Perché gli hacker stanno prendendo di mira la tua catena di approvvigionamento digitale, non solo i tuoi sistemi
Gli hacker sono costantemente alla ricerca di nuovi modi per ottenere accesso alle aziende e raramente lo fanno attraverso la porta principale. Per la maggior parte delle organizzazioni, la cybersecurity si concentra ancora sulla protezione dei sistemi interni e sulla prevenzione dell'accesso non autorizzato attraverso misure come firewall, crittografia e formazione dei dipendenti. Tuttavia, questo approccio presuppone che gli attaccanti stiano cercando di ottenere accesso direttamente.
Non è più sufficiente fare affidamento sui propri controlli di cybersecurity interni per proteggere le informazioni. Man mano che le catene di approvvigionamento digitali diventano più complesse con un numero crescente di fornitori coinvolti, gli attaccanti stanno ora eludendo completamente i controlli interni delle organizzazioni. Invece, stanno sfruttando le lacune nella rete di fornitori fidati che hanno già accesso legittimo ai sistemi e ai dati.
Nell'ultimo anno, una serie di incidenti informatici di alto profilo che hanno colpito grandi aziende ha messo in evidenza la natura dirompente e costosa di questi attacchi.
Quindi, come avviene questo, cosa significa per le aziende e quali passi puoi intraprendere per ridurre il rischio?
Come entrano gli attaccanti nella catena di approvvigionamento digitale?
Invece di attaccare direttamente le organizzazioni, gli hacker mirano sempre più a fornitori e fornitori di servizi all'interno della catena di approvvigionamento digitale, inclusi fornitori di siti web o software, piattaforme di sviluppo e test o soluzioni di archiviazione delle informazioni. Queste terze parti spesso hanno accesso a sistemi, dati o reti, rendendole obiettivi attraenti e aree di rischio critiche per le organizzazioni da gestire.
Gli attacchi alla catena di approvvigionamento mirano a uno o più elementi di cui un'organizzazione ha bisogno per fornire i prodotti o i servizi che offre. Ad esempio, gli attacchi potrebbero coinvolgere un aggiornamento software malevolo o dettagli di accesso rubati o un componente open-source vulnerabile, o un'integrazione insicura tra sistemi.
In particolare, gli attacchi alla catena di approvvigionamento digitale avvengono quando gli sviluppatori software si affidano a librerie di terze parti ampiamente utilizzate per aggiungere funzionalità alle loro applicazioni. Se un attaccante riesce a incorporare codice malevolo in una di queste librerie, qualsiasi sviluppatore che successivamente la integra nel proprio software potrebbe introdurre inconsapevolmente una vulnerabilità di sicurezza nel proprio prodotto.
Nel 2024, una backdoor malevola è stata introdotta in XZ Utils, uno strumento di compressione open-source a basso livello ampiamente utilizzato presente in molti sistemi Linux. L'attacco non si basava sull'hacking diretto dei sistemi e invece sfruttava la catena di approvvigionamento. Al momento della scoperta del problema, le versioni interessate non erano ancora state ampiamente distribuite negli ambienti di produzione. Tuttavia, erano incluse nelle versioni di sviluppo delle principali distribuzioni, costringendo i manutentori a ricostruire i loro pacchetti per affrontare la vulnerabilità. Il computer scientist Alex Stamos ha commentato che se la backdoor fosse rimasta non rilevata, avrebbe "dato ai suoi creatori una chiave master per centinaia di milioni di computer in tutto il mondo che eseguono SSH".
Una volta che i prodotti, i servizi o la tecnologia di un fornitore sono stati violati o compromessi, gli attaccanti possono quindi accedere e compromettere ulteriormente i sistemi dell'organizzazione. Questi attacchi spesso passano inosservati fino a quando i sistemi non vengono interrotti, i dati non vengono crittografati o rubati o viene emessa una richiesta di riscatto. Nella backdoor di XZ Utils, il codice malevolo è stato scoperto solo quando uno sviluppatore ha notato un comportamento di prestazione insolito durante i test di routine.
Più spesso che no, quando l'attacco viene scoperto, il danno è già stato fatto e l'impatto aziendale può essere significativo.
L'impatto aziendale
L'impatto più immediato di un cyberattacco è tipicamente finanziario. Le richieste di riscatto possono essere sostanziali, in particolare quando gli attaccanti comprendono che l'interruzione ha colpito più clienti o servizi critici. Anche quando non viene pagato alcun riscatto, le aziende spesso si trovano ad affrontare costi associati elevati legati all'interruzione dell'attività, al recupero dei sistemi e ai consigli professionali, che si sommano all'impatto finanziario di un cyberattacco.
