Uno degli aspetti più importanti del Regolamento DORA è la valutazione del rischio delle cosiddette terze parti, i fornitori di servizi TIC (o ICT) delle entità finanziarie, banche, compagnie di assicurazioni e altre come definite dal regolamento.
Nel presente articolo descriveremo un processo automatizzabile che aiuti le aziende nella valutazione del livello di rischio, basandosi su dichiarazioni del fornitore e analisi tecniche non invasive di “hacking etico”.
Indice degli argomenti
Quanto incidono le terze parti sulla cyber sicurezza aziendale
Per avere, innanzitutto, un’idea sulla portata dell’argomento della valutazione del rischio di terze parti e il livello di consapevolezza nelle organizzazioni sulla nuova sfida, il rapporto dell’ENISA “Good Practices for supply chain cybersecurity”, del giugno 2023, evidenziava che secondo studi indipendenti, le organizzazioni che hanno subito un incidente informatico imputabile a terze parti va dal 39% al 62%.
Secondo un’indagine condotta da Gartner, l’84% delle aziende intervistate hanno subito ripercussioni operative da incidenti subiti dai fornitori. A simili risultati conduce anche l’analisi della società di consulenza KPMG, con un una percentuale del 73%.
Secondo l’indagine “The State of Security Remediation 2024” del CSA (Cloud Security Alliance), solo il 23% delle organizzazioni ha dichiarato di avere piena visibilità sui loro ambienti cloud, considerando anche il fatto che la filiera delle forniture si estende ben oltre le terze parti, mentre l’85% di rispondenti all’indagine di KPMG, ritiene l’argomento rischi terze parti una priorità in agenda.
Se quanto fin qui esposto non fosse sufficiente a descrivere lo scenario corrente, vale la pena citare il report “State of security 2024: addressing the threat of security debt” di Veracode, secondo il quale circa il 71% delle aziende utilizza applicazioni con vulnerabilità di prima o terza parte, incluso il software open source, irrisolte da oltre un anno, a prescindere dalla loro gravità (metaforicamente il “debito di sicurezza”).
Un processo di valutazione del rischio delle terze parti
Premesso che le linee guida delle ESA (Autorità Europee di Vigilanza nel settore finanziario) e le informazioni attualmente disponibili non sono pienamente esaustive in materia, né allo stato attuale sono stati chiariti gli aspetti circa l’integrazione con la regolamentazione preesistente, proviamo a delineare un processo di valutazione che supporti le organizzazioni nell’affrontare la problematica del rischio delle terze parti.
Aiuta, in tal senso, la rilettura in chiave tecnica dei considerando specifici del Regolamento DORA, per ritrovare elementi utili alla formulazione di una strategia operativa che risolva in maniera quantomeno efficiente la valutazione del livello di rischio intrinseco del fornitore e di conseguenza il livello di resilienza operativa delle organizzazioni in relazione ai servizi utilizzati.
Un elemento ricorrente nei considerando è l’interconnessione digitale della filiera di fornitura e l’interdipendenza delle organizzazioni. Ciò costituisce una potenziale vulnerabilità sistemica, anche a livello transfrontaliero.
Un altro argomento ribadito è quello del monitoraggio continuo e della necessità di testare digitalmente la resilienza delle organizzazioni in termini di protezione, individuazione, contenimento, ripristino e rimedio in relazione ai possibili incidenti, con particolare riferimento al rischio posto da terzi e il monitoraggio costante dei fornitori TIC critici.
In generale, tutti i servizi TIC, interni o esternalizzati, dovrebbero rispondere ai principi fondamentali di una “basic cyber hygene”, un’igiene cibernetica. Ciò a partire non solo dai fondamentali principi di sicurezza, ma soprattutto prendendo le mosse dalle esperienze nella lotta alle minacce informatiche e dalla consapevolezza delle vulnerabilità, derivanti da analisi di “threat intelligence”, al fine di prevenire che le minacce si trasformino in incidenti.
Recita a tal proposito il considerando (56): “…i test (n.d.r. di resilienza) dovrebbero comprendere un’ampia varietà di strumenti e azioni, dalla valutazione dei requisiti di base, ad esempio:
- Valutazione e scansione delle vulnerabilità.
