Una catena di fornitura sicura per gli enti della pubblica amministrazione

Punti salienti

  • Le catene di fornitura della pubblica amministrazione di oggi devono affrontare maggiori rischi e attacchi sempre più sofisticati.

  • Il lavoro da remoto ha notevolmente ampliato la superficie di attacco di molti enti della pubblica amministrazione.

  • Visibilità, collaborazione e valutazione completa sono elementi fondamentali per una protezione totale.

author-image

di

La complessità di una catena di fornitura moderna

Oggi, la pubblica amministrazione federale fa affidamento su una vasta e diversificata catena di fornitura che consente di generare infrastrutture, apparecchiature e altri beni essenziali. Al fine di soddisfare le loro esigenze, dai processori nei sistemi di controllo del traffico aereo ai notebook per i lavoratori da remoto e molto altro ancora, gli enti si affidano a una vasta gamma di partner di produzione e di logistica. Ogni nodo e connessione in questa catena di fornitura globale rappresenta significativi potenziali rischi di sicurezza.

I malintenzionati vedono questi rischi come opportunità. Con il giusto accesso, sono in grado di sabotare, rubare o modificare forniture, sia fisiche che digitali, altrimenti legittime, nonché di utilizzarle come punti di accesso nascosti o strumenti di raccolta di informazioni. La complessità della catena di fornitura moderna offre loro molti modi per ottenere l'accesso. I malintenzionati impiegano strategie sofisticate e utilizzano software come ransomware e strumenti di phishing per compromettere le protezioni e realizzare i loro obiettivi.

Le catene di fornitura di lavorazione, produzione e sviluppo sono diventate più complesse. Le aziende fanno affidamento su una vasta gamma di partner di terze parti per molti componenti presenti nelle loro offerte, nonché per i servizi di trasporto e gestione per la logistica. Per gli enti della pubblica amministrazione, ciò implica che i rischi vanno oltre la società con la quale collaborano direttamente.

La sofisticatezza delle minacce moderne si combina con la complessità della catena di fornitura globale per creare problemi di sicurezza e di gestione dei rischi alquanto reali per gli enti della pubblica amministrazione.

L'importanza di una catena di fornitura sicura

Cosa accade quando una catena di fornitura della pubblica amministrazione risulta compromessa? È il punto di partenza di diversi risultati indesiderati: dal furto di informazioni sensibili e private ai tempi di inattività dei servizi fondamentali della pubblica amministrazione.

Nel mondo digitale, la vostra catena di fornitura è più esposta che mai. Ecco perché l'implementazione di programmi di gestione formale della catena di fornitura volti a ridurre i rischi e a impedire gli attacchi è così essenziale. Strumenti quali le suite di sicurezza informatica, le soluzioni di gestione del magazzino e di monitoraggio della logistica, le soluzioni di tracciamento delle risorse possono contribuire a proteggere la vostra organizzazione.

Minacce attuali della catena di fornitura

L'adozione rapida del lavoro da remoto ha amplificato i rischi legati alla catena di fornitura e ha notevolmente esteso la superficie di attacco complessiva di molti enti della pubblica amministrazione. I lavoratori da remoto utilizzano spesso reti al di fuori del controllo IT, il che comporta una riduzione della sicurezza. Inoltre, gli utenti trascorrono più tempo online e questo fattore contribuisce all'aumento dell'esposizione ai rischi.

Dovendo affrontare nuove sfide, la gestione della catena di fornitura e le problematiche legate alla sicurezza della catena di fornitura si stanno espandendo per tenere conto di una gamma più vasta di minacce fisiche e digitali. Le catene di fornitura della pubblica amministrazione sono tenute ad anticipare una serie di attacchi che potrebbero essere eseguiti da diversi attori di minaccia, tra cui gruppi di hacking sponsorizzati dallo stato, criminali, hacktivisti, addetti ai lavori e parti insoddisfatte che mirano a creare caos.

Per ottenere i loro obiettivi, gli hacker utilizzano diverse tattiche fisiche e digitali.

Minacce fisiche

  • Furti e dirottamento di dispositivi, apparecchiature e materiali
  • Manomissione: la modifica o l'alterazione di un dispositivo per scopi malevoli
  • Prodotti non autentici o contraffatti

Minacce digitali

  • Iniezione di malware nel processo di produzione o infezione di componenti del programma
  • Phishing, ransomware, botnet e altri attacchi informatici comuni diretti agli utenti
  • Attacchi alle reti IT e ad altre infrastrutture digitali
  • Compromissione dei servizi cloud di terze parti per ottenere un accesso non autorizzato

Best practice per creare una catena di fornitura sicura

Gli enti della pubblica amministrazione sono concentrati sul miglioramento della sicurezza delle loro catene di fornitura. Molti enti stanno implementando team di sicurezza della catena di fornitura. Una priorità principale consiste in una visione più olistica del panorama delle minacce, a livello fisico, digitale e dei vettori di attacco umani. L'obiettivo è di aggregare in modo più efficace le informazioni per scoprire le tendenze degli attacchi. Grazie al miglioramento del monitoraggio nella catena di fornitura, gli enti della pubblica amministrazione possono rimanere più informati sull'emergere dei rischi.

