Sicurezza della catena di approvvigionamento: Il buono, il cattivo e il brutto

Sicurezza della catena di approvvigionamento:
Il buono, il cattivo e il brutto

Autore: Willem Westerhof
Data: 29/09/2025

Immagini di gestire la sua attività, di svolgere il suo lavoro quotidiano, e improvvisamente lo strumento che utilizza sempre smette di funzionare. Prova a riavviare il computer, ad accedere nuovamente, ma in qualche modo non sembra funzionare nulla. Chiede ai suoi colleghi e sembra che anche loro abbiano lo stesso problema. Il sistema è in qualche modo fuori uso! Più tardi, scopre che il fornitore del software è stato hackerato, e ora è suo compito informare tutte le persone i cui dati sono stati inseriti in quel sistema che la terza parte è stata hackerata.

Attacchi a grandi fornitori
Quanto sopra purtroppo non è una finzione. Nell'ultimo anno, abbiamo assistito ad un aumento significativo degli attacchi ai grandi fornitori, che hanno colpito non solo il fornitore, ma anche tutti i suoi clienti. Ad esempio, l'Attacco ransomware a Miljodata ha lasciato l'80% dei comuni svedesi senza un sistema HR funzionante, e in seguito tutti i dettagli sensibili presenti sono stati divulgati sul dark web.

Informazioni mediche trapelate
Un altro esempio emblematico è l'Attacco ransomware a Clinical Diagnostics Nederland, dove sono trapelate informazioni mediche e altamente sensibili come i numeri di previdenza sociale di quasi un milione di cittadini olandesi. Questo laboratorio era un fornitore di numerose organizzazioni del settore sanitario e tutte hanno dovuto spiegare ai propri clienti cosa era successo.

Attacco da parte di uno Stato nazionale
Se guardiamo più in là nella storia, ci sono molti altri esempi. Uno dei casi più interessanti è Notpetya, che è stato un attacco da parte di uno Stato-nazione come parte di un'operazione di guerra ibrida, che ha avuto una ricaduta globale di 8.500.000.000 di euro in danni finanziari.

A causa di questi e di molti altri esempi reali, uno dei punti principali dei prossimi quadri giuridici (NIS2 per esempio) è la gestione della catena di approvvigionamento. L'attuazione pratica, tuttavia, è piuttosto difficile. Dato che i fornitori sono così numerosi e spesso superano anche i confini nazionali, è sorprendentemente difficile affrontarli in modo adeguato. Da parte nostra, possiamo almeno fornirle alcuni esempi pratici per il momento.

Il bene

Alcuni fornitori possono davvero renderla felice. Ad esempio, abbiamo visto alcuni fornitori che fornivano i rapporti di anni di pentesting, compresi i dettagli sui risultati e le soluzioni. Hanno anche fornito informazioni sui rischi accettati. Con queste informazioni, il cliente può determinare se sono necessarie ulteriori azioni.

In un altro caso, abbiamo visto il fornitore organizzare una sessione con la maggior parte dei suoi clienti per condividere con loro le lezioni apprese dal nostro programma di resilienza Ransomware. In particolare, li hanno invitati a modificare alcune impostazioni che loro, in quanto fornitori, non potevano risolvere per loro.

Il male

Purtroppo, abbiamo anche visto accadere l'esatto contrario con i fornitori. Abbiamo visto, ad esempio, che un pentest è stato ripetutamente posticipato e poi, durante i test, abbiamo notato che l'ambiente non era stato patchato per 4 anni. Solo dopo la data iniziale del pentest, il fornitore ha cercato di proteggere l'ambiente.

Abbiamo anche visto molti casi in cui i sistemi sono stati distribuiti con impostazioni predefinite non sicure, password predefinite e, a volte, persino gli account di test erano ancora attivi negli ambienti di produzione.

A volte ci sono anche fornitori che cercano di 'schivare' il problema. Ad esempio, bloccando attivamente l'indirizzo IP dei pentester, bloccando specificamente i payload inviati dai tester nei loro firewall/WAF, o disattivando sistemi vulnerabili specifici durante un test, in modo che non finiscano nei risultati.

Il brutto

Tra i buoni e i cattivi, ci sono i brutti. Si tratta di fornitori con i quali si può essere inizialmente molto soddisfatti, ma che in seguito si sono trasformati in una relazione piuttosto acida. Un buon numero di fornitori ha risposto ai nostri rapporti di pentest con qualcosa del tipo "la sicurezza non faceva parte dei requisiti", di solito seguito da un "possiamo risolvere il problema, ma con un forte aumento di prezzo".

Spesso vediamo anche che la comunicazione e soprattutto la gestione delle aspettative tra il fornitore e il consumatore non funzionano. Il cliente si aspetta una cosa e il fornitore, in pratica, non si impegna mai a soddisfare tale aspettativa. A causa di questo disallineamento, spesso si verifica un conflitto.

