Tutti i segreti della Cybersecurity: il blog di Cyberoo

Third-Party Risk Management: la Direttiva DORA e l'importanza della filiera

Scritto da Luca Benatti | 19 febbraio 2025

 

Come evidenziato dall'Osservatorio CYBEROO 2025 gli attacchi alla supply chain sono in costante aumento e colpiscono un'ampia gamma di settori, dalle compagnie petrolifere alle aziende farmaceutiche, al retail e a qualsiasi altro settore con una rete di approvvigionamento complessa. I criminali informatici prendono di mira le supply chain perché offrono un punto di accesso a molteplici aziende contemporaneamente.

Analizzando le evidenze, vediamo che questi attacchi seguono i trend consolidati, ma si notano anche alcune novità che analizziamo di seguito nel dettaglio.

Trend consolidati

1. Focus sui fornitori di software e hardware

Molti attacchi si concentrano sui fornitori di software e sui produttori di hardware, cercando codice, pratiche infrastrutturali e procedure di rete non sicure che consentano l'iniezione di componenti dannosi.

2. Utilizzo di tecniche avanzate

Gli aggressori sfruttano tecniche sempre più avanzate, tra cui:

  • Manomissione fisica di dispositivi elettronici per installare malware non rilevabili
  • Iniezione di codice dannoso all'interno di software o hardware legittimi
  • Sfruttamento di vulnerabilità zero-day per compromettere i sistemi
  • Attacchi ransomware per crittografare i dati e richiedere un riscatto
  • Cyber estorsione: sfruttamento di dati rubati per estorcere denaro alle aziende.

 

3. Sfruttamento del fattore umano

Il fattore umano, che rappresenta il primo firewall dell'azienda, è un fattore importante da non sottovalutare. Nel nostro Osservatorio abbiamo visto come nel 2024 oltre il 40% degli attacchi informatici in Italia sono avvenuti tramite tecniche di phishing e spear-phishing che sono ancora molto efficaci per compromettere le supply chain, soprattutto ora con lo sviluppo dell'IA Generativa che consente di scrivere email o messaggi senza errori grammaticali.

 

Novità dei trend

Come appena menzionato, stiamo assistendo a un crescente utilizzo dell'intelligenza artificiale generativa da parte dei criminali informatici. Questi individui sfruttano la Gen-AI per automatizzare i loro attacchi, sviluppare strumenti di attacco sempre più sofisticati, individuare le vulnerabilità e personalizzare le campagne di phishing in modo più efficace.

Un altro aspetto che sta guadagnando importanza è la governance dei dati, soprattutto all'interno della catena di approvvigionamento. Assicurarsi che i dati siano gestiti correttamente è fondamentale per garantire sia la sicurezza che la conformità alle normative vigenti.

 

Regolamento DORA e l'impatto sulla supply chain

Cosa prevede DORA

Contestualizzando e riassumendo brevemente, è opportuno ricordare che il Regolamento DORA (Digital Operational Resilience Act) è un elemento cruciale nel contesto degli attacchi alla supply chain nel settore finanziario; in particolare DORA mira a:

  • Rafforzare la gestione del rischio ICT: impone alle entità finanziarie di implementare un solido quadro di gestione del rischio ICT, che include l'identificazione, la protezione, il rilevamento, la risposta e il ripristino da incidenti legati alle tecnologie dell'informazione e della comunicazione.

  • Armonizzare i requisiti a livello europeo: stabilisce standard comuni per la resilienza operativa digitale in tutta l'Unione Europea, riducendo la frammentazione normativa e aumentando la cooperazione tra le autorità di vigilanza.

  • Concentrarsi sulla resilienza dei fornitori di terze parti: introduce obblighi specifici per la gestione del rischio legato ai fornitori di servizi ICT, riconoscendo il ruolo cruciale che questi svolgono nell'ecosistema finanziario.

