A cura di Darren Thomson, Field CTO EMEAI di Commvault
I cyberattacchi contro grandi marchi e catene di approvvigionamento critiche stanno diventando sempre più frequenti e sofisticati. Una singola violazione, in qualsiasi punto dell’infrastruttura digitale condivisa, può interrompere molte altre aziende, con gli attaccanti che prendono di mira deliberatamente software o fornitori di servizi ampiamente utilizzati per massimizzare l’impatto.
Si tratta di un’evoluzione che deriva anche dalle conseguenze che le aziende devono affrontare in caso di interruzione. Normative come il Digital Operational Resilience Act (DORA) dell’UE e la Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi 2 (NIS2) stanno aumentando l’onere di conformità per le aziende. Sebbene regole più severe siano estremamente importanti, possono anche avere l’effetto non intenzionale di rendere le organizzazioni più attraenti per gli attori delle minacce che cercano leva e guadagno finanziario.
Più alte sono le conseguenze operative e legali di un’interruzione, maggiore è la pressione sulle aziende a rispondere rapidamente, in particolare quando il fallimento significa violare i requisiti di conformità, con tutte le conseguenze negative che ne derivano. Nei settori più strettamente regolamentati, questo senso di urgenza aumenta la leva a disposizione dei cybercriminali, rendendo più facile per loro fare pressione sulle organizzazioni affinché soddisfino le loro richieste.
Le vulnerabilità intrinseche in molte supply chain sono evidenti nel numero crescente di incidenti in cui gli attaccanti compromettono strumenti o piattaforme di gestione ampiamente utilizzati per ottenere un accesso più ampio, e nei quali l’attrattiva risiede non solo nel guadagno finanziario, ma anche nella visibilità. Gli attacchi su larga scala che colpiscono nomi noti hanno maggiori probabilità di essere riportati sulla stampa, dando agli attaccanti la pubblicità che spesso cercano. In questo contesto, gli attori più importanti e integrati sono visti come gli obiettivi più preziosi e l’assunto prevalente che i cyberattacchi siano incidenti isolati che colpiscono singole organizzazioni non è più valido. Oggi, un single point of failure può rapidamente degenerare in una crisi intersettoriale.
Implementare una strategia di Minimum Viable Company
In questo contesto, le aziende non solo devono rafforzare le proprie difese, ma anche prepararsi a ripartire dopo un attacco riuscito, definendo chiaramente quali sistemi siano essenziali per mantenere operativa l’attività.
Più che dalla gravità della violazione subìta, la velocità di ripristino è spesso determinata dal livello di preparazione dell’organizzazione, con uno dei fallimenti più comuni rappresentato dalla mancanza di chiarezza su quali sistemi e processi siano più critici per ripristinare le operazioni di base.
È qui che la definizione di una Minimum Viable Company (MVC) diventa essenziale.
Il concetto di MVC si riferisce all’insieme minimo di sistemi e funzioni necessari per mantenere la continuità operativa. Questi differiranno da organizzazione a organizzazione, ma in genere includono piattaforme di comunicazione di base, sistemi finanziari e infrastrutture di servizio clienti. Senza una chiara visione di cosa ripristinare per primo, le aziende possono rapidamente essere sopraffatte, in particolare quando i decisori considerano ogni sistema come mission-critical e i piani di recovery mancano di un’adeguata prioritizzazione.
Il problema è che molte aziende iniziano a considerare i loro requisiti MVC solo dopo che si è verificata una violazione, e a quel punto è già troppo tardi. Stabilire i parametri in anticipo e testare regolarmente sono alcuni dei modi più efficaci per ridurre i tempi di inattività e accelerare il ritorno alla normalità.
Lo stesso principio si applica a livello individuale perché sono i consumatori a subire spesso le conseguenze più immediate di una grave violazione. In queste situazioni, la resilienza personale diventa altrettanto importante, con una sicurezza ottimizzata che riduce significativamente i rischi di esposizione. Che si tratti di un’azienda o di un individuo a rischio, la resilienza è più che una semplice igiene della cybersecurity. Come hanno dimostrato i recenti incidenti in Spagna e Portogallo, le interruzioni di corrente a livello nazionale hanno colpito i sistemi chip-and-pin, lasciando molte persone senza la capacità di effettuare acquisti di base. In questi casi, avere contanti e alternative analogiche per i servizi essenziali può fare una grande differenza. Proprio come le aziende devono definire la loro MVC, gli individui dovrebbero porsi una semplice domanda: quali sono gli strumenti e i processi essenziali di cui ho bisogno per operare, se i servizi digitali non fossero disponibili? Per molti di noi, la risposta potrebbe essere più pratica che tecnica.
Nei casi più estremi, le violazioni della catena di approvvigionamento hanno il potenziale di colpire decine di migliaia di organizzazioni. Ma chiunque siano le vittime, il costo sta aumentando a un ritmo allarmante. Secondo Gartner, una stima suggerisce che l’impatto degli attacchi alla supply chain del software crescerà da 46 miliardi di dollari nel 2023 a 138 miliardi di dollari entro il 2031, riflettendo i rischi di fondo in gioco.
Le aziende con supply chain digitali strettamente integrate dovrebbero tenerne conto e prepararsi affinché, nel caso dello scenario peggiore, possano mantenere la continuità aziendale, anche durante la crisi.
