Sicurezza della supply chain: l’importanza di proteggere le email
Nel nostro mondo sempre più interconnesso la supply chain è senza dubbio uno degli elementi più critici per il business complessivo di un’azienda. Nessuna organizzazione, nemmeno la più estesa e articolata, è in grado di operare da sola, ma necessita di una rete di partner e fornitori esterni, con cui poter relazionarsi regolarmente e con sicurezza. Proteggere questi canali di comunicazione, anche se escono dal classico perimetro aziendale, è quindi un requisito fondamentale per l’attività stessa di ogni impresa, in qualsiasi ambito essa operi.
Ormai, la gran parte delle comunicazioni avviene in formato elettronico e questo rende ancor più urgente per un’organizzazione occuparsi della sicurezza delle comunicazioni verso l’esterno, verso quella rete di partner e fornitori che è da considerarsi vitale quanto e risorse interne.
Proofpoint, azienda di cybersecurity, suggerisce quindi a tutte le organizzazioni di proteggere in modo adeguato anche i propri canali di supply chain, andando quindi a verificare l’integrità delle comunicazioni ricevute da partner e fornitori, indipendentemente dalle soluzioni di sicurezza di cui essi possono già disporre.
“Parliamo del concetto di supply chain email security per indicare le attività tese a mettere in sicurezza il flusso regolare di comunicazioni che si verifica tra un’azienda e i suoi partner”, spiega Luca Maiocchi, regional manager di Proofpoint per l’Italia. “E non si parla solo delle realtà con cui si hanno contatti diretti, perché queste a loro volta possono essere strutturate su dipartimenti distinti e fare uso di servizi esterni, ad esempio in cloud, per le loro comunicazioni. Non è quindi sufficiente creare una lista di fornitori certificati, ma si deve operare per analizzare e porre in sicurezza tutte le comunicazioni che popolano la supply chain di un’azienda.”
Una delle minacce più insidiose che mettono a rischio la supply chain è rappresentata dagli attacchi Business Email Compromise (BEC), appositamente creati per trarre in inganno i dipendenti e spingerli a compiere azioni non autorizzate che possono generare un danno diretto all’azienda (ad esempio trasferire denaro) oppure a preparare il terreno per azioni successive (ad esempio compromettendo informazioni sensibili). Indipendentemente dall’obiettivo specifico, l’attacco si basa sull’impersonificazione di un collega o partner fidato per sfruttare in modo truffaldino relazioni personali e professionali consolidate nel tempo.
Gli attacchi BEC sono spesso altamente personalizzati e derivano da un’analisi approfondita condotta dai cybercriminali sui potenziali obiettivi individuali. Tipicamente, vengono presi in esame il ruolo professionale che la persona ricopre, i suoi partner e superiori diretti, e vengono anche definite modalità e tempistiche che renderanno l’attacco più efficace. In realtà, gli attacchi BEC sfruttano una serie complessa e articolata di informazioni, con l’obiettivo finale di sottrarre denaro, raccogliere informazioni o comunque compromettere la sicurezza aziendale.
Nonostante l’impegno decisamente superiore richiesto rispetto a campagne di phishing più tradizionali, il numero di attacchi BEC sta aumentando in modo sensibile. Una recente stima dell’FBI ha quantificato le perdite complessivamente dovute ad attacchi BEC per le aziende di tutto il mondo in 2 miliardi di dollari nel 2015, quando questo tipo di attacchi ha iniziato ad essere analizzato, mentre nel 2017, il costo complessivo per le aziende ha superato i 12 miliardi di dollari.