Ci sono anche casi in cui i cambiamenti nell'infrastruttura o nella configurazione dei sistemi possono causare problemi con i fornitori terzi esistenti. Ad esempio, abbiamo assistito a diversi casi in cui un servizio di monitoraggio di terze parti non era in grado di rilevare nemmeno gli attacchi più elementari a causa di modifiche ai sistemi e alle configurazioni di rete, causando grandi punti ciechi per il loro servizio.

Abbiamo anche visto accadere il contrario, quando un fornitore cerca di convincere il proprio cliente ad aumentare la sicurezza, ma il cliente si rifiuta di farlo per vari motivi. In questi casi, se si verifica un incidente, la situazione può diventare molto complicata e portare a molti anni di battaglie legali.

Infine, c'è anche lo SLA. In genere i fornitori fanno del loro meglio per seguire i loro SLA e assicurarsi che tutti i ticket siano gestiti entro quel lasso di tempo. Tuttavia, a volte, in caso di crisi, è necessario che le cose avvengano molto più velocemente. Ad esempio, abbiamo visto casi in cui un Attacco ransomware su un numero limitato di cartelle è stato contrassegnato come un problema di media priorità, con 30 giorni di tempo nello SLA per risolvere il problema. Sono abbastanza certo che qualsiasi CISO o personale addetto all'incident response avrebbe impostato un livello di priorità completamente diverso.

Cosa fare?

Questi sono solo alcuni dei molti esempi che vediamo nel nostro lavoro quotidiano. Sebbene non esista una soluzione unica per la gestione della catena di fornitura, riteniamo che per quasi tutti i rapporti tra fornitore e consumatore, i seguenti punti siano fondamentali:

Gestione delle aspettative

Non dia per scontato che il suo fornitore faccia le cose per lei, o che sia a conoscenza delle minacce che la riguardano, ma ne parli esplicitamente.
Chieda al suo fornitore se ci sono cose che dovrebbe fare.

Dimostrare/mostrare di avere il controllo

Rapporti e soluzioni di pentest, rapporti di audit (ISO27k, SOC2), timbri di approvazione settoriali.
Fare un pentest insieme

Avere le giuste linee di comunicazione

Le persone operative possono parlare direttamente con altre persone operative.
Sapere come raggiungersi in caso di crisi.

Fornire un mandato

Cosa può fare un fornitore senza il suo permesso (soprattutto durante una situazione di crisi o per i fornitori che forniscono sicurezza) e quando deve ottenere prima il permesso e chi è autorizzato a darlo?

Definire i requisiti di sicurezza durante l'approvvigionamento

Sebbene la sicurezza dovrebbe essere un requisito predefinito, spesso non lo è, per cui è meglio inserire questa richiesta esplicita in qualsiasi processo di approvvigionamento. Inoltre, è utile coinvolgere gli esperti della materia negli acquisti, in quanto possono proporre diversi requisiti aggiuntivi o rivedere il contenuto delle proposte in arrivo.

Metta tutto per iscritto

Se le cose vanno bene, raramente avrà bisogno della documentazione cartacea, ma tutte le relazioni hanno un certo livello di attrito di tanto in tanto. È utile disporre di documenti con accordi e impegni a cui fare riferimento.

Informazioni sull'autore

Willem Westerhof è Team Manager Security Specialists di Bureau Veritas Cybersecurity con quasi 10 anni di esperienza nella sicurezza offensiva. Ha guidato progetti di grande impatto nell'ambito delle infrastrutture critiche e del governo olandese, compresi incarichi politicamente sensibili e riservati riconosciuti a livello nazionale ed europeo.

Conosciuto per la sua capacità di coniugare la profondità tecnica con una comunicazione chiara, Willem è un relatore e consulente frequente in materia di Cybersecurity. La sua passione per il settore va oltre il lavoro con i clienti e si estende alla ricerca, alle pubblicazioni e ai contributi attivi alla comunità della sicurezza in generale.

I NOSTRI SERVIZI

Servizi di Supply Chain Security

Servizi NIS2

Maggiori informazioni

Desidera saperne di più sulla sicurezza della catena di approvvigionamento? Compili il modulo e la contatteremo entro un giorno lavorativo.

Nome

Cognome

Azienda / Organizzazione

Email

Numero di telefono

Come possiamo esservi d'aiuto?

Autorizzo il trattamento dei miei dati come descritto nell'Informativa sulla privacy e accetto i Termini e condizioni.

Acconsento all'utilizzo di questi dati da parte di Bureau Veritas Cybersecurity per ricevere ulteriori informazioni sui servizi, eventi o argomenti che potrebbero essere di mio interesse.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.