LA PROPOSTA

Cyber security della supply chain: strumenti, approcci e soluzioni

L’efficientamento della catena di fornitura porta benefici tangibili agli operatori economici, siano essi piccole, medie e grandi imprese. Ma la resilienza della supply chain non può prescindere da una adeguata postura di sicurezza dell’infrastruttura ICT che la sostiene. Ecco perché

Pubblicato il 20 Dic 2021

Stefano Rinauro

Commissario Capo Tecnico della Polizia di Stato

Francesco Talone

Commissario Capo Tecnico della Polizia di Stato

Cyber security della supply chain

Supply chain e supply chain management sono oggetto, nell’accezione attuale, di studio e ricerca accademica sin dagli Anni 80. Negli ultimi trent’anni queste tematiche non solo hanno conosciuto un notevole progresso in termini di modelli teorici e approcci scientifici, ma hanno anche beneficiato degli avanzamenti nelle scienze applicate e ancor più della spinta proattiva degli operatori economici – piccole, medie e grandi imprese – a voler trarre benefici tangibili dall’efficientamento della catena di fornitura: ridurre i tempi, ridurre i costi, incrementare i ricavi nell’unità di tempo.

Contemporaneamente agli sviluppi della supply chain management, l’introduzione di nuovi paradigmi gestionali e, ancor più, l’avvento dei sistemi di Enterprise Resource Planning (ERP) hanno aperto le porte ad una pervasiva capacità di pianificazione e controllo dei processi aziendali mediante l’impiego delle tecnologie dell’informazione e della comunicazione (ICT).

Oggigiorno non può più considerarsi avveniristica una catena del valore dove tutte le attività primarie e le attività di supporto siano totalmente integrate, pianificate e controllate per mezzo di soluzioni ICT e complesse architetture di raccolta, normalizzazione, memorizzazione e analisi dei dati anche tra siti remoti e tra organizzazioni diverse.

Si pensi, ad esempio, all’introduzione negli ERP dei moduli di Customer Relationship Management (CRM) e Supply Chain Management (SCM) oppure alla tecnologia RFID massivamente applicata alle merci o, ancora, alle analisi big data per desumere informazioni di valore a partire da un mare magnum di dati associati alla distribuzione logistica o al traffico di rete inbound e outbound rispetto all’infrastruttura dell’organizzazione.

È allora opinione condivisa, pur solo intuitivamente, che la resilienza della supply chain non possa prescindere anche da una adeguata postura di sicurezza dell’infrastruttura ICT che la sostiene.

Supply chain e cyber security: le definizioni

Tuttavia, per poter descrivere in modo esatto e coerente la commistione tra supply chain e cyber security si rende opportuno richiamarne rapidamente le rispettive definizioni in quanto trattasi di domini distinti, benché animati dalla stessa intenzione ultima: concorrere a garantire prestabiliti livelli di efficacia ed efficienza della catena del valore.

La supply chain, che nel mondo accademico trova molteplici e valide definizioni, può essere convenientemente interpretata come un’interconnessione multipla di reti,[1] regolate da accordi volti al trasferimento di valore, i cui nodi esprimono da un lato i fabbisogni e dall’altro il loro soddisfacimento.

Gli accordi in questione, formalmente disciplinati da contratti tra le parti coinvolte, regolano quantità e qualità, tempi, costi e prestazioni, livelli di servizio, penali e incentivi, etc. Tutti questi parametri hanno impatto indiretto sui processi di supporto dell’organizzazione e impatto diretto sui processi primari di produzione e distribuzione o erogazione, ma anche sugli asset tecnologici che concorrono alla produzione e alla erogazione, nonché sulle risorse umane coinvolte a vario titolo nei processi.

Ed è proprio sul triangolo persone-processi-tecnologie che si va ad innestare la cyber security, la quale può essere definita come la preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni nel cyberspace[2], un ambiente complesso risultante dall’interazione di persone, software e servizi su internet, per mezzo di dispositivi tecnologici e reti che li connettono e che non esiste in alcuna forma fisica.

