“Security is only as strong as the weakest link”: la “robustezza” di un qualsiasi sistema di sicurezza è calibrata sul “punto di giunzione” più debole del sistema stesso. Questo vecchio detto, ben noto a tutti gli operatori della sicurezza, è la chiave di comprensione del motivo per cui all’interno dei processi aziendali, i punti di maggiore vulnerabilità, in genere, sono quelli ove si incrociano le diverse funzioni aziendali e, ancor di più, quelli dove le stesse funzioni si incrociano con i flussi dei fornitori: per questo motivo, sempre più spesso, si parla di supply chain security, cioè di sicurezza alle catene di approvvigionamento.
Le supply chain, infatti, costituiscono una rilevante vulnerabilità poiché sono una sorta di “feritoie informatiche” nei sistemi di imprese e pubbliche amministrazioni attraverso le quali gli aggressori possono più agevolmente inserire e diffondere codice malevolo, generando pesanti impatti in termini di indisponibilità dei sistemi, perdite economiche e danni reputazionali delle organizzazioni.
Indice degli argomenti
La diffusione degli attacchi alle supply chain
Non è un caso se negli ultimi tempi sono aumentati gli attacchi alle catene di approvvigionamento (i cc.dd. supply chain attack). Infatti a seguito del miglioramento della sicurezza dei sistemi IT delle organizzazioni pubbliche e private, i criminal hacker hanno spostato la loro attenzione verso le piattaforme dei fornitori.
Il fenomeno è tanto rilevante che ENISA ha ritenuto necessario pubblicare un rapporto[1] che mira a mappare e studiare gli attacchi alla catena di approvvigionamento scoperti tra gennaio 2020 e l’inizio luglio 2021.
Il nucleo del rapporto è un’analisi di tutti gli incidenti della catena di approvvigionamento segnalati per identificare le loro caratteristiche chiave e le relative tecniche. Il rapporto include anche una serie di raccomandazioni rivolte a decisori politici e organizzazioni, in particolare fornitori, la cui adozione può aumentare la postura di sicurezza complessiva contro gli attacchi alle catene di approvvigionamento.
L’attualità dell’attacco a SolarWinds
L’effetto devastante degli attacchi alle catene di approvvigionamento si è manifestato per la prima volta, in modo davvero eclatante, alla fine del 2020 con l’attacco sferrato a SolarWinds.
Si tratta di una grande società di software con sede ad Austin in Texas, che fornisce strumenti di gestione dei sistemi IT per il monitoraggio della rete e delle infrastrutture e altri servizi tecnici ad oltre 300.000 aziende in 190 paesi, comprese le principali articolazioni del governo degli Stati Uniti.
Gli aggressori hanno installato un codice dannoso in un lotto di software distribuito da SolarWinds come aggiornamento o come patch a tutti i clienti. L’aggressione si è potuta così confondere con l’attività legittima di SolarWinds senza essere rilevato nemmeno dal software antivirus.
Pochi giorni fa Tom Burt, vicepresidente aziendale di Microsoft per la sicurezza e la fiducia dei clienti, ha riferito che in una campagna che risale al maggio di quest’anno, i criminal hacker che avevano colpito SolarWinds hanno preso di mira più di 140 aziende tecnologiche, comprese quelle che gestiscono o rivendono servizi di cloud computing.
L’attacco, che ha avuto successo con ben 14 di queste società tecnologiche, ha coinvolto tecniche non sofisticate come il phishing o l’utilizzo di password trovate online tra le fonti aperte – OSINT – o acquisite con attacchi a forza bruta (brute force attack).
Questa particolare modalità di aggressione postula quindi la necessità per imprese e pubbliche amministrazioni di tenere nella massima considerazione questo aspetto quando definiscono le loro politiche di sicurezza, tenendo ben presente che l’effettivo e “sostanziale” rispetto del GDPR può aiutare a presidiare in modo efficace i processi aziendali.
Rapporto tra imprese e fornitori: il vincolo formale
Innanzitutto ricordiamo che, sotto il profilo formale, le imprese e le P.A “titolari del trattamento” devono avvalersi esclusivamente di fornitori che offrano “garanzie sufficienti” in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, anche per la sicurezza del trattamento[2].
Per questo motivo ogni fornitore, cha ha la veste giuridica di “responsabile del trattamento”, deve essere “vincolato” ai suoi clienti “titolari del trattamento” – per conto dei quali tratta i dati personali – attraverso un contratto o altro atto giuridico, che fissi precise istruzioni e pertinenti condizioni di garanzia.
Il responsabile del trattamento può ricorrere a sub-responsabili ma solo previa autorizzazione scritta, specifica o generale, da parte del titolare nei confronti del quale risponde, sempre e comunque, anche in caso di violazione degli obblighi da parte del sub responsabile.
Rapporto tra imprese e fornitori: il vincolo sostanziale
Nello specifico, il paragrafo 3 dell’art. 28 del GDPR, pone norme sia sostanziali che procedurali costituenti un meccanismo che, se pienamente rispettato, offre un livello di presidio dei processi aziendali più che accettabile, poiché costituisce un efficace “elemento di tenuta” che può trasformare tutti i “weakest links” tra “titolari” e “responsabili” in “vincoli”, i.e. “forti legami” in grado di dare robustezza ai sistemi dei titolari stessi.