- Analisi open source (n.d.r. l’analisi OSINT è una procedura di intelligence che si occupa di ricercare e analizzare informazioni delle organizzazioni e persone provenienti da fonti disponibili su internet).
- Valutazioni della sicurezza delle reti.
- Analisi delle lacune (n.d.r. gap analysis sullo stato di applicazione delle misure di sicurezza).
- Esami della sicurezza fisica.
- Questionari e soluzioni di scansione del software.
- Esami del codice sorgente, ove possibile.
- Test basati su scenari, test di compatibilità, test di prestazione o test end-to-end.
- Test più avanzati tramite TLPT (n.d.r. Test di penetrazione basati su minacce reali, ossia secondo definizione del TIBER EU, framework europeo di ethical hacking, un tentativo controllato di compromissione della resilienza basato sulla simulazione di tattiche e tecniche e procedure di hacking reali)”.
Tutto ciò in un rapporto di proporzionalità con le dimensioni dell’organizzazione e il profilo di rischio, piena responsabilità delle organizzazioni nella gestione del rischio e piena libertà nella decisione di quali e quante funzioni importanti debbano essere incluse nell’ambito dei test.
Implicazioni sulla privacy nella valutazione delle terze parti
Nota importante da mettere in evidenza: il Regolamento DORA richiama un altro importante e noto regolamento, il Reg. EU 2016/679 GDPR (General Data Protection Regulation), stabilendo che nel condurre le attività di test che implichino il trattamento di dati personali di cui le organizzazioni sono titolari ai sensi di legge, queste ultime sono supportate da specifiche basi giuridiche, come richiamate ai punti 1.f, 1.c, 1 .e dell’articolo 6 del GDPR, ossia nell’ordine il legittimo interesse del Titolare o di terzi, l’adempimento di obblighi legali cui il Titolare è soggetto, la necessità di trattamento per compiti di interesse pubblico.
Per quanto fin qui esposto, appare evidente ad esperti consulenti e auditor, che la tematica viene trattata dai vari standard sulla sicurezza delle informazioni (es. uno per tutti il framework offerto dalla ISO 27001), permangono tuttavia notevoli difficoltà operative di implementazione.
Il Regolamento richiede, infatti, che la valutazione del cyber rischio di terze parti debba essere svolta già in fase precontrattuale, in un’analisi di “due diligence” che garantisca l’idoneità del fornitore dall’inizio e lungo tutto il processo di selezione (art. 28.4.d del Regolamento DORA), quindi a monte dello sviluppo della relazione di fornitura e della possibilità di accesso ad infrastrutture e processi.
Tale analisi tende a generare un alto volume di informazioni, eterogenee, talora difficili da convalidare e classificare per rilevanza, si pensi alle indagini OSINT, ossia la ricerca e recupero di qualsiasi informazione da fonti pubbliche sul fornitore, isolando e combinando solo quegli input oggettivi e rilevanti.
A complicare il quadro, i fornitori normalmente sono molteplici e possono a loro volta fare affidamento su una filiera di subfornitori (quarte, quinte, …n-esime parti), potenzialmente non meno critici per la resilienza dell’organizzazione.
Creare un processo di selezione e valutazione dei fornitori
Un processo di selezione e valutazione dovrebbe includere come primo step la mappatura dei fornitori che supportano l’organizzazione, creando dei profili e segmentandoli per gruppi omogenei e comparabili in base alla tipologia di servizio reso, alla natura delle informazioni e dati scambiati e la criticità in termini di possibili ripercussioni (operative, finanziarie, legali, reputazionali ecc.) che un incidente informatico avrebbe sull’organizzazione.
La mappatura così eseguita aiuta nel passo successivo, che tipicamente consiste nell’invio di richieste in forma di questionari sulla sicurezza, la cui formulazione “ad hoc” può essere fatta, a semplificazione del processo, procedendo da modelli già esistenti nel mercato.