Visibilità olistica e intelligenza

Un approccio olistico alle informazioni di sicurezza della catena di fornitura contribuisce inoltre a promuovere discussioni più approfondite tra i responsabili del rischio della catena di fornitura e altre parti interessate quali gli specialisti di sicurezza informatica, i team di sicurezza fisica e le risorse umane. Una maggiore collaborazione e connessione tra queste discipline sono fondamentali.

Allo stesso modo, i servizi di intelligence relativi alle minacce possono aiutarvi a rimanere aggiornati sulle più recenti tendenze e tattiche di attacco. Molti fornitori sono alla ricerca di modi per condividere informazioni e contribuire a proteggere i loro settori dalle minacce.

Un approccio di sicurezza Zero Trust

La sicurezza Zero Trust sta diventando rapidamente un nuovo standard. In questo modo, ai dipendenti e ai partner viene assegnato esclusivamente l'accesso necessario a svolgere il proprio lavoro. Questo approccio limitato per la concessione di privilegi di accesso contribuisce a combattere il crescente numero di meccanismi di minaccia e dei vettori di attacco nell'intera catena di fornitura. L'adozione di un approccio Zero Trust può contribuire a migliorare la gestione del rischio di sicurezza delle informazioni del vostro ente.

Certificazioni e convalida di terze parti

Molti enti mirano a tenere il passo con gli standard di sicurezza della catena di fornitura al fine di garantire la protezione dei loro beni. Certificazioni quali ISO28000 e ISO27001, o l'utilizzo del framework di sicurezza informatica NIST, possono fornire la garanzia che state eseguendo la procedura giusta per prevenire e risolvere rapidamente le violazioni. La convalida esterna e i controlli di ottimizzazione avanzata sono in grado di garantire la conformità e promuovere le attività di certificazione più efficienti.

Valutazione approfondita e costante

Il controllo deve essere applicato a ciascun nodo nella vostra catena di fornitura globale, congiuntamente a una valutazione anticipata completa e a una verifica costante di tutti i partner della catena di fornitura. I contratti possono essere utilizzati per consolidare gli accordi e standardizzare le aspettative dei fornitori. Le verifiche possono quindi contribuire a fornire la garanzia dell'adesione all'accordo da parte dei fornitori. L'adozione di misure correttive adeguate in caso di segnalazione di problemi e il monitoraggio dei relativi progressi rappresentano aspetti fondamentali. Queste pratiche di risposta e risanamento devono essere integrate nella gestione dei fornitori esistenti o nei programmi di miglioramento della qualità. La trasparenza e la fiducia devono rappresentare le basi di qualsiasi rapporto legato alla catena di fornitura.

L'impegno di Intel per la sicurezza della catena di fornitura

Per noi di Intel, la sicurezza è sempre una priorità assoluta. Offriamo la catena di fornitura trasparente Intel® (Intel TSC), che consente una visibilità più approfondita e una tracciabilità dei componenti hardware, firmware e dei sistemi su piattaforme Intel® selezionate. Essa offre uno sguardo dettagliato sulla catena di custodia del dispositivo, contribuendo a fornire la garanzia che il proprio investimento non sia stato compromesso.

Oltre all'offerta Intel TSC, abbiamo adottato misure volte a consolidare la sicurezza della nostra catena di fornitura. Ci serviamo di un framework per la gestione del rischio basato su best practice e di standard di settore nella nostra intera ampia rete di fornitori: dalla progettazione ai servizi, fino alla gestione IP e ai servizi di magazzino e di logistica. Il nostro programma include le linee guida per la selezione dei fornitori che tengono conto di pratiche e posizioni rispetto alla sicurezza, di regolari valutazioni del rischio legate al fornitore, di tutela del linguaggio contrattuale dalle contraffazioni, verifica in loco e monitoraggio della sicurezza informatica in tempo reale. Queste funzionalità sono integrate nelle nostre pratiche standard di gestione dei fornitori al fine di consentire una visibilità più approfondita nelle nostre operazioni e di aiutarci a individuare rapidamente le anomalie e i rischi.