Sicuri o insicuri dipende anche dai fornitori. E’ necessario condividere le opportune cautele.
AIIC ha individuato nella condivisione di requisiti per la sicurezza lungo la filiera di fornitura una esigenza di particolare rilievo da considerare nell’adattare alle infrastrutture critiche il Cyber Security Framework Nazionale.
Sul tema è impegnato il gruppo di lavoro associativo Cyber Security Framework for Supply Chain.
La filiera di fornitura di beni e servizi è essenziale per la maggior parte delle aziende ed altre strutture e la sua affidabilità può avere conseguenze particolarmente rilevanti anche per soggetti terzi quando si tratta di rifornire infrastrutture critiche.
D’altra parte le infrastrutture critiche sono considerate tali proprio perché forniscono su vasta scala servizi e beni fondamentali per la collettività.
Una infrastruttura critica può dunque trovarsi contemporaneamente nella posizione di fornitore e acquirente e tutti i sub-fornitori concorrono alla qualità e alla sicurezza delle sue attività.
Le cosiddette minacce cyber, che riguardano la correttezza dei flussi di informazioni ampiamente intesi, possono danneggiare gravemente attraverso i fornitori sia provocando il blocco delle sub-forniture sia facendosi strada nei sistemi informatici del cliente tramite gli scambi di dati. Ancora più grave potrebbe essere l’inadeguatezza di forniture dirette proprio a garantire il funzionamento dei sistemi automatici, ad esempio la fornitura di connessioni, strumenti e programmi, oppure la manutenzione o gestione dei relativi servizi.
Secondo la logica di adattabilità alle esigenze particolari che caratterizza il Cyber Security Framework Nazionale i requisiti potranno variare per tipo e modi di fornitura e in considerazione delle possibili conseguenze di un attacco o malfunzionamento.
Il gruppo di lavoro si ripromette di:
– definire una contestualizzazione del Cyber Security Framework Nazionale da applicare alla fornitura di uno specifico servizio della azienda IC;
– sviluppare altri esempi di profili di Cyber Security per la fornitura di servizi alle IC;
– sviluppare Linee Guida per definire ed applicare ai propri fornitori il Profilo di Cyber Security dei servizi;
– promuovere la diffusione dei risultati del gruppo di lavoro.
Saranno resi pubblici:
– esempi di contestualizzazione del Cyber Security Framework Nazionale con alcuni profili associati per i servizi di fonitura della supply chain di una Infrastruttura Critica presa come caso di studio;
– linee guida metodologiche per la contestualizzazioni del Cyber Security Framework Nazionale per i servizi di fornitura e relativi profili per i fornitori;
– interventi di sensibilizzazione e formazione in merito all’applicazione della contestualizzazione del Cyber Security Framework Nazionale ai fornitori delle IC.
SCARICA PRESENTAZIONE PDF: Kick Off GDL AIIC_SupplyChain_v4-giurus 4