Meritevole di essere richiamata in questa sede è pure la cyber safety, ossia la condizione di essere protetti contro conseguenze fisiche, sociali, spirituali, finanziarie, politiche, emotive, occupazionali, psicologiche, educative o altre tipologie di guasto, danno, errore, indicente, danneggiamento o qualunque altro evento nel cyberspazio che possa essere considerato non desiderabile.

Se si prende in esame un generico scenario operativo, il cyberspace della supply chain dell’organizzazione sarebbe composto, oltre che dal data center (in house e/o in cloud) grazie al quale sono erogati i sistemi di ERP e di office automation, anche dai dispositivi utente (terminali fissi e mobili), da eventuali dispositivi della classe Internet of Things e Operations Technology che consentono di sorvegliare e far funzionare i centri di produzione e, infine, da tutti gli altri cyberspace interconnessi in modo più o meno sicuro con quello dell’organizzazione stessa (ambienti casalinghi di smart working, altre aziende ed enti ecc.).

Ognuna di queste componenti può rappresentare il target o il veicolo intermedio di un attacco cyber alla supply chain che, allora, dovrà presentare idonei livelli di sicurezza progettati con una visione dell’intera catena di fornitura, secondo un approccio end-to-end.

È indubbio, evidenze alla mano, che la supply chain della cyber security abbia conosciuto in questi ultimi anni un potenziamento tale da rendere agevole per qualunque organizzazione, grande o piccola che sia, approvvigionarsi di prodotti e servizi di cyber security avanzatissimi.

Sono oramai consolidate le offerte di servizi, dispiegati su infrastrutture cloud, quali quelli della sicurezza gestita erogata da qualificati Managed Security Services Providers. Si spazia dai servizi di vulnerability assessment a quelli di threat intelligence o digital forensic, dalle security operations in outsourcing alle funzionalità security information and event management as a service (SIEMaS).

Tra una cyber security totalmente in house – laddove software, hardware e gestione sono assicurati da risorse umane e strumentali proprie dell’organizzazione – e una quasi[3] totalmente in outsourcing, esiste un vastissimo assortimento di configurazioni miste o ibride le quali, più o meno funzionali e sicure, vengono impiegate nel panorama delle organizzazioni pubbliche e private.

In effetti, la supply chain della cyber security ha veramente raggiunto quei livelli di flessibilità, scalabilità e rapidità che ben si addicono ad un settore, quello della security, diversificato e sottoposto a continue sollecitazioni dovute a vulnerabilità, minacce e contromisure che si rincorrono freneticamente.

A ben altre conclusioni si giunge invece quando si parla della cyber security della supply chain. Del resto, se il mercato, per propria naturale vocazione, tende a reinventarsi continuamente facendo sì che domanda ed offerta si incontrino dando vita ad una sempre più dinamica catena di fornitura della cyber security, maggiore staticità e margini di crescita si osservano circa la cyber security delle catene di fornitura, soprattutto per quei settori di business che sono, seppur solo apparentemente, meno pervasi dall’ICT.

Pertanto, analizzare la cyber security della supply chain oltre alla supply chain della cyber security non è solo un gioco retorico per introdurre un chiasmo dove non ve ne sarebbe stato bisogno, quanto piuttosto un imperativo per chi voglia davvero rendere solida e resiliente la propria organizzazione.

Strumenti consolidati

In effetti, se è vero che in sicurezza vige la legge dell’anello debole, è opportuno considerare anche il complesso percorso delle diverse forniture al momento di asseverare la fragilità dei singoli anelli, e indipendentemente dal fatto che l’oggetto delle stesse riguardi l’esternalizzazione di misure di sicurezza cyber o meno. Per quanto, evidentemente, in quest’ultimo caso la criticità sia maggiore, è indubbio che la cyber security della supply chain dovrebbe parimenti dispiegarsi in presenza di diverse tipologie di esternalizzazione, pur ovviamente tenendo in conto le specificità delle stesse.

