Recentemente, Amazon ha confermato che i dati di alcuni dei suoi dipendenti sono stati compromessi a causa di un attacco informatico ai danni di un fornitore terzo, noto come MOVEit.
Un incidente che ha messo in evidenza l’importanza cruciale della sicurezza nella gestione dei fornitori, specialmente in un contesto normativo sempre più rigoroso come quello delineato dalle direttive NIS2, DORA e CER.
Indice degli argomenti
L’incidente MOVEit e le sue implicazioni
L’attacco a MOVEit, attribuito al gruppo di ransomware Cl0p, ha colpito circa 2.600 organizzazioni, sfruttando vulnerabilità nei server esposti al pubblico per rubare dati.
Sebbene Amazon abbia dichiarato che i dati compromessi non includevano informazioni altamente sensibili come numeri di previdenza sociale o dati finanziari, il furto ha comunque riguardato informazioni lavorative come indirizzi email e numeri di telefono aziendali.
Questo scenario mette in luce come anche i fornitori che gestiscono dati considerati “non sensibili” possano diventare un punto critico nella catena di sicurezza informatica.
La necessità di una gestione robusta dei fornitori
In un’epoca in cui le normative come NIS2 (Direttiva sulla sicurezza delle reti e dei sistemi informatici) e DORA (Regolamento sulla resilienza operativa digitale) richiedono alle aziende di garantire la sicurezza delle loro infrastrutture digitali, è fondamentale che le organizzazioni prestino attenzione non solo alla propria sicurezza informatica, ma anche a quella dei loro fornitori.
Le aziende devono implementare strategie di gestione del rischio che includano:
- Valutazioni regolari della sicurezza: effettuare audit periodici sui fornitori per garantire che rispettino gli standard di sicurezza richiesti.
- Contratti chiari: stabilire clausole contrattuali che obblighino i fornitori a mantenere elevati livelli di sicurezza e a notificare tempestivamente eventuali violazioni.
- Formazione e sensibilizzazione: educare i dipendenti sui rischi legati ai fornitori e sulle migliori pratiche per la gestione delle informazioni sensibili.
L’incidente evidenzia la necessità di una rigorosa gestione della sicurezza dei fornitori. Con la conformità alla direttiva NIS2, le organizzazioni sono tenute a garantire che i fornitori di servizi critici rispettino standard elevati di sicurezza.
Questo implica che Amazon e altre aziende devono implementare misure per valutare e monitorare continuamente la sicurezza dei fornitori, assicurandosi che non ci siano vulnerabilità nei sistemi esterni che possano compromettere i dati aziendali o dei clienti.
Con DORA, le aziende devono garantire la protezione dei dati e la privacy, il che significa che devono avere in atto politiche e procedure per gestire le violazioni dei dati in modo efficace. Ciò include notifiche tempestive agli utenti interessati e alle autorità competenti, oltre a misure correttive per prevenire futuri incidenti.
DORA, inoltre, richiede alle aziende di dimostrare resilienza operativa attraverso piani di continuità aziendale e strategie di risposta agli incidenti.
Investire in tecnologie e formazione
L’incidente di Amazon sottolinea l’importanza di avere piani robusti in atto per affrontare le violazioni della sicurezza.
Le aziende devono investire in tecnologie e formazione per garantire che il personale sia preparato a rispondere rapidamente ed efficacemente a tali eventi.
Servono audit regolari e reposrtistica dettagliata
Entrambi i regolamenti impongono requisiti di compliance rigorosi. Le aziende come Amazon devono essere pronte a dimostrare la conformità a NIS2 e DORA attraverso audit regolari e reportistica dettagliata sulle pratiche di sicurezza informatica.
La non conformità può comportare sanzioni significative e danni reputazionali.
Data breach Amazon: un monito per tutte le organizzazioni
Il recente attacco ai danni di Amazon serve da monito per tutte le organizzazioni: la sicurezza dei dati non può essere considerata solo una responsabilità interna.
Con l’aumento delle minacce informatiche e l’evoluzione delle normative, è essenziale adottare un approccio olistico alla gestione della sicurezza dei fornitori.
Solo così si potrà garantire una protezione adeguata contro le violazioni dei dati e le conseguenze dannose che ne derivano.
