I fornitori di servizi possono accedere a porzioni di dati, sistemi e informazioni affidate in gestione all’organizzazione principale; pertanto la loro eventuale insicurezza potrebbe avere delle conseguenze anche sui sistemi dell’organizzazione principale. Approfondiamo questo particolare aspetto.
La ragione alla base del controllo
Se il fornitore di cui l’azienda si dota, non è adeguatamente sicuro, egli rischierà di esporre se stesso, il cliente e i dati del cliente ad una violazione di sicurezza. In passato, in Italia, ci sono stati numerosi casi più o meno gravi. Il fornitore è, a tutti gli effetti, un potenziale vettore di accesso a dati che l’hacker può sfruttare per accedere alle informazioni di un’organizzazione.
Un esempio per tutti la NIS 2
Al fine di chiarire come mai sia necessario operare un controllo sui service provider di cui si dota un’azienda è opportuno prendere in considerazione la NIS2 (la Direttiva UE 2022/2555). La NIS 2,infatti, obbliga le aziende che rientrano negli obblighi della Direttiva ad effettuare un controllo sui propri Service Provider. La NIS2 chiarisce questo nell’articolo 21 comma 2 punto d)
Le misure di cui al paragrafo 1 sono basate su un approccio multirischio mirante a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e comprendono almeno gli elementi seguenti: […] sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
Fonte: NIS 2 (Direttiva (UE) 2022/2555)
L’organizzazione che decide di dotarsi di uno o più fornitori, deve quindi effettuare un controllo periodico sulla effettiva capacità di questo o quel fornitore di riuscire a soddisfare e mantenere i requisiti di sicurezza necessari all’erogazione del servizio. Questo vale, ad esempio, per un cloud service provider, ma anche per un fornitore di supporto sistemistico che, nell’erogazione del suo servizio, accede a porzioni più o meno rilevanti di dati del suo cliente. La NIS 2 è “limitata” da un perimetro ben definito, costituito da soggetti appartenenti ai settori di alta criticità e a quelli appartenenti agli altri settori critici.
La risposta degli standard
Molti standard si sono confrontati su questa tematica: la ISO 27001 ha controlli specifici in merito, così come i CSC; quelli legati alla gestione dei service provider sono tutti aspetti rilevanti se si vuole evitare l’esposizione a rischiosità. Ad esempio, con il distacco da un service provider e l’interruzione dei servizi è possibile dover affrontare la dismissione di dispositivi e per questo è raccomandabile fare riferimento a quanto prescrive la NIST 800-88r1.
La posizione dei CSC
I CSC (Critical Security Controls) presentano sette salvaguardie per la gestione sicura dei service provider.
| Titolo | Descrizione |
|---|---|
| Stabilire e mantenere un inventario dei Service Provider | Stabilire e mantenere un inventario dei service providers. L’inventario deve riportare tutti i service providers conosciuti, compresa la classificazione e il contatto aziendale designato. Rivedere ed aggiornare l’inventario annualmente o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa Salvaguardia |
| Stabilire e mantenere un criterio di gestione dei Service Provider | Stabilire e mantenere un criterio di gestione del service provider. Garantire che i criteri includano la classificazione, l’inventario, la valutazione, il monitoraggio e la disattivazione dei service provider. Rivedere ed aggiornare i criteri annualmente o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa Salvaguardia. |
| Classificare i Service Provider | Classificare i service provider. La classificazione può includere una o più caratteristiche, come la sensibilità dei dati, volume dei dati, requisiti di disponibilità, normative applicabili, rischio intrinseco e rischio mitigato. Rivedere ed aggiornare la classificazione annualmente o quando si verificano cambiamenti aziendali significativi che potrebbero influire su questa Salvaguardia. |
| Garantire che i Contratti dei Service Provider Includano Requisiti di Sicurezza | Garantire che i contratti dei service provider includano i requisiti di sicurezza. Esempi di requisiti possono includere: requisiti minimi del programma di sicurezza, notifica e risposta di incidenti di sicurezza e / o violazione dei dati, requisiti di crittografia dei dati e procedure di dismissione dei dati. Questi requisiti di sicurezza devono essere coerenti con la politica di gestione del service provider aziendale. Rivedere i contratti del service provider annualmente per garantire la presenza di tali requisiti. |