Il tema non è nuovo ed esistono strumenti ben consolidati in materia: dalle regole introdotte nei D.P.R. legati al perimetro di sicurezza cibernetica, quali ad esempio i percorsi autorizzativi di cui al D.P.R. n. 54 del 5 febbraio 2021, ad alcune previsioni del GDPR con la novella interpretativa del c.d. responsabile del trattamento, il sistema giuridico nazionale e unionale ben riconoscono come la filiera della fornitura possa essere origine di criticità. Nondimeno, quanto attualmente previsto a livello normativo restituisce un quadro frammentato e limitato ad alcuni settori specifici ovvero a particolari oggetti di fornitura.

Viceversa, la cyber defense di un’organizzazione dovrebbe investire l’intero ecosistema ove l’organizzazione vive e persegue la sua missione, che sia privata o istituzionale. Solo in tal modo è possibile perseguire con efficacia quanto il Prefetto Gabrielli predica da tempo: un approccio olistico alla cyber security, intendendo con ciò non solo una visione di insieme di un mondo complesso, ma anche un’organizzazione della sicurezza congiuntamente ottimizzata in modo tale che la robustezza complessiva della “catena” superi la somma delle robustezze dei singoli anelli.

Il massiccio intervento del legislatore sulla cyber security di alcune “essenziali” supply chain altro non fa che sugellare il ruolo predominante che le catene di fornitura assumono nell’attuale scenario socio-economico: si pensi, ad esempio, alla Direttiva NIS (Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi degli operatori di servizi essenziali recepita nel nostro ordinamento attraverso il D. Lgs. 18 maggio 2018, n. 65), oppure all’innovativo dispositivo del Perimetro di Sicurezza Nazionale Cibernetica (D.L. 21 settembre 2019 n. 105 [4] e susseguente D.P.C.M. 30 luglio 2020 n. 131[5]) che disciplina, al contempo, la supply chain della cyber security (D.P.R. 5 febbraio 2021 n. 54[6]) e la cyber security della supply chain ricompresa nel perimetro (D.P.C.M. 14 aprile 2021 n.81[7] e D.L. 14 giugno 2021, n. 82[8]).

L’attuale pacchetto di norme inerenti al cosiddetto “perimetro di sicurezza cibernetica” ben inquadrano la criticità del settore prevedendo (cfr. il D.P.R. n. 54 del 5 febbraio 2021), per gli attori censiti all’interno del perimetro, l’obbligo di dare comunicazione dell’avvio delle procedure di affidamento o fornitura di specifiche categorie di beni, sistemi e servizi ICT al “Centro di Valutazione e Certificazione nazionale (CVCN)”, istituito presso il Ministero dello Sviluppo Economico, affinché quest’ultimo valuti livelli di rischio e sicurezza della fornitura.

Le attività del CVCN portano tanto alla definizione di condizioni stringenti da includere nei bandi di gara e nei contratti, quanto – a valle dell’individuazione del fornitore e dell’oggetto della fornitura – alla conduzione di specifici test all’esito dei quali viene stilato un rapporto di valutazione che può ingenerare tanto il diniego alla fornitura quanto un accoglimento della stessa vincolato al rispetto di specifiche prescrizioni all’uopo emanate.

Per quanto riguarda i settori produttivi che non sono ricompresi tra i servizi essenziali o nel perimetro di sicurezza nazionale cibernetica viene lasciato, di fatto, amplio margine agli operatori di provvedere autonomamente a proprie misure di cyber security della supply chain.

Ad esempio, adottando standard quali quelli della famiglia ISO 27001 per i Sistemi di gestione della Sicurezza delle Informazioni, certificando totalmente o parzialmente la propria organizzazione e le proprie risorse umane coinvolte negli audit interni, ovvero pretendendo che tali certificazioni siano possedute dai propri fornitori.

Lo stesso può dirsi per le pubbliche amministrazioni che, inoltre, possono trarre vantaggio dalla circolare emanata nel 2017dall’Agenzia per l’Italia Digitale (AgID) sulle Misure Minime di Sicurezza per le PP.AA.: un compendio, molto ben articolato e suddiviso per ambiti di intervento secondo 3 livelli di criticità dell’ente, di processi e tecnologie cui si raccomanda l’adozione e se ne chiede contezza.

