Necessario scegliere fornitori formati sulla cyber security
Tutti noi sappiamo quanto può essere prezioso un fornitore, di beni o servizi, con cui si ha un rapporto di fiducia consolidato. Un principio valido nella vita quotidiana ma ancora di più nell’attività lavorativa e nell’organizzazione di un’azienda.
Viviamo ormai in un mondo globalizzato dove imprese anche medio-piccole si sono aperte ai mercati internazionali e hanno adottato politiche di global sourcing proprio per reperire a livello mondiale quei fornitori capaci di assicurare un prezzo più vantaggioso e garantire le economie necessarie al business aziendale. Così, sono state delegate parti sempre crescenti delle attività a fornitori anche molto lontani.
Parliamo delle catene di approvvigionamento, supply chain, ossia del processo che porta, attraverso vari passaggi, un prodotto o un servizio dal fornitore al cliente finale.
Si tratta di un processo complesso che coinvolge più figure professionali e attiva svariati processi dell’ecosistema-impresa: dalle materie prime alla logistica. Ma il concetto può essere riferito anche agli aspetti di coordinamento manageriale che servono ad ottimizzare i singoli anelli della catena. In questo caso si parla di Supply Chain Management e ci si riferisce all’insieme di elementi che rendono possibile lo svolgimento delle fasi precedenti.
Nel mercato globale l’anello debole è ancora il fattore umano
Tutto questo, come dicevamo, ha assunto, con la globalizzazione dei mercati, l’intensificarsi dei flussi di materie prime e l’avvento dell’e-commerce, una valenza ben diversa e una complessità nettamente superiore rispetto a qualche anno fa.
Questi processi globali hanno allungato le filiere facendole diventare meno controllabili, aumentando la dipendenza delle imprese da infrastrutture a volte poco conosciute e potenzialmente critiche. In una catena difficile da controllare l’anello debole può nascondersi ovunque, anche nel fattore umano. Prova ne sono gli attacchi cyber sempre più frequenti e sempre più dannosi.
Sta di fatto che i danni cyber per le aziende sono in crescente aumento. Di questo ci avverte anche l’Enisa, Eropean Union Agency for Cyber Security, che, nel suo rapporto Threat Landscape For supply chain Attacks, riporta una carrellata di 24 incidenti che hanno interessato la supply chain nel periodo tra gennaio 2020 e inizio luglio 2021.
Secondo lo studio, sulla base delle tendenze e dei modelli osservati, gli attacchi alla catena di approvvigionamento sono aumentati di numero e sofisticatezza nell’anno 2020. Una tendenza che è continuata nel 2021, e che nei primi 6 mesi ha visto crescere di quattro volte gli attacchi rispetto al 2020.
Tra i vari vettori di attacco più utilizzati ci sono: malware infection, social engineering (phishing), brute-force attack, exploiting software vulnerability. Indipendentemente dalla tecnica di attacco utilizzata, l’obiettivo è sempre quello di ottenere l’accesso a:
- Customer Data (58%),
- Key People (16%),
- Financial Resources (8%).
Sostituire fornitori fidati con altri sconosciuti?
Tra i fattori che hanno contribuito a questa impennata dei rischi cyber, c’è senz’altro la crisi pandemica. La pandemia ha fatto registrato una forte crescita dell’utilizzo della rete non solo per le attività lavorative (smart working), ma anche per il commercio elettronico. Tutto ciò ha indubbiamente contribuito ad aumentare la superficie di attacco.
La pandemia ha anche generato, a livello mondiale, un grave problema di forniture, ancora non del tutto rientrato, che ha visto sostituire fornitori fidati con altri sconosciuti. Tanto che, secondo quanto emerso da uno studio commissionato da Reichelt Elektronik all’istituto di ricerca OnePoll condotto durante il mese di gennaio 2022 su un campione di 250 decision-maker IT del settore manifatturiero italiano, solo il 62% degli intervistati in Italia ha ancora fiducia in una possibile ripresa della supply chain.
Secondo lo studio dal primo semestre del 2021 a oggi, l’aumento dei fermi produzione durante gli ultimi dodici mesi si è attestato al 20%, per una media totale di circa 44,2 giorni, a causa dei ritardi e dei rallentamenti lungo la catena di approvvigionamento.
Uno stop che in pochi possono permettersi e che ha innescato, nella maggior parte delle aziende coinvolte, la ricerca di nuovi fornitori.
Nuovi fornitori cercasi, ma certificati
Tutti conosciamo il rischio di “lasciare la strada vecchia per la nuova”. Così, insieme ai nuovi contatti che sono diventati nuovi anelli della catena, sono lievitati i rischi di introdurre vulnerabilità nei vari passaggi della produzione. Insomma, quando si deve decidere in fretta tra “prendere o lasciare” la prima a rimetterci è la sicurezza. E sappiamo tutti quanto questo sia rischioso.
È sufficiente una sola vulnerabilità non gestita, un solo anello debole, per far saltare tutta la catena e mettere a rischio tutte le aziende coinvolte.
Per mitigare questi rischi è quindi necessario scegliere partner fidati e valutare il fornitore a tutto tondo. Esistono dei criteri consolidati per la scelta: il costo, la qualità, le referenze, la reputazione e gli standard etici, il servizio clienti.
Ma c’è un criterio che va messo in cima alla lista e che oggi è imprescindibile. L’adeguata formazione sulla Cyber Security Awareness che deve essere verificata e possibilmente certificata sui fornitori di tutta la filiera.
Se teniamo conto che il 90% degli attacchi cyber nel mondo si può far risalire ad un errore umano, e che gli hacker approfittano degli anelli deboli della catena, bisogna essere certi che tutto il personale dei fornitori coinvolti nella supply chain, sia all’altezza di gestire i rischi cyber legati all’uso delle tecnologie digitali. Un’assicurazione che può essere garantita da una comprovata certificazione ottenuta per aver svolto la giusta formazione supportata da adeguati programmi di addestramento.
Insomma, per quanto prezioso possa essere un fornitore, quello della sua comprovata e certificata formazione sulla Cyber Security Awareness non può più essere considerato un dettaglio. Soprattutto quando la vulnerabilità informatica da parte di qualcuno può generare importanti danni economici e compromettere i risultati di tutti.
Per saperne di più sui percorsi formativi di Cyber Guru