISO27001'/'siamo già conformi al NIS1'/'seguiamo un framework come il NIST o le Buone Pratiche per la sicurezza delle informazioni': siamo pronti per DORA?

Risultato 1: Durante un attacco alla catena di fornitura, la comunicazione trasparente è fondamentale

Alan Lucas, attuale CISO di Homefashion Group ed ex CISO di LiteBit, ha condiviso le preziose intuizioni del suo mandato nel settore delle criptovalute. Mentre lavorava presso LiteBit, la sicurezza di grandi somme di denaro contro le minacce informatiche era un compito quotidiano, reso più complesso dai volumi significativi delle transazioni e dalla necessità intrinseca di anonimato, il tutto in un ambiente poco regolamentato.

L'impegno di LiteBit verso le buone pratiche di cybersecurity è stato messo alla prova quando un fornitore chiave è stato vittima di un attacco informatico, che a sua volta ha lasciato LiteBit esposta a potenziali minacce. Questo incidente ci ha ricordato l'importanza di proteggere ogni parte della catena di fornitura.

Alan ha condiviso alcuni insegnamenti su come hanno gestito questo attacco alla catena di fornitura:

• Comunicazione trasparente tra il fornitore e il cliente.
  Coinvolgere il giusto team di incident response fin dall'inizio.
• Coinvolgere i team di incident response di entrambe le parti nel team di crisi. Altrimenti si hanno due scatole nere, la collaborazione è fondamentale.
  Metta in relazione i registri e i dati di entrambe le parti per avere una panoramica completa.
• Comunicare il prima possibile. Chieda (contrattualmente) ai suoi fornitori di comunicare gli incidenti il prima possibile.

Takeaway 2: L'industria automobilistica può essere un esempio per mettere in ordine la sicurezza della catena di approvvigionamento.

Razvan Venter, del gruppo di mercato Produttori di Bureau Veritas Cybersecurity, ha condiviso alcune intuizioni su come l'industria automobilistica si approccia alla sicurezza della catena di fornitura. Questo settore è all'avanguardia rispetto ad altri settori in quest'area, in quanto è sempre stato fortemente dipendente dai fornitori per la fabbricazione dei prodotti. L'industria aderisce alle normative di cybersecurity R155/R156, stabilite dall'UNECE.

Queste normative coprono una serie di aree, tra cui i requisiti generali, l'hardware, il software/firmware e il software di back-end del servizio, oltre agli aggiornamenti. Razvan ha contribuito a creare un programma di fornitura con una delle principali case automobilistiche del mondo. È stato testato con un pilota che ha coinvolto 42 fornitori tra produzione, servizi cloud e sviluppo di applicazioni back-end.

Razvan ha condiviso con noi alcuni dei suoi insegnamenti principali:

• Ci è voluto più di un anno per rendere conforme il gruppo pilota di 42 fornitori.
  Tutti i fornitori erano disposti a conformarsi, ma alcuni di loro non potevano tenere conto delle conseguenze finanziarie della richiesta.
• I nuovi fornitori erano disposti a conformarsi molto più facilmente di quelli esistenti.
  Ci sono stati argomenti ricorrenti che hanno causato problemi o ritardi. Ad esempio, il monitoraggio della sicurezza e l'archiviazione delle informazioni.
• Nessun fornitore si è conformato senza un coinvolgimento legale.

Takeaway 3: Anche se siete ben protetti, potete essere violati, quindi il pentesting è importante.

Michael Schouwenaar di Bureau Veritas Cybersecurity ha fornito una prospettiva tecnica sulle complessità della difesa dagli attacchi informatici, soprattutto quando si utilizzano strumenti di terze parti. Lo ha illustrato con un incidente che ha coinvolto una piattaforma di internet banking compromessa attraverso uno strumento di gestione dei pacchetti.

Nonostante gli sviluppatori si affidino spesso a fonti esterne per i sistemi operativi, i framework di sviluppo e le librerie, la banca aveva adottato misure di cybersecurity rigorose. Tuttavia, gli aggressori sono riusciti a caricare un pacchetto dannoso, che lo strumento di gestione dei pacchetti della banca ha poi inavvertitamente distribuito all'interno del sistema bancario, aggirando i protocolli di sicurezza stabiliti.

Fortunatamente, questa debolezza è stata scoperta durante un penetration testing, evidenziando il ruolo critico dei security testing per gli strumenti di terze parti che sono parte integrante di processi essenziali.

Takeaway 4: Lavorare a stretto contatto con i suoi fornitori sulla sicurezza è fondamentale

Jelle Groenendaal e Bram Ketting, di 3rd Risk, hannofornito approfondimenti sull'importanza della gestione del rischio di terze parti all'interno delle catene di fornitura, sottolineando la sua rilevanza non solo per la Cybersecurity, ma anche per la sostenibilità, la geopolitica, la scarsità di risorse e la conformità alle normative.

Mentre DORA si concentra sulle entità sotto contratto, Jelle e Bram sottolineano il più ampio spettro di relazioni con terze parti, come alleanze, partner, rivenditori, agenti, distributori e clienti, che possono anche introdurre rischi.

La collaborazione con terzi è spesso necessaria per ottenere competenze specializzate o innovazione, nonostante questi rischi. Jelle e Bram vedono una crescente dipendenza da terzi, mentre i team di sicurezza tendono a concentrarsi su asset e procedure interne, il che evidenzia una potenziale disconnessione.

Ciò è particolarmente preoccupante se si considera che oggi il 60% delle violazioni dei dati è legato a terze parti. Un approccio equilibrato alla gestione dei rischi di sicurezza interni ed esterni sta diventando fondamentale.

Jelle e Bram hanno condiviso alcuni spunti tratti dalla loro esperienza di lavoro in questo settore da molti anni:

• Iniziare con una metodologia scalabile fin dall'inizio.
• Pensare al rischio, non solo alla Compliance.
• Collabori con i suoi fornitori per capirli, non si limiti a lanciare un foglio di calcolo.
• Non si affidi esclusivamente alle valutazioni e ai rating.
• Eviti i fogli di calcolo.
• Non esiste una pallottola d'argento.
  

Scarichi il riassunto completo (pdf)

Un enorme ringraziamento a Eward Driehuis per essere stato un ospite fantastico, a Bram Ketting e Jelle Groenendaal per aver condiviso le loro intuizioni sulla gestione del rischio, ad Alan Lucas per averci accompagnato in un attacco alla catena di approvvigionamento.

INFORMAZIONI SULLA SICUREZZA

Bureau Veritas Cybersecurity è uno dei principali esperti di cybersecurity. I nostri clienti spaziano dal settore governativo e sanitario a quello finanziario e industriale in tutto il mondo. Bureau Veritas Cybersecurity offre servizi tecnici, come valutazioni delle vulnerabilità, penetration testing e red teaming. Forniamo anche certificazioni per ambienti IoT e industriali, nonché audit, servizi forensi e formazione di awareness. Il nostro obiettivo è aumentare la sua cyber resilience.

Bureau Veritas Cybersecurity è un'azienda di Bureau Veritas. Bureau Veritas (BV) è un'azienda quotata in borsa specializzata in test, ispezioni e certificazioni. BV è stata fondata nel 1828, ha oltre 80.000 dipendenti ed è attiva in 140 Paesi. Bureau Veritas Cybersecurity è la pietra miliare della strategia di cybersecurity di Bureau Veritas.