Di fatto le misure minime promosse da AgID assumono una funzione duplice poiché rappresentano, da un lato, un ottimo riferimento per la supply chain della cyber security in quanto indirizzano la spesa dell’ente verso specifiche progettualità e prodotti volti all’innalzamento dei livelli di sicurezza e, dall’altro lato, un requisito di cyber security che l’ente potrebbe pretendere dalla propria supply chain affinché vi sia coerenza tra i livelli di sicurezza attesi dal proprio mandato istituzionale e quelli assicurati dai fornitori.

Proposte per il futuro

Il perseguimento di una soluzione “di ecosistema” richiede un approccio adattato a contesti che, giocoforza, si presentano come vari e variegati. Ogni organizzazione, pubblica o privata, grande o piccola, interagisce con una moltitudine di fornitori ed è talvolta essa stessa fornitrice di beni e servizi. Sarebbe pertanto un fuor d’opera ipotizzare l’esistenza di un modus ragionandi che si ponga valido indipendentemente dalla mission dell’organizzazione e dall’oggetto delle catene di fornitura.

Il punto di partenza, come sempre, è nell’inquadrare correttamente quale sia il fine ultimo dell’intervento. In effetti, rafforzare la cyber security della supply chain è uno sforzo che può essere declinato secondo diversi punti di vista e, in relazione a questi ultimi, diversi possono essere gli approcci operativi da seguire. Del resto, è favolistico pensare che organizzazioni diverse per dimensione e settore possano condividere i medesimi driver.

Una prima direttrice riguarda aspetti di compliance. In questo caso l’obiettivo finale è quello di rispondere con rigore ai requisiti normativi di diverso ordine e natura, ove ne vigano sul perimetro dell’organizzazione stessa.

Non si deve pensare che un tale driver risponda ad una posizione meramente formale; in realtà piccole o di settore non critico o, alternativamente, per forniture di carattere non critico, un approccio unicamente orientato al rispondere ai requisiti normativi, ove presenti, può rappresentare una soluzione sufficiente a soddisfare il richiesto rafforzamento della sicurezza della catena di supply.

Del resto, una strategia di rafforzamento che si basi esclusivamente sul rispondere alla normativa, pur magari senza avendone approfondito la ratio alla base, segna delle debolezze non accettabili in taluni scenari. E difatti, se i requisiti di rispetto della normativa sono comunque condizione necessaria, l’esperienza spesso dimostra che concentrarsi solo su questo aspetto possa portare a situazioni sub-ottime, ed è pertanto sensato andare oltre ed approcciare il problema secondo ulteriori propositi.

Una seconda direttrice è la minimizzazione dei rischi di sicurezza. In questo caso, si supera il mero rispetto degli adempimenti normativi per asseverare in maniera oggettiva e ripetibile il livello di sicurezza definito sulla supply chain.

Questo approccio, orientato alla security propriamente detta, ben si presta ad organizzazioni di settori dal più stressato livello di criticità o per forniture di analoga cifra. In questa direttrice si inseriscono, ad esempio, i controlli di cui al D.P.R. 54/2021 e, sulla medesima filosofia, si declina la sicurezza del trattamento prevista dal GDPR. Una sorta di ribaltamento di logica, dove è il livello di rischio a definire la compliance stessa e non viceversa.

Infine, un terzo driver attiene ad aspetti più propriamente di business (intendendo tale termine in accezione più ampia tale da ricomprendervi anche il perseguimento della mission di un ente pubblico) dell’organizzazione: fare sicurezza per mettere in sicurezza e massimizzare il business e le performance dell’organizzazione.

In tal senso, i requisiti di sicurezza sono declinati con il focus sull’impatto di possibili attacchi e violazioni sul business complessivo aziendale. In questo contesto rientrano anche concetti di natura reputazionale: ritengo di essere una realtà solida e voglio dimostrare al mercato che ho cura della mia security anche in relazione ai miei fornitori.

Un caso di specie potrebbe essere rappresentato dalle aziende del settore luxury: ogni esternalizzazione operativa in quel settore porta il rischio di data breach che possono riguardare clienti vip e pertanto poter dimostrare la solidità della propria supply chain può fungere da volano per la propria affidabilità.

