Le grandi infrastrutture nazionali, come quelle che forniscono servizi essenziali (energia, acqua, gas) per il Paese, sono parte di una complessa supply chain, una rete che include “terze parti” (clienti e fornitori) e “quarte parti” (sub-fornitori e altri attori esterni).
Indice degli argomenti
Sicurezza della supply chain e vulnerabilità delle piccole imprese
Questi ultimi, spesso piccole imprese, giocano un ruolo fondamentale nella supply chain, ma sono spesso caratterizzati da una cyber posture non adeguata rispetto al contesto critico nel quale operano, come dimostrano le statistiche che indicano che la maggioranza delle imprese italiane dedica meno del 3% del proprio budget IT alla cybersecurity.
Sebbene le grandi infrastrutture abbiano approcci ben strutturati per gestire il rischio cyber, risulta complesso identificare e monitorare adeguatamente le minacce provenienti dalle “quarte parti”, che, se compromesse, possono avere impatti significativi sull’intera infrastruttura.
Per questo motivo, è essenziale che le soluzioni di monitoraggio includano anche questi attori esterni, come sottolineato dall’Agenzia per la Cybersicurezza Nazionale (ACN), che promuove lo sviluppo di modelli di rischio per la gestione delle reti di catene di approvvigionamento, al fine di prevenire danni derivanti da attacchi cibernetici.
Ransomware e vulnerabilità delle piccole imprese
Guardando alle recenti statistiche sulla minaccia cyber nel nostro Paese, la compromissione di un attore della supply chain, legato all’infrastruttura in esame in modo più o meno forte è da considerarsi come un evento tutt’altro che remoto. Il rapporto CLUSIT 2025 dedica un approfondimento agli attacchi cyber rivolti alla supply chain.
I target di attacchi cyber nella supply chain possono essere di due tipologie:
- Grandi player comuni a più catene di approvvigionamento (Managed Service provider, Managed Security Provider, aziende di telecomunicazioni, etc), solitamente realtà ben strutturate, robuste dal punto di vista cyber ma la cui compromissione potrebbe colpire simultaneamente più infrastrutture basate sui loro servizi,
- Piccole imprese, comuni ad un numero di catene di approvvigionamento inferiore, ma meno strutturate e con una cyber posture spesso non adeguata.
Soprattutto per questa seconda tipologia, la minaccia ransomware continua a rappresentare un tema assai attuale, visto il rapporto favorevole tra sforzo necessario da parte dell’attaccante e risultato conseguibile.
Uno degli aspetti più critici derivanti dalla compromissione da ransomware è la rapida divulgazione pubblica dell’avvenuta esfiltrazione di informazioni della vittima. Infatti, la quasi totalità dei gruppi ransomware espone una sua “wall of shame”, una pagina nel dark web con l’elenco delle vittime colpite, informazioni sui dati esfiltrati ed altri dettagli sull’attacco.
Il tempo di download dei file esfiltrati può variare molto. I gruppi maggiormente organizzati permettono ai visitatori delle wall of shame di navigare tra cartelle e file esfiltrati, prevedendo il download del singolo file di interesse attraverso varie modalità minimizzando quindi i tempi di download. I gruppi meno organizzati solitamente pubblicano un unico grande archivio frutto dell’esfiltrazione, la cui dimensione nell’ordine delle centinaia di giga, richiede un tempo di download molto lungo, sia per la dimensione dell’archivio sia per le caratteristiche della rete Tor, che per motivi strutturali e tecnologici non garantisce alte prestazioni.
Con particolare riferimento agli attori del perimetro di un’infrastruttura essenziale, il risultato finale è una rapida divulgazione di informazioni spesso critiche, gestite da piccole realtà che, una volta compromesse, diventano, in tempo rapidissimo, accessibili da chiunque, anche a chi non possiede particolari competenze .
In questo scenario, terze e quarte parti, o più in generale piccole realtà più o meno legate in modo diretto con grandi infrastrutture, diventano il punto di vulnerabilità, in quanto la compromissione di una di esse può non solo danneggiare l’attore stesso, ma estendersi rapidamente lungo tutta la catena, con impatti anche su grandi infrastrutture.
Conseguenze sistemiche della mancata vigilanza sulla sicurezza della supply chain
Quando la catena di approvvigionamento è lunga e complessa, e coinvolge più livelli di subappalti, è infatti possibile che le informazioni critiche relative all’infrastruttura non possano sempre essere monitorate in modo adeguato. Tutto ciò può indurre significativi rischi sistemici, anche perché il più delle volte la terza/quarta parte non ha capacità per comprendere l’effettiva portata delle conseguenze derivabili dalla sua compromissione.
