Rischio cyber di terze parti. Sarebbe meglio fare tutto da soli?

Rischio cyber di terze parti. Sarebbe meglio fare tutto da soli?

Aumenta l’allarme di rischio informatico di terze parti. Ecco come passare a una gestione più strutturata del rischio, che per alcuni settori sta per diventare obbligatoria

I giornali ci dicono che in buona parte degli incidenti eclatanti di cybersecurity gli attaccanti raggiungono il loro reale obiettivo passando attraverso le infrastrutture di un terzo soggetto. Uno dei casi di scuola è l’incidente della catena di supermercati USA “Target”: i criminali riuscirono ad accedere ai suoi sistemi amministrativi, e da lì a tutti i POS, compromettendo prima i sistemi del fornitore che si occupava della manutenzione dei frigoriferi dei supermercati. Furono rubati i dati delle carte di credito di varie centinaia di migliaia di persone, e come conseguenza ci furono non solo perdite e risarcimenti per milioni di dollari, ma anche, dopo qualche mese, le dimissioni dell’amministratore delegato di Target.

In sintesi, ogni nostro fornitore è potenzialmente un punto di debolezza nelle nostre difese informatiche, e più è connesso in profondità nei nostri sistemi, più le sue misure di sicurezza diventano le nostre misure di sicurezza. L’importanza di gestire il rischio di terza parte (all’inglese Third Party Risk Management, TPRM) è già stata riconosciuta anche dal regolatore europeo, che ha inserito espliciti requisiti per esempio nel Digital Operational Resilience Act, il quale sta per entrare in vigore per tutto il settore bancario/finanziario/assicurativo/fintech, e nella nuova versione della direttiva NIS, che coinvolgerà molti più soggetti e non solo quelli rigidamente individuati nella prima versione.
Potremmo essere tentati di risolvere il problema TPRM dal punto di vista solo contrattuale, con delle clausole che assegnino al fornitore esplicitamente le responsabilità di sicurezza. Questa visione è attraente ma nei casi in cui è stata adottata si è dimostrata semplicistica. Il fornitore potrebbe essere tentato di firmare queste clausole, e poi di “correre il rischio” per diminuire i propri costi; oppure potrebbe non avere i mezzi per adempiere completamente a condizioni che non sono negoziabili.

Leggi anche:  LasPass conferma l’hacking di agosto

Inoltre, quando il problema accade davvero, dobbiamo comunque affrontarlo e risolverlo, a prescindere da come i criminali siano arrivati a noi. Solo a incidente risolto, se la “colpa” è del fornitore, potremo invocare le clausole contrattuali. Se il fornitore si oppone, dobbiamo agire in giudizio contro di lui e dimostrare che ha davvero intenzionalmente violato il contratto. Il giudice, naturalmente, può sempre decidere che il fornitore ha fatto tutto il possibile, e dargli ragione; ed anche in caso di vittoria, il fornitore potrebbe non avere i mezzi per rifonderci del danno, oppure essere già fallito, magari proprio per le conseguenze dell’incidente.

La strada corretta naturalmente non esclude le clausole contrattuali, ma realisticamente richiede che ci facciamo parte attiva. Per esempio, non solo dovremmo dare al fornitore dei requisiti di sicurezza, ma dovremmo anche aiutarlo a implementarli e verificare che le misure di cybersecurity adottate siano efficaci; e al limite “sanzionarlo” se non coopera. In generale, dovremo farci carico di parte del lavoro.

Naturalmente, finché il fornitore è grande, organizzato e dotato dei mezzi per difendersi, questo lavoro sarà abbastanza limitato e probabilmente potrà limitarsi al concordare i controlli e all’audit periodico degli stessi. Quando il fornitore è piccolo, e probabilmente non potrà permettersi controlli molto sofisticati, potremmo doverci fare carico di misure compensative dal nostro lato, per evitare rischi di propagazione. Ancora diverso è il caso dei fornitori “inevitabili”, si pensi per esempio al cloud o ai social network: essi di solito sono molto ben strutturati sulla cybersecurity, ma d’altra parte non accettano alcun dialogo sulle contromisure. In tutti i casi, il TPRM richiede un processo di gestione per poter essere affrontato correttamente.

Leggi anche:  Il 2022 della Cyber Security: esperti a raccolta per una nuova edizione di Security Summit

Il tema non è nuovo: da sempre le aziende devono tutelarsi dai rischi che le terze parti impongono. Ai rischi commerciali tradizionali, si è affiancato quello legato alla cybersecurity. Dobbiamo tutti inserirlo a pieno titolo nella nostra organizzazione aziendale.


Mauro Cicognini consiglio direttivo CLUSIT