Evidentemente tutte le direttrici sopra definite possono (o, meglio, dovrebbero) essere congiuntamente tenute in considerazione, eventualmente variandone la rilevanza di una sulle altre secondo misura ed opportunità.

In effetti, un primo approccio potrebbe prevedere un baseline level di sicurezza della supply chain basato sulla compliance, un enhanced level per realtà critiche basato sul rischio, ed un livello enhanced and business per realtà che, oltre alla criticità del settore, hanno una forte esposizione del business aziendale in relazione alla solidità della propria catena di fornitura. Una soluzione “di ecosistema” per mettere in sicurezza la supply chain dovrebbe prevedere strumenti volti a soddisfare le predette direttrici e da implementare poi con le dovute differenziazioni per realtà e forniture diverse.

Nel seguito di questo contributo proveremo ad inquadrare alcuni strumenti all’oggi disponibili nel contesto di tali direttrici e a definire e discutere una soluzione che possa potenzialmente armonizzare e sistematizzare quanto all’oggi frammentariamente utilizzabile ed utilizzato per rafforzare la sicurezza della supply chain. Ovviamente tale esercizio non ha né la pretesa di esaustività né, tantomeno, la tracotante posizione di essere la soluzione migliore; pare tuttavia agli autori un buon punto di partenza per la definizione di un approccio sistemico che sembra, come discusso, ormai necessario definire a livello nazionale.

Un primo benchmark interessante è dato dai cosiddetti data protection agreement che il GDPR – all’art. 28 – impone di siglare ogni qual volta un Titolare debba esternalizzare parte delle attività di trattamento. In tal caso la norma prevede che il fornitore sia scelto tra quelli che “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” e che i confini di responsabilità e le istruzioni impartite al fornitore stesso siano “disciplinate da un contratto o da altro atto giuridico”.

Una siffatta modalità di inquadramento del rapporto col fornitore, ispirata e plasmata dal principio di accountability, è (o potrebbe essere) declinata su concetti di security piuttosto che di data protection, parafrasando la scrittura privata quale cyber security agreement allegato al contratto di fornitura ove siano disciplinati vincoli ed istruzioni operative da parte del committente.

Questa linea di azione permette da un lato di deflazionare il livello di rischio della fornitura, atteso tanto il vaglio preliminare del fornitore quanto il consolidamento di specifici vincoli nell’agreement, quanto di aumentare il livello di affidabilità dell’organizzazione stessa che potrà dimostrare in ogni momento al mercato di avere sotto controllo il livello di sicurezza garantito dai fornitori.

Di contro, il consolidamento degli agreement rappresenta un notevole aggravio del processo di acquisizione, dovendo essere riproposto ah hoc per ogni esternalizzazione, ingessando pertanto attività che viceversa richiedono dinamismo e rapidità.

Laddove la stesura di un agreement possa risultare eccessivamente onerosa, sembra comunque utile e necessario ereditare dall’esempio del GDPR la fase di preliminare valutazione del fornitore. In tal senso, la disponibilità da parte di quest’ultimo di certificazioni di sicurezza, tanto a livello di organizzazione quanto a livello di risorse umane, è ormai da anni una prassi consolidata in specifici settori.

Un allargamento ed una generalizzazione di questa linea di intervento, ovviamente con opportuna selezione delle certificazioni de quo, concorrerebbero sicuramente a soddisfare il driver legato alla minimizzazione del rischio assicurando altresì la credibilità dell’organizzazione.

Altra esperienza mutuabile dal mondo delle certificazioni di sicurezza è la conduzione di audit di seconda parte sulla catena di fornitura.

Tale attività, che nella sostanza dà ancora maggior concretezza alle valutazioni ex ante già proposte dal GDPR per la data protection, persegue ovviamente un approccio esclusivamente e miratamente orientato all’abbattimento del rischio.