| Valutare i Service Provider | Valutare i service provider aziendali in coerenza con i relativi criteri di gestione. La valutazione può variare in base alle classificazioni e può includere la revisione di rapporti di valutazione standardizzati, come il Servizio di Controllo Organizzazione 2 (SOC 2) e l’Attestato di Conformità (AoC) del Settore delle Carte di Pagamento (PCI), questionari personalizzati o altre adeguate e rigorose procedure. Rivalutare i fornitori di servizi annualmente o in occasione nuovo contratto o di suo di rinnovo. |
| Controllare i Service Providers | Controllare i service provider aziendali in coerenza con i relativi criteri di gestione. Il monitoraggio può includere una rivalutazione periodica della conformità, il monitoraggio delle note di rilascio e il monitoraggio del dark web. |
| Disattivazione Sicura dei Service Providers | Disattivazione sicura dei service providers. Esempi di considerazioni includono la disattivazione degli account utente e di servizio, l’interruzione dei flussi di dati e la rimozione sicura dei dati aziendali dai sistemi. |
I CSC non propongono quindi di effettuare una mera individuazione, classificazione e valutazione del soggetto fornitore del servizio, ma vanno oltre provando a monitorare l’attività del fornitore in coerenza con i criteri assunti per la sua scelta. Questo modus operandi può risultare inconsueto ma, in realtà, è piuttosto noto agli addetti ai lavori: ha poco senso scegliere un fornitore sulla base delle sue dichiarazioni perchè ogni fornitore avrà interesse a dichiararsi competente, sicuro, solido, efficiente. Verificare la storia di un fornitore attraverso delle ricerche compiute tanto su internet quanto nel dark web è importante e serve a dare maggiori garanzie sulla coerenza della scelta effettuata. In questo senso è fondamentale monitorare i portali web degli stessi collettivi hacker che pubblicano regolarmente la lista dei loro bersagli informatici. Anche per questo può essere fortemente utile il progetto Ransomfeed che consente di monitorare, all’interno di un unica piattaforma, i risultati provenienti da molteplici fonti malevole.
La posizione della ISO 27001
Anche la ISO27001 non si discosta molto da quanto previsto dai CSC: esistono controlli per i fornitori, tesi a monitorarne le attività.
| Controllo | Descrizione |
|---|---|
| Sicurezza delle informazioni nei rapporti con i fornitori. (controllo 5.19) | Devono essere definiti e implementati processi e procedure per gestire i rischi per la sicurezza delle informazioni associati all’uso dei prodotti o servizi del fornitore. |
| Affrontare la sicurezza delle informazioni all’interno degli accordi con i fornitori. (controllo 5.20) | I pertinenti requisiti di sicurezza delle informazioni sono stabiliti e concordati con ciascun fornitore in base al tipo di rapporto con il fornitore. |
| Gestire la sicurezza delle informazioni nella catena di fornitura delle tecnologie dell’informazione e della comunicazione (ICT). (controllo 5.21) | Devono essere definiti e implementati processi e procedure per gestire i rischi per la sicurezza delle informazioni associati alla catena di fornitura dei prodotti e dei servizi TIC. |
| Monitoraggio, revisione e gestione delle modifiche dei servizi dei fornitori. (controllo 5.22) | L’organizzazione deve monitorare, rivedere, valutare e gestire regolarmente i cambiamenti nelle pratiche di sicurezza delle informazioni dei fornitori e nella fornitura dei servizi. |
Vale la pena di notare come anche la ISO 27001 preveda, nel controllo 5.21 la gestione della “sicurezza delle informazioni nella catena di fornitura delle tecnologie dell’informazione e della comunicazione (ICT)”. La NIS2, i CSC e le ISO (perché non è solo la 27001), richiedono gli stessi requisiti che sono quindi importanti al fine del mantenimento dei rapporti corretti con il fornitore.
Questione di garanzie
Nel momento in cui si domanda ad un fornitore di garantire per la sua sicurezza, quest’ultimo potrà fornire alcune garanzie super partes quali la certificazione agli standard. Una certificazione ISO 9001, così come le certificazioni ISO 27001, 27005, 27012, forniscono un quadro di gestione della qualità e della sicurezza delle informazioni che viene valutato da un ente terzo e viene mantenuto negli anni. È un inizio più che sufficiente per intavolare un discorso circa la scelta di un fornitore piuttosto che un altro. Così come la valutazione d’impatto (la DPIA di cui all’art. 35 del Reg UE 2016/679), è un altro elemento che può aiutare nella valutazione a patto che sia stata eseguita in modo completo ed esaustivo.