Per le aziende digital-first e basate su piattaforme, il downtime si traduce rapidamente in entrate perse, aumentando le implicazioni finanziarie. In un recente incidente, una grande azienda rivolta ai consumatori (Co-op) ha dichiarato che il cyberattacco subito nel 2025 "ha impattato sia le aree finanziarie che operative", risultando in almeno 206 milioni di sterline di entrate perse.
L'impatto operativo può essere altrettanto grave. Se un fornitore chiave va offline o sospende l'accesso ai propri servizi per contenere l'attacco, le operazioni aziendali si fermano effettivamente. Le organizzazioni possono essere incapaci di elaborare transazioni, evadere ordini o accedere a sistemi chiave, costringendole a ricorrere a soluzioni manuali. Dopo un cyberattacco nel 2025, un'azienda ben consolidata e rispettabile (Marks & Spencer) è stata costretta a sospendere gli ordini online per quasi due mesi e ha dovuto passare a un'elaborazione manuale durante questo periodo. Invece di mirare all'infrastruttura principale di M&S, l'attacco ha sfruttato le debolezze in MoveIt, uno strumento di trasferimento file aziendale comunemente utilizzato. Di conseguenza, informazioni sensibili relative sia ai dipendenti che ai clienti sono state compromesse, inclusi informazioni di contatto, dati salariali e, in alcuni casi, numeri di previdenza sociale. Sebbene i dettagli di pagamento non si ritenessero compromessi, la portata e la natura della violazione hanno richiesto una risposta formale all'incidente, revisioni interne e coinvolgimento normativo da parte dell'Information Commissioner’s Office (ICO). L'impatto finanziario è stato stimato in 300 milioni di sterline di profitti persi.
Tuttavia, la conseguenza più significativa e duratura è spesso reputazionale. I clienti raramente differenziano tra un'azienda e i suoi fornitori quando qualcosa va storto. Dalla prospettiva di un cliente, il fallimento è vissuto come un'unica interruzione del servizio, indipendentemente da dove risieda la responsabilità finale. La fiducia costruita nel corso degli anni può essere persa da un giorno all'altro, in particolare se la comunicazione è lenta, difensiva o poco chiara. Ricostruire quella fiducia richiede tempo e denaro, spesso richiedendo investimenti sostenuti nell'engagement dei clienti, nel miglioramento dei servizi e nelle garanzie riguardo alla resilienza futura contro tali problemi. Anche in tal caso, il danno può avere effetti a lungo termine sulla fedeltà dei clienti, sulle vendite future e sulle relazioni commerciali.
Il ruolo della regolamentazione
I regolatori si stanno concentrando sempre più sulla resilienza della catena di approvvigionamento digitale, riflettendo il crescente riconoscimento che la cybersecurity non è solo confinata ai controlli interni di un'organizzazione. Man mano che gli attacchi alla catena di approvvigionamento diventano più comuni, gli incidenti causati da fornitori terzi non sono trattati come eventi esterni, ma come un fallimento di governance, due diligence e supervisione continua da parte dell'organizzazione stessa.
Questo approccio è già ben consolidato sotto il Regolamento generale sulla protezione dei dati (GDPR), che è attuato nel Regno Unito dalla Data Protection Act 2018. Sotto il GDPR del Regno Unito, le organizzazioni che agiscono come titolari del trattamento dei dati rimangono responsabili della protezione dei dati personali, anche quando il trattamento dei dati è esternalizzato a terzi. Qualsiasi debolezza nei controlli di cybersecurity di un fornitore e qualsiasi violazione della protezione dei dati è trattata come un problema di governance per il titolare del trattamento dei dati.
Pertanto, i titolari del trattamento dei dati devono garantire che i loro responsabili del trattamento dei dati implementino misure tecniche e organizzative appropriate per proteggere i dati personali e segnalare eventuali violazioni dei dati al titolare senza indebito ritardo. Un fallimento da parte di un'organizzazione nel rispettare i propri obblighi ai sensi del GDPR può comportare azioni normative,
Altri articoli
Perché gli hacker stanno prendendo di mira la tua catena di approvvigionamento digitale, non solo i tuoi sistemi
Gli attacchi informatici alla catena di approvvigionamento stanno eludendo le difese interne sfruttando fornitori terzi fidati. Dalla backdoor di XZ Utils alla violazione di MoveIt di Marks and Spencer, gli incidenti recenti mostrano come gli attaccanti armi la rete di fornitori per raggiungere le organizzazioni in modo indiretto.