Il quadro istituzionale della cybersecurity italiana
La sicurezza della supply chain e il monitoraggio delle terze parti sono tra gli argomenti centrali dell’Agenda di Ricerca e Innovazione per la Cybersicurezza 2023 – 2026 di ACN. Lo sforzo congiunto delle istituzioni e degli organi di ricerca nel settore della cybersecurity è dimostrato anche dal recente protocollo di intesa tra ACN e l’Agenzia Nazionale di Valutazione del Sistema Universitario e della Ricerca (ANVUR) che mira ad una miglior collaborazione tra i due settori, in particolare nella condivisione di obiettivi e progetti strategici che possano favorire attività di ricerca dell’ACN e quelle di didattica universitaria dell’ANVUR.
Il contributo del Cyber SHOT Lab alla sicurezza della supply chain
In questa direzione lavora il laboratorio Cyber SHOT (Cybersecurity Laboratory for Systems, Health and Operational Technologies). Il laboratorio è il risultato della collaborazione tra l’Università Campus Bio-Medico di Roma e il Competence Center Cyber 4.0, il Centro di Competenza nazionale ad alta specializzazione per la cybersecurity istituito e co-cofinanziato dal Ministero delle Imprese e del Made in Italy.
Il laboratorio ha un focus particolare sulle Operational Technologies, i sistemi e-health e le infrastrutture critiche. L’obiettivo del laboratorio è quello di mettere a disposizione delle aziende la ricerca nel campo della cybersecurity, realizzando progetti congiunti e affiancandole con attività di supporto che variano dalle attività di vulnerability assessment a quelle di incident response.
Il laboratorio negli ultimi due anni è risultato vincitore di due GRANT Google.org, grazie ai quali ha avviato progetti di formazione nel campo della cybersecurity e progetti di supporto ad infrastrutture ed imprese. I progetti hanno un focus particolare sulla compromissione delle terze parti e mirano a supportare l’utente nell’individuazione di quegli attori con un legame critico rispetto all’infrastruttura o l’impresa in esame fornendo suggerimenti nelle attività di monitoraggio riguardanti la compromissione, report periodici specifici sulla cyber posture della propria supply chain e notifiche in caso di compromissioni ritenute di interesse.
PACY: piattaforma di supporto alla gestione del rischio cyber
Il progetto PACY (ProActive Cyber Security), finanziato da Google.org, è al centro delle attività di ricerca del Cyber SHOT Lab.
L’obiettivo del progetto è la realizzazione di una piattaforma web che possa assistere le piccole imprese e le grandi infrastrutture nella gestione del rischio cyber.
Per le piccole imprese, PACY prevede un servizio di assistenza, basato sull’IA di Google, attraverso il quale l’utente, a valle di una procedura di registrazione, potrà dialogare con un assistente virtuale da contattare in caso di incidente cyber. L’assistente, in grado di identificare attraverso il dialogo la tipologia di minaccia, supporta l’utente guidandolo nelle operazioni necessarie per mitigare gli effetti dell’incidente e realizzare contestualmente, in modo completamente automatico, un report dettagliato sull’accaduto grazie all’integrazione di servizi gratuiti per l’analisi della minaccia. Al termine della procedura, il report potrà essere consegnato alle autorità che gestiranno l’evento.
Allo stesso tempo, PACY offre un servizio di monitoraggio delle terze parti utile sia per le piccole imprese che per le grandi infrastrutture, analizzando la comparsa di nuove rivendicazioni ransomware nel dark web riconducibili alla supply chain che le coinvolge. Una notifica allerta l’utente della presenza di una nuova compromissione di una terza parte strettamente legata alla propria realtà permettendo una rapida gestione dell’evento.
Monitoraggio delle quarte parti tramite apprendimento automatico
Il Cyber SHOT Lab sta inoltre lavorando alla realizzazione di un servizio dedicato prevalentemente alle grandi infrastrutture per il monitoraggio delle quarte parti. Il servizio sarà in grado di suggerire all’infrastruttura anche la presenza di quarte parti identificate come piccole realtà non direttamente riconducibili a clienti o fornitori ma frutto di un legame indiretto e non monitorato ma che allo stesso tempo necessità di essere attenzionato dall’infrastruttura. Le quarte parti identificate dal servizio saranno suggerite all’utente che potrà fornire un feedback sulla rilevanza della quarta parte individuata. Sulla base di un approccio basato su tecniche di reinforcement learning, il sistema apprenderà in modo sempre più preciso ad individuare le quarte parti di interesse, permettendo all’infrastruttura di individuare quei deboli legami con piccole imprese che rappresentano una possibile falla all’interno del suo perimetro.
