La catena di fornitura per le ICT

Il settore delle tecnologie dell’informazione e della comunicazione (ICT -Information and Communications Technology) comprende migliaia di aziende globali che producono migliaia di nuovi componenti hardware e software ogni anno. 

La produzione di componenti ICT comprende anche complesse relazioni con i fornitori, logistica distribuita a livello globale, elevato tasso di sostituzione dei componenti, processi di manutenzione intensiva sia dei componenti hardware che software e una varietà di problemi di compatibilità e conformità. Molte delle preoccupazioni logistiche come gli inventari just-in-time sono importanti, ma non riguardano gli utenti finali delle apparecchiature ICT. 

Gli utenti finali desiderano affidabilità, integrità e affidabilità nei prodotti che acquistano dai fornitori. Ciò include sia il prodotto stesso, ad esempio un computer o qualsiasi dispositivo che memorizza, elabora o trasmette dati, sia il software in esecuzione su tale prodotto.

Per quanto riguarda il software, ci sono decine di migliaia di aziende di sviluppo software che impiegano milioni di programmatori. La programmazione del software è più un’arte che una scienza e, di conseguenza, la qualità del software non è coerente, spesso contiene errori difficili da rilevare, viene immesso sul mercato prima di essere adeguatamente testato e può lasciare il sistema con punti deboli sfruttabili . 

Le applicazioni software sono utilizzate da tutti noi sui nostri computer, tablet e smartphone, ma includono anche sistemi operativi come Apple OS-X e Microsoft Windows. Quando qualcuno pubblicizza uno di questi errori come vulnerabilità pubblicamente nota a tutti possiamo applicare le patch. Esistono standard e best practice sviluppati dalle organizzazioni per fornire agli sviluppatori di software strumenti per ridurre gli errori del software e migliorare la qualità complessiva. Una di queste organizzazioni, il Software Assurance Forum for Excellence in Code (SAFECode), lavora per identificare e promuovere le migliori pratiche per lo sviluppo e la distribuzione di software più sicuro e affidabile. Anche altre organizzazioni come Open Web Application Security Project (OWASP) e il consorzio Build Security In (BSI) forniscono strumenti e pratiche utili per lo sviluppatore di software.

Rischio della catena di fornitura definito

Il rischio è la possibilità che accada qualcosa di irreparabile. I rischi per la catena di fornitura delle ICT derivano dalla perdita di riservatezza, integrità o disponibilità di informazioni o sistemi informativi e riflettono i potenziali impatti negativi sulle operazioni organizzative (inclusi missione, funzioni, immagine o reputazione), beni organizzativi, individui e altri organizzazioni. 

Tali rischi possono assumere la forma di uno sviluppo software approssimativo, test inadeguati dei prodotti prima della spedizione e utilizzo delle parti meno costose anche se ciò significa che potrebbero non essere autentiche.

La gestione del rischio della catena di fornitura (SCRM – Supply chain risk management) è il processo di comprensione di questi rischi, dei loro impatti aziendali e di come gestirli mitigando le debolezze e gli exploit della catena di fornitura durante l’intero ciclo di vita del sistema. Il National Institute of Standards and Technologies (NIST) degli Stati Uniti sta producendo una guida per le organizzazioni che cercano di comprendere e adottare pratiche che rafforzeranno i processi del ciclo di vita, sia prima che dopo un’acquisizione, per renderli più resistenti allo sfruttamento della catena di approvvigionamento.

Un ICT SCRM efficace richiede processi, procedure e strumenti che consentano alle organizzazioni di applicare i principi SCRM in modo coerente a tutti i sistemi ICT. Uno di questi principi è ridurre al minimo il rischio di parti contraffatte poiché possono portare a comportamenti imprevedibili, guasti precoci o peggio. Diventa quindi necessario distinguere le parti contraffatte da quelle autentiche . 

Esistono, ad esempio, test elettronici che possono confrontare un particolare componente con gli standard di progettazione di un produttore o con un artefatto noto. Questi test misurano attributi come circuiti logici, caratteristiche di frequenza e parametri elettrici comuni (ad esempio, il consumo di energia), che si combinano tutti per aiutare a formare una “impronta digitale” digitale.

È necessario un linguaggio strutturato per esprimere queste caratteristiche, in modo tale che tutti i membri di una catena di approvvigionamento possano comunicarle e che possa essere utilizzato per avvisare gli altri delle contraffazioni o esprimere i criteri per gli articoli legittimi. Un linguaggio strutturato per descrivere questi attributi osservabili di entrambi i componenti legittimi e illegittimi è uno strumento per ridurre il rischio della catena di approvvigionamento.

Una risorsa condivisa per lo scambio di informazioni sulla supply chain

Gli investimenti all’inizio del ciclo di vita in ICT SCRM riducono i rischi informatici derivanti da hardware e software progettati in modo inadeguato/dannoso e si tradurranno in ultima analisi in una riduzione dei costi previsti di risposta, retrofit e ricostituzione della rete. 

Al contrario, il mancato investimento in SCRM durante le prime fasi di sviluppo del sistema richiederà capacità di monitoraggio e di cyber intelligence più sofisticate per evitare la perdita di funzioni essenziali. Per ottenere il miglior ritorno sull’investimento, le attività SCRM devono essere integrate e allineate con la strategia e le operazioni generali di sicurezza della rete.