Nei giorni scorsi InfoCert ha pubblicato il seguente comunicato stampa:
“In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.
Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert. Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco. Sarà nostra cura fornire ulteriori approfondimenti non appena possibile. Cordiali saluti InfoCert S.p.A”.
L’oggetto di tale data breach riguarda la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Ed ecco che appare evidente come si debba, ancora, porre l’attenzione sulla catena di approvvigionamento o c.d. supply chain.
Questo sia alla luce del GDPR che da tempo richiede che il titolare, che voglia individuare soggetti terzi siano essi fornitori, appaltatori o comunque facenti parte della catena di fornitura, debba …ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate che alla luce della nuova direttiva nis2 e relativo decreto di attuazione nr. 138/2024.
Ormai non ci devono più essere dubbi né indecisioni di sorta .
Nell’ affidamento di un incarico, o nella selezione di un fornitore lo stesso va adeguatamente qualificato, vanno verificati i requisiti di sicurezza informatica che devono essere costantemente monitorati e aggiornati.
In particolare occorre:
⁃ Valutare attentamente, come sopra ribadito, la sicurezza informatica di terze parti prima di affidare un incarico o di individuare un fornitore;
⁃ Rivedere tutti i contratti e includervi clausole specifiche sulla sicurezza informatica anche alla luce di quanto previsto e contemplato nella Nis2;
⁃ Prevedere una parte specifica sulla formazione degli incaricati designati dai fornitori prevedendo la verifica della stessa da parte del titolare;
⁃ Limitare l’accesso dei fornitori ai dati e ai sistemi aziendali solo a ciò che è strettamente necessario. Se possibile evitarlo proprio;
⁃ Nell’elaborazione della procedura di incident responce prevedere una specifica parte sulla gestione degli incidenti che coinvolgono i fornitori o comunque le terze parti;
⁃ Valutare le procedure di business continuity dei fornitori ponendo attenzione alle stesse già nella fase di qualificazione dei fornitori medesimi;
⁃ Effettuare, periodicamente, audit di verifica sulle terze parti monitorando costantemente le misure di sicurezza dei fornitori.
Conclusioni
Questo ennesimo data breach mette in luce le falle che già da tempo vediamo nella catena di fornitura e nella supply chain. Questo dovrebbe farci riflettere sul perché la nis2 pone così tanta attenzione alla catena di approvvigionamento e alle misure di sicurezza da esigere che vengano rispettate anche dagli stessi fornitori.
Lascio uno spunto di riflessione: la nostra azienda può essere compliance a tutte le normative, implementarle e aggiornare di continuo ma, se nella selezione dei fornitori, non effettua un’adeguata verifica sulle misure di sicurezza degli stessi allora le minacce informatiche possono derivare direttamente da loro.
Il consiglio, quindi, è quello di investire nel sistema di qualifica dei fornitori lasciandosi alle spalle cattive prassi e promuovendo, invece, una cultura di sicurezza che spazi a tutti i soggetti che vengono a contatto con la nostra azienda.
Commenti recenti