Lo conferma anche il fatto che lo stesso meccanismo è indicato nella Prassi di Riferimento UNI PdR 43.1.2018 come il riferimento imprescindibile su cui le imprese e le pubbliche amministrazioni, titolari del trattamento, debbono fondare le autorizzazioni a trattare dati personali dei dipendenti “tecnici informatici”.
Infatti il paragrafo 12.1 di detta Prassi di Riferimento stabilisce testualmente che “le designazioni [del Titolare] in ambito di trattamento dei dati mediante strumenti elettronici dovrebbero essere realizzate in forma scritta e sinteticamente riprendere i contenuti principali delle singole funzioni attribuite al lavoratore. Esse dovrebbero disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 del Regolamento”.
Ad ulteriore conferma della garanzia di efficacia del citato “meccanismo di tenuta”, valga la considerazione che sul paragrafo 3 dell’art.28 GDPR, si fondano anche i nuovi modelli di “Clausole Contrattuali Tipo” che la Commissione UE ha recentemente adottato con la Decisione di Esecuzione 2021/915 del 4 giugno 2021.
Di seguito il quadro di misure organizzative e tecniche che compongono il citato meccanismo di tenuta.
Le misure organizzative e tecniche
Il più volte citato paragrafo 3 dell’art. 28 GDPR stabilisce che vada innanzitutto ben descritto l’oggetto del rapporto ed il perimetro di azione tra i fornitori e le imprese/P.A. (clienti), indicando con precisione nel contratto o altro atto giuridico (il c.d. DPA – Data Processing Agreement) la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti dei titolari del trattamento.
Il contratto deve anche prevedere necessariamente che ciascun fornitore, nella sua veste di responsabile del trattamento:
- tratti i dati personali soltanto su “istruzioni documentate” delle imprese/P.A. (clienti); anche in caso di esportazione di dati fuori dallo Spazio Economico Europeo;
- garantisca che i propri dipendenti autorizzati a trattare dati per conto dei clienti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- assista le imprese/P.A. (clienti) a dare seguito alle richieste per l’esercizio dei diritti degli interessati, a gestire eventuali data breach e ad eseguire valutazioni di impatto sulla protezione dei dati personali (DPIA);
- metta a disposizione delle imprese/P.A. (clienti) tutte le informazioni necessarie per dimostrare la compliance al GDPR, consentendo agli stessi (clienti) l’esecuzione di appositi audits di seconda parte;
- adotti tutte le misure di sicurezza ai sensi dell’articolo 32 GDPR.
Quest’ultima categoria di misure merita un approfondimento, poiché rappresenta il “nucleo rigido” del “meccanismo di tenuta” dei sistemi che stiamo analizzando.
Le misure di sicurezza ai sensi dell’art. 32 GDPR
Le misure di sicurezza necessarie a garantire il presidio dei processi aziendali dei fornitori e dei clienti sono ben delineate nell’allegato III alla citata Decisione di Esecuzione 2021/915 del 4 giugno 2021, con cui la Commissione UE ha adottato le “Clausole Contrattuali Tipo”.
Il documento nel precisare che tutte le misure di sicurezza devono essere descritte in modo concreto e non genericamente all’interno del contratto, offre alcuni esempi di possibili misure che i fornitori dovrebbero necessariamente adottare.
Tra queste, quelle che a me appaiono imprescindibili sono le misure di identificazione e autorizzazione dell’utente e l’applicazione del principio del “minimo privilegio” atteso che, come evidenziato nel citato rapporto di ENISA, le principali minacce alle catene di approvvigionamento sono risultate essere: lo spostamento laterale, l’escalation dei privilegi, il comando e controllo, la distribuzione di malware e l’esfiltrazione dei dati.
Altre misure previste specificamente nell’art. 32 GDPR e riproposte nel citato Allegato III sono:
- la pseudonimizzazione e la cifratura dei dati personali;
- l’assicurazione su base permanente di riservatezza, integrità e disponibilità dei dati nonché della resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- la definizione e l’adozione di procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza dei trattamenti.
Per completare il quadro di salvaguardia, la citata Decisione di Esecuzione, oltre alla certificazione/garanzia di processi e prodotti, suggerisce l’adozione di misure volte a garantire:
- la sicurezza fisica dei luoghi in cui i dati personali sono trattati;
- la protezione dei dati durante la trasmissione e durante la conservazione; la minimizzazione e la qualità e la conservazione limitata dei dati;
- la configurazione dei sistemi, compresa la configurazione per impostazione predefinita e la registrazione degli eventi, in linea con le misure di informatica interna e di gestione e governance della sicurezza informatica;
- la portabilità dei dati e la cancellazione.
La compliance al GDPR non è negoziabile
Tutti gli adempimenti a carico dei fornitori fin qui descritti devono essere “attagliati” alla politica di sicurezza di ciascuna impresa/P.A. (cliente).
Potrebbe accadere che i fornitori non aderiscano alle legittime richieste dei clienti, non volendo o non potendo accettare gli standard di sicurezza proposti. Ciò può avvenire, e.g., quando i fornitori al fine di realizzare “economie di scala” sono organizzati per ridurre i costi ed aumentare l’efficienza attraverso un aumento del volume di produzione.
In questi casi le imprese/P.A. possono richiedere di eseguire prodromici audits di seconda parte per accertare se sussista uno spazio di negoziazione, tenendo però sempre ben presente che per tutti gli attori del sistema economico che trattano dati personali la compliance al GDPR non è negoziabile.
NOTE
ENISA – Threat landscape for supply chain attacks – Luglio 2021. ↑
Vds. Considerando 81 e art. 28 GDPR. ↑