In effetti gli audit di seconda parte traducono in una attività strutturata internamente e declinata in proprio dall’organizzazione l’afflato di verifica proattiva di cui l’infrastruttura di controllo definita dal perimetro di sicurezza cyber rappresenta una versione con verifica accentrata e coordinata a livello centrale, del resto necessaria in contesti particolarmente critici.

Ancora, un ulteriore strumento per rafforzare la sicurezza della catena di fornitura potrebbe essere quello di sfruttare modelli di trust tra organizzazioni. Al riguardo, la lezione del NIST (cfr. NIST Special Publication 800-39, Appendix G.) può rappresentare un punto di partenza ben validato a livello internazionale per definire catene di fiducia. Tale soluzione – fatto salvo il rischio di polarizzazione del mercato e, ancora, definite opportune armonizzazioni con la regolamentazione per gli appalti pubblici per le Pubbliche Amministrazioni – potrebbe indurre la nascita di filiere “ad alta reputazione”, esaltando pertanto la direttrice di business.

Le soluzioni sopra censite, tutte all’oggi utilizzabili ed utilizzate a seconda dei contesti, presentano come visto punti di forza diversi e diverse criticità. Sembrano tuttavia presentare dei punti comuni:

  • una valutazione ex ante del fornitore, che sia in termini di trust, che sia in termini di garanzie offerte, che sia quale esito di audit di seconda parte o per il tramite di test definiti ad hoc;
  • una concretizzazione documentale che asseveri in maniera oggettiva taluni impegni da parte del fornitore, quali si possono ritrovare negli agreement ex GDPR o nella disponibilità di certificazioni di sicurezza da parte del fornitore;
  • un non omogeneo inquadramento normativo; taluni strumenti sono difatti mandatori mentre altri sono lasciati all’opportunità delle organizzazioni. Se tale approccio poteva sembrare sensato solo qualche anno fa, la crescente criticità degli attacchi cyber chiama ad una sistematizzazione per la quale anche uno sforzo minimo sembra diventato non più negoziabile da parte del sistema paese. In altre parole, forzare tra le regole del gioco il driver della compliance pare quantomai necessario cosicché la messa in sicurezza della catena di fornitura non sia lasciata solo in mano a requisiti di business o a considerazioni sul rischio che non sempre sono nella disponibilità di realtà medio piccole.

Una sistematizzazione organica degli strumenti discussi ed una soluzione all’ultimo punto elenco sopra introdotto sembra essere, previa opportuna e preliminare formalizzazione anche a livello governativo, la definizione di uno schema di cyber clearance quale prerequisito vincolante per definite filiere di fornitura e desiderabile per altre, con approccio ad ampio spettro e non solo per realtà critiche per la tenuta del sistema paese.

Ove inquadrato a livello regolamentare e oggetto di monitoraggio periodico, questo strumento tradurrebbe in ambito nazionale una certificazione di sicurezza e sostituirebbe tanto la necessità di vagli preventivi da parte delle organizzazioni sul livello di security dei fornitori quanto la necessità di condurre audit di seconda parte.

In sostanza, uno schema di clearance, ove ben progettato, rappresenterebbe una soluzione intermedia in grado di ricomprendere le caratteristiche degli strumenti precedentemente censiti, armonizzandosi altresì con la possibilità di massimizzare i driver selezionati di compliance, rischio e business.

Oltretutto, ben si affiancherebbe a quanto già previsto dagli schemi del perimetro di sicurezza cibernetica e potrebbe integrarsi in maniera semplice con le previsioni di certificazione definite dal GDPR.

Potrebbe sembrare utopistico costringere realtà medio piccole a dotarsi di competenze cyber, ma una mappatura attenta dello schema supererebbe tale problema attraverso la definizione di un entry level facilmente attuabile attraverso una formazione del personale ai rudimenti di security awareness.

Evidentemente una soluzione del genere andrebbe definita previo attento studio a livello centrale ed è fuori dalle finalità di questo contributo un approfondimento in tal senso. Nondimeno, a titolo di esempio, possiamo ipotizzare una seguente strutturazione ipotetica dei livelli di clearance.