 

Applicazione di DORA agli scenari specifici

Il Regolamento DORA pone un'attenzione particolare sulla gestione dei rischi associati ai fornitori di servizi finanziari specializzati. Le istituzioni finanziarie sono ora tenute a valutare e monitorare attentamente i rischi che derivano dall'affidarsi a fornitori terzi, inclusi quelli con competenze specifiche. Questo comporta la necessità di condurre indagini approfondite sui fornitori, inserire nei contratti clausole che chiariscano le responsabilità in materia di sicurezza delle tecnologie dell'informazione e della comunicazione (ICT), e monitorare costantemente le prestazioni dei fornitori per garantire sicurezza e resilienza.

La Direttiva promuove una maggiore sicurezza nelle interconnessioni digitali, spingendo le entità finanziarie a gestire i rischi legati all'uso di API e integrazioni di terze parti. Ciò significa che devono essere implementati controlli di sicurezza robusti per proteggere le API, monitorare le loro attività per individuare eventuali anomalie e stabilire procedure di risposta agli incidenti nel caso in cui le API vengano compromesse.

Un altro aspetto cruciale evidenziato da DORA riguarda gli attacchi mirati al software di trading e alle piattaforme di investimento. È fondamentale testare la resilienza di questi sistemi critici attraverso Penetration Test e Vulnerability Assessment regolari, simulare scenari di attacco per verificare la resistenza operativa e predisporre piani di ripristino per affrontare eventuali indisponibilità dei sistemi.

Con l'aumento degli attacchi ransomware, soprattutto quelli con doppia estorsione, DORA richiede che le entità finanziarie abbiano piani di ripristino efficaci per garantire la continuità operativa. Questo include l'esecuzione di backup regolari dei dati, il test dei piani di ripristino per assicurarne l'efficacia e l'implementazione di misure di sicurezza per prevenire l'esfiltrazione dei dati.

Infine, la Direttiva DORA estende i requisiti di gestione del rischio ICT anche ai servizi cloud e ai fornitori che li offrono. Le istituzioni finanziarie devono valutare la sicurezza dei fornitori di servizi cloud, definire chiaramente le responsabilità in materia di sicurezza dei dati e implementare controlli di sicurezza per proteggere i dati nel cloud. Queste misure sono essenziali per garantire che i dati finanziari siano gestiti in modo sicuro e conforme alle normative vigenti.

 

Servizio MDR a supporto di DORA nella gestione della Supply Chain

Gli attacchi alla supply chain sono complessi da contrastare perché:

  • Colpiscono un ecosistema: non prendono di mira direttamente l'entità finale, ma un fornitore terzo che, a sua volta, serve molteplici clienti. Questo amplifica l'impatto dell'attacco.

  • Sfruttano la fiducia: si basano sulla fiducia che le entità ripongono nei loro fornitori, rendendo più difficile l'individuazione di comportamenti anomali.

 

Un servizio MDR con Threat Intelligence può garantire una visione di tutto il perimetro logico del cliente, garantendo visibilità anche di evidenze provenienti la web e quindi monitorando anche il lato esterno del perimetro stesso. La visibilità è estesa anche ad informazioni riguardanti i fornitori, fornendo elementi che possano permettere di fare valutazioni del rischio, avvalendosi di analisi passive del fornitore e I-SOC.

Inoltre, un servizio MDR può facilitare la condivisione di informazioni sulle minacce tra l'entità e i suoi fornitori, promuovendo una maggiore collaborazione e una risposta più efficace agli incidenti. Seguire le Direttive con i giusti processi, quindi, consente di rafforzare la resilienza operativa garantendo che tutte le parti coinvolte siano preparate a fronteggiare le sfide della sicurezza informatica in modo coordinato e conforme alle normative.

Di Luca Benatti - Head of Business Development Manager, CYBEROO

 

 

Fonti esterne consultate

  • Direttiva Dora, Gazzetta Ufficiale dell’Unione Europea del 27 dicembre 2022
  • Webinar "La sicurezza delle supply chain nel futuro prossimo. NIS2, DORA e successive evoluzioni: come incideranno?", Cyber Futures, CLUSIT
  • Direttiva UE 2022/2555 (NIS 2)
Visualizza articolo completo