Il ruolo della supply chain nella (cyber)guerra di Justin Fier, Director of Cyber Intelligence & Analytics di Darktrace

Lo scorso gennaio avevamo previsto che gli attacchi alla supply chain avrebbero superato i tentativi di frode contro i CEO aziendali. Nessuno, tuttavia, aveva immaginato quanto sarebbero diventate rilevanti ed essenziali le catene di approvvigionamento stesse…
Dal blocco nel canale di Suez, alla carenza di microchip che ha coinvolto la produzione automobilistica, all’impennata dei prezzi della benzina causati dall’interruzione delle operazioni della Colonial Pipeline, il 2021 ci ha mostrato come le supply chain siano tanto vulnerabili agli attacchi informatici quanto essenziali per la nostra vita quotidiana.
Paesi e organizzazioni si stanno rendendo conto solo ora della loro dipendenza dai sistemi globali e dai fornitori terzi. Che si tratti di viveri, petrolio o software, oggi i cybercriminali stanno sempre più spesso prendendo di mira le vulnerabilità della sicurezza per bloccare le linee di produzione. La recente serie di attacchi a supply chain globali di alto profilo – tra cui SolarWinds e Kaseya – ha coinvolto tutto il mondo.
Paradossalmente, queste economie interconnesse rappresentano uno dei motivi per i quali il conflitto non si è inasprito. In un’epoca dominata da Big Tech e corporazioni globali, idee di produzione nazionale, sanzioni commerciali e confini poco mobili sembrano essere ormai insostenibili.
Niente di tutto questo dovrebbe sorprendere. Da quando esiste la guerra, il sistema di approvvigionamento è stato da sempre un obiettivo per il nemico. La logistica – che altro non è che la strategia di avere “proiettili e provviste” nel posto giusto al momento giusto – è uno dei pilastri fondamentali di tutti i conflitti. Il termine “logistica” è stato coniato da Antoine-Henri Jomini, un generale napoleonico, che ne “L’arte della guerra” sosteneva che, sebbene strategia e tattica comprendano la condotta stessa della guerra, è la logistica a rappresentarne il mezzo. Senza la logistica, la sconfitta è inevitabile.
Nel momento in cui Jomini scriveva, le dimensioni delle campagne di Napoleone richiedevano infatti un nuovo approccio. Napoleone aveva schierato il più grande esercito che l’Europa avesse mai visto, assicurandosi rapide vittorie in tutto il continente grazie a un’efficace gestione della logistica, compresi accordi con gli alleati, reggimenti di treni militari e, durante la campagna di Ulm, persino trasformando un’intera città in un centro di approvvigionamento.
Eppure, fu proprio la logistica a portare Napoleone alla sconfitta. Nel 1812, mentre le truppe russe si ritiravano, bruciando tutto quello che trovavano, la Grande Armée di Napoleone rimase a corto di rifornimenti. Solo il 2% dell’esercito sopravvisse.
Il capolavoro di un generale di successo è ridurre alla fame il suo nemico” – Federico il Grande
Anche nel XX secolo, attaccare il sistema di rifornimento era diventato una parte centrale delle campagne di guerra. Tagliare i rifornimenti durante il blocco della Germania ha giocato un ruolo decisivo nel condurre gli Alleati alla vittoria. Da allora la logistica si è dimostrata influente nel determinare l’esito dei conflitti globali.
L’interruzione alla supply chain non è quindi nulla di nuovo e non rappresenta altro che una continuazione di una strategia militare applicata da secoli. Durante la Prima guerra mondiale, le navi venivano utilizzate per tagliare le linee di approvvigionamento. Nella Seconda guerra mondiale, gli aerei hanno permesso di colpire dietro le linee nemiche e distruggere i veicoli di rifornimento e le infrastrutture ferroviarie. Oggi, gli avversari intervengono sul cyberspazio esattamente nello stesso modo, ovvero per minare i confini fisici e mettere in ginocchio un sistema di approvvigionamento.
Alcuni attacchi hacker interrompono la supply chain, altri invece sfruttano la stessa per diffondersi. Questi ultimi sono particolarmente pericolosi perché sfruttano la tendenza dell’essere umano alla fiducia. Se un’e-mail proviene da una fonte affidabile o un’applicazione è gestita da un provider attendibile, tendiamo ad abbassare la guardia. Quindi, piuttosto che cercare di violare le grandi aziende in maniera diretta, gli hacker possono entrare dalla “porta secondaria”, utilizzando un individuo senza difese per compromettere prima un’organizzazione e poi un intero sistema.
I due tipi di compromissione alla supply chain non si escludono a vicenda. NotPetya ha infettato i dispositivi delle sue vittime attraverso un software ucraino per il controllo fiscale, che alla fine ha portato Maersk, la più grande compagnia di navigazione di container del mondo, a interrompere le proprie operazioni per quasi due settimane.
Gli stati nazionali hanno messo in atto queste tattiche per lo spionaggio, come abbiamo visto qualche mese fa con SolarWinds e le campagne Hafnium, e il crimine organizzato ha fatto lo stesso per tenere in ostaggio un gran numero di aziende. Abbiamo sentito parlare di ransomware a doppia estorsione e l’emergere della tripla estorsione – dove gli attori del ransomware minacciano non solo la vittima, ma anche eventuali terze parti o clienti collegati, chiedendo un riscatto per mantenere i dati privati – rappresenta l’ennesima nuova strada di redditività per i cybercriminali.
Non dovremmo quindi essere sorpresi che la supply chain sia finita contemporaneamente nella linea di tiro sia del crimine sia della guerra informatici. Secondo Henry E. Eccles, contrammiraglio della marina statunitense, la logistica è un elemento economico dell’esercito, ma anche un elemento militare dell’economia. La logistica fa da ponte tra l’economia e la guerra, e in questo la catena di approvvigionamento è fondamentale per entrambe.
Sottovalutare il rischio della propria supply chain può quindi avere gravi conseguenze per il business, proprio come in una battaglia. Chiedersi come lavorano i fornitori, le difese che mettono in atto e cosa succede nel caso in cui venissero attaccati sono oggi domande essenziali per garantire il successo della propria azienda. Strumenti di cybersecurity in grado di rilevare le violazioni di terze parti, un cambiamento di linguaggio in una e-mail, o il comportamento anomalo di una fonte tradizionalmente fidata sono invece fondamentali per realizzare la difesa di qualsiasi organizzazione.