Un possibile modo per approcciare la cyber clearance potrebbe considerare 4 livelli per i quali si propone la seguente denominazione: 0-compliant, 1-operative, 2-secure, 3-total:

  • il livello di clearance 0-compliant sarebbe conseguito dando evidenza di aver perseguito esclusivamente il driver della compliance;
  • il livello di clearance 1-operative sarebbe conseguito dando evidenza di aver perseguito i driver della compliance e del business;
  • il livello di clearance 2-secure sarebbe conseguito dando evidenza di aver perseguito il driver della compliance e della security;
  • il livello di clearance 3-total sarebbe conseguito dando evidenza di aver perseguito tutti i driver: compliance, security, business.

Si osservi che la compliance è considerata un driver imprescindibile per ogni livello.

Il livello di clearance a cui ambire non sarebbe discrezionale, ma legato a criteri oggettivi, scalabili e replicabili. Si può pensare, in prima approssimazione, a quattro scenari di supply chain derivabili a partire dalle seguenti due variabili: le dimensioni[9] dell’organizzazione (PMI e grandi imprese ovvero amministrazioni locali e centrali ecc.) e l’importanza che la protezione de dati personali o la security dei dati operativi rivestono per la supply chain (la cyber security della supply chain per un produttore di tappi di sughero, verosimilmente, potrebbe non avere lo stesso peso che avrebbe per un produttore di componenti avioniche).

Misurare le dimensioni non è mai difficile: si può considerare il bilancio, il capitale sociale o il numero di dipendenti dell’organizzazione ecc. o una combinazione di questi fattori. Più complessa è invece la misurazione dell’importanza che i dati personali e operativi, quindi la loro tutela, rivestono per il buon funzionamento della supply chain.

In questo secondo caso si potrebbe guardare al volume di traffico di rete gestito dall’organizzazione, alla quantità di indirizzi IP gestiti o alla quantità di dispositivi connessi, alle dimensioni dei propri database, al numero di utenti, clienti e fornitori censiti sui propri sistemi, etc. o ad una combinazione di questi fattori, oppure si potrebbe guardare al settore (servizi alla persona, produzione, pubblica amministrazione ecc.) sforzandosi di classificare i codici ATECO in due macro categorie: quelle per cui i dati, personali e operativi, presenti nel cyberspace rivestono primaria importanza per la supply chain e quelli per cui i dati presenti nel cyberspace non rivestono primaria importanza per la supply chain).

Una volta definiti dei criteri coerenti, la mappatura tra tipologia di supply chain e livello di clearance potrebbe seguire la seguente logica:

  • supply chain con cyber clearance 0-compliant: per organizzazioni di piccole dimensioni e con limitate aspettative di cyber security per la supply chain;
  • supply chain con cyber clearance 1-operative: per organizzazioni di grandi dimensioni e con limitate aspettative di cyber security per la supply chain;
  • supply chain con cyber clearance 2-secure: per organizzazioni di piccole dimensioni e con elevate aspettative di cyber security per la supply chain;
  • supply chain con cyber clearance 3-total: per organizzazioni di grandi dimensioni e con elevate aspettative di cyber security per la supply chain.

Cyber clearance e cyber space della supply chain.

Chiaramente il concetto stesso di cyber clearance, sia esso gestito a livello centrale o decentralizzato secondo meccanismi di federazione analoghi, ad esempio, al sistema di identità digitale SPID, richiede un lungo percorso di maturazione e trasposizione normativa.

È tuttavia possibile impiegare strumenti già consolidati nel campo della supply chain management riadattandoli, opportunamente, agli obiettivi della cyber security. Questi strumenti sono capaci di ispirare un modo di agire virtuoso tra gli operatori economici e le amministrazioni pubbliche, che manterrebbero autonomia decisionale e responsabilità pur senza vincolarli a rigidi scenari di rischio imposti per legge. Questa strada è già oggi percorribile.

Un validissimo e ben noto esempio di strumento decisionale nel settore della supply chain management è la matrice di Kraljic.[10] La struttura del modello individua quattro tipologie di acquisti in funzione delle seguenti due variabili:

  • l’importanza economica e/o strategica del materiale acquistato nel processo produttivo dell’organizzazione[11];
  • la complessità del mercato di fornitura[12].

