Recentemente, alla domanda di quale rischio lo preoccupasse di più, tra Taiwan and Ucraina, il Generale Stanlet McChrystal, esperto di The Cipher Brief, ha risposto: la cyber security, in particolare nella catena di distribuzione.
Il Generale Mcchrystal fa parte di un crescente gruppo di comandanti operativi e strategici statunitensi, tra cui l’ex presidente dello Stato Maggiore Congiunto, l’ammiraglio Mike Mullen, che considerano la minaccia della catena di approvvigionamento come esistenziale. Se non si riesce a garantire la catena di approvvigionamento, l’intera infrastruttura su cui poggiano le economie occidentali, per non parlare delle loro difese militari, sarà compromessa.
Due fattori hanno portato il tema altrimenti arido della sicurezza della catena di approvvigionamento in cima alla tabella dei rischi politici. Una è stata la pandemia che ci ha reso dolorosamente consapevoli della fragilità di queste catene di fornitura e dell’eccessiva dipendenza dei Paesi occidentali da fornitori esterni, in particolare dalla Cina. Ci siamo anche resi conto di quanto poco capiamo delle nostre catene di approvvigionamento: quali aziende vi sono, chi le possiede, chi le controlla e come possono essere interrotte.
L’altro fattore è stato l’attacco Solarwinds, quasi esattamente un anno fa. La sofisticazione di questa compromissione della catena di fornitura del software, che probabilmente era stato attivo per almeno un anno prima che fosse scoperto, ha catturato l’attenzione di tutti i giornali del mondo.
Ciò era in parte dovuto al fatto che Solarwinds Orion era usato da un’intera gamma di agenzie governative e grandi aziende. Più acutamente di molti altri precedenti compromessi di terze parti, ha illustrato il motivo per cui le società della catena di approvvigionamento sono obiettivi così attraenti: la loro sicurezza è spesso scarsa e rappresentano un modo più morbido per raggiungere una vasta gamma di clienti, tra cui molte aziende che sarebbero di per sé un obiettivo difficile. La supply chain è il perfetto attacco asimmetrico.
Ci sono due sfide. La prima è la visibilità. I governi e le aziende devono capire come funzioni la sicurezza delle loro decine di migliaia di venditori in tempo reale. Ciò significa avere lo stesso atteggiamento nei confronti degli ecosistemi di terzi rispetto alle loro reti. Significa anche capire la proprietà e il controllo e una serie di altre dipendenze. Richiede un monitoraggio costante della supply chain, non occasionali esercizi di compliance.
Oltre la visibilità e la comprensione ci deve essere l’azione. Dobbiamo passare dalla valutazione del rischio alla soluzione del problema. Questo significa adottare una serie di azioni per aiutare i fornitori a correggere le loro debolezze da ad affrontare i problemi dei diritti di proprietà. Una nuova legislazione del Regno Unito che conferisce al governo maggiori poteri per intervenire nelle fusioni e acquisizioni per motivi di sicurezza nazionale è attesa da tempo e la allinea con altri paesi occidentali. Ma questi processi di valutazione dovranno diventare dinamici e costanti per riflettere la natura sempre mutevole dei moderni ecosistemi dei fornitori.
La complessità della catena di approvvigionamento globale è la creazione di economie aperte e società democratiche, ma, se non è garantita, alla fine le minerà.
(Traduzione a cura di Sofia Mazzei)
*Robert Hannigan, già Direttore della GCHQ-la più grande agenzia di intelligence del Regno Unito
è Presidente internazionale di Bluevoyant, la società americana di servizi di cyber security