Questionari sulla sicurezza
I due modelli di questionario più utilizzati, anche ad integrazione di questionari già esistenti, sono il questionario SIG (rif. Shared Assessment Standardized Informazion Gathering) che riporta oltre 1.800 domande per 19 aree di controllo, particolarmente utile per i settori altamente regolamentati e/o focalizzati sulla privacy dei dati, e il questionario CAIQ (Consensus Assesment Initiative Questionnaire del CSA) specifico per ambienti Cloud, con 133 obiettivi di controllo in 16 diverse aree.
La compilazione in risposta può essere un processo lungo per il fornitore, in quanto spesso potrebbero essere coinvolte più funzioni. Non è raro che i fornitori abbiano a loro volta domande o bisogno di chiarimenti sui contenuti, rendendo il processo della comunicazione farraginoso a tal punto da richiedere ulteriore impegno di risorse la gestione e il rispetto delle scadenze per il completamento.
Il fornitore, nel rispondere al questionario, è tenuto, inoltre, a fornire per ciascun controllo evidenze oggettive e pertinenti, che eventualmente potrebbero aver bisogno di convalida, ad esempio sulla base di relazioni di audit messe a disposizione dal fornitore.
Valutazione del footprint digitale e analisi della superficie d’attacco
Un passo successivo potrebbe consistere nella valutazione del footprint digitale disponibile in Internet, utilizzando tecniche di:
- “White hat” o hacking etico: del tutto simili a tecniche di hacking malevolo ma con evidente diversità di scopo, utilizzate per effettuare la ricognizione degli assets informatici e procedere con la ricerca di eventuali vulnerabilità.
- “Enumeration”: processo con il quale si raccolgono informazioni dettagliate sui sistemi target e le criticità esposte.
Un’analisi tecnica della superficie di attacco esposta dovrebbe esaminare almeno tre aspetti:
- Infrastruttura ICT e di rete: consiste nella ricerca di informazioni sulla reputazione degli assets (domini, sottodomini, IP), su servizi cloud esposti, parametri relativi ai server DNS, vulnerabilità a livello end points, mail servers, certificati TLS (Transport Layer Security), web servers.
- Applicazioni web: si prefigge lo scopo di rilevare vulnerabilità delle tecnologie, esposizioni ad attacchi ai domini (dirottamenti, typosquatting), informazioni esposte (database, servizi di gestione in chiaro, servizi sfruttati nelle campagne ransomware), informazione sui protocolli utilizzati, eventuale esposizione di servizi OT (Operation Technology).
- Fattore Umano: viene effettuata l’analisi del “digital footprint”, ossia la presenza nei social networks, la scoperta di credenziali di autenticazione compromesse o dei servizi aziendali presenti o altre informazioni disponibili in Internet o nel Dark Web, che riguardino direttamente o indirettamente un’organizzazione.
Correlazione dei risultati, valutazione e monitoraggio continuo
Le risultanze dell’analisi tecnica dovrebbero, infine, essere correlate con le risposte dei questionari per valutarne la coerenza ed eventualmente chiarire informazioni contrastanti.
Dalle informazioni fin qui raccolte si possono ricavare elementi per la valutazione del rischio informatico e la successiva implementazione delle attività di mitigazione, quantomeno per la superficie d’attacco analizzata.
Due ulteriori aspetti devono essere esplorati successivamente: quello della postura della sicurezza del fornitore vista dalla parte interna, non esposta in Internet, tramite garanzie di accesso e audit richiesti in sede contrattuale; quello della filiera di fornitura, ossia i subfornitori, almeno di quarta e di quinta parte, mettendo in evidenza le possibili interconnessioni, eventualmente definendo un profilo di rischio in base alla natura della relazione.
È necessario ricordare, infine, che tale processo di valutazione non può essere statico ovvero “una tantum” nella durata contrattuale del rapporto di fornitura, in quanto le minacce cyber esterne sono mutevoli e utilizzano costantemente nuovi ed avanzate tecniche per sfruttare nuove vulnerabilità negli attacchi informatici. D’altro canto, le infrastrutture dedicate all’erogazione di servizi ICT, la postura di sicurezza delle terze parti e la filiera di fornitura sono in continua evoluzione e così lo è il rischio, fattori che richiedono pertanto processi automatizzati di valutazione e relativi strumenti informatici, in un’ottica di efficienza e ottimizzazione delle risorse da dedicare alla gestione.