Queste due variabili danno pertanto luogo a quattro categorie di approvvigionamento:

  • non critici: quando il mercato è caratterizzato da molti fornitori e l’impatto sull’organizzazione è limitato. L’obiettivo che si persegue è la delega della gestione;
  • effetto leva: quando il mercato è caratterizzato da molti fornitori e l’impatto sull’organizzazione è rilevante. L’obiettivo che si persegue è l’abbattimento dei costi sfruttando il potere contrattuale (es. minimizzando le scorte);
  • collo di bottiglia: quando il mercato è caratterizzato da pochi fornitori e l’impatto sull’organizzazione è limitato. L’obiettivo che si persegue è garantire la fornitura (es. facendo scorte);
  • strategici: quando il mercato è caratterizzato da pochi fornitori e l’impatto sull’organizzazione è rilevante. L’obiettivo che si persegue è l’instaurazione di una partnership.

Pare quasi immediato mappare i livelli di cyber clearance già proposti nel modo seguente:

  • cyber clearance 0-compliant: per fornitori non critici;
  • cyber clearance 1-operative: per fornitori ad effetto leva;
  • cyber clearance 2-secure: per fornitori collo di bottiglia;
  • cyber clearance 3-total: per fornitori strategici.

Cyber clearance e matrice di Kraljic.

La cyber clearance in questo scenario sarebbe un insieme di garanzie contrattuali da pretendere in sede di trattativa da parte del fornitore e non certo un titolo abilitativo rilasciato da un ente terzo.

Conclusioni

Riconosciuta la criticità della sicurezza della supply chain, è indubbio che possano ipotizzarsi svariati approcci e soluzioni onde innalzarne in maniera coerente e sistemica il livello di resistenza e resilienza agli attacchi.

La proposta qui avanzata, basata sulla definizione di uno schema di certificazioni di sicurezza progettato sulla base di specifiche direttrici decisionali, rappresenta solo una possibile iniziale linea di azione, non necessariamente la più efficace né la più completa.

Nondimeno, la definizione di specifici driver che guidino la selezione dei meccanismi tecnico organizzativi di sicurezza ed una loro mappatura con una classificazione delle catene di fornitura pare, agli autori, un imprescindibile elemento, indipendentemente dallo strumento pratico con il quale massimizzarli, per il raggiungimento di una soluzione olistica e di ecosistema.

 

NOTE

  1. “Supply-Chain-Management in stürmischen Zeiten” Andreas Wieland, Carl Marcus Wallenburg

  2. ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cyber security

  3. Si spera che almeno un comitato di crisi o una striminzita cabina di regia chiamati in causa in caso di incidenti restino in house.

  4. Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

  5. Regolamento in materia di perimetro di sicurezza nazionale cibernetica.

  6. Disciplina sulle valutazioni condotte dal Centro di Valutazione e Certificazione nazionale, istituito presso il Ministero dello Sviluppo Economico e dai centri di valutazione del Ministero dell’Interno e del Ministero della Difesa.

  7. Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici e di misure volte a garantire elevati livelli di sicurezza.

  8. Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale.

  9. Nulla di nuovo. Basta ricordare che molti modelli sanzionatori prevedono già un meccanismo di penalizzazione economica proporzionata alle dimensioni del business dell’organizzazione. Un esempio recente è proprio il GDPR.

  10. Peter Kraljic la introdusse nel 1983 nel suo noto articolo «Purchasing must become Supply Management», pubblicato sulla Harvard Business Review.

  11. In termini di valore aggiunto per linea di prodotto, di impatto economico rispetto al costo del venduto, di impatto sulla redditività, sulla qualità percepita dal cliente, in generale sulla competitività aziendale.

  12. Attiene al livello di difficoltà che l’impresa acquirente incontra nel reperire il materiale sul mercato. La rischiosità dell’acquisto è maggiore, quando il numero dei fornitori di uno specifico materiale è ridotto (elevata concentrazione del mercato) e quando il grado di standardizzazione del semilavorato da acquistare è basso.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 3