Monitoraggio Continuo: Colmare le Lacune di Sicurezza nella Gestione del Rischio dei Fornitori

Le catene di approvvigionamento sono il collante che tiene insieme l’economia globale. Sono anche una fonte significativa di rischio aziendale legato alla cybersicurezza. Gli attacchi ai fornitori sono aumentati del 431% tra il 2021 e il 2024, e si prevede che continueranno ad aumentare. Ciò è una cattiva notizia per le imprese con cui fanno affari. IBM stima che la compromissione dei fornitori di terze parti è legata ai costi più alti di violazione dei dati di qualsiasi tipo di incidente: 4,9 milioni di dollari per violazione.

La sfida per i leader del rischio e della cybersicurezza è che i meccanismi di gestione del rischio esistenti sono imperfetti. Possono essere lenti, risorse-intensive e pieni di punti ciechi. La vera gestione del rischio dei fornitori deriva da un controllo e una sorveglianza continui.

La crescita inarrestabile delle catene di approvvigionamento

Le catene di approvvigionamento complesse e frammentate sono il prezzo che paghiamo per il commercio globale. Nel corso dell’ultimo decennio o più, sono cresciute per supportare le richieste dei consumatori di più scelta e costi più bassi, trainate da un’esplosione negli acquisti online. Allo stesso tempo, le catene di approvvigionamento digitali hanno anche subito una crescita tremenda, grazie alla proliferazione del software come servizio (SaaS), dei fornitori di servizi gestiti (MSP) e alle richieste aziendali di modi di lavoro più innovativi e efficienti.

Il risultato? Opacità dove ci dovrebbe essere insight, e livelli di rischio aziendale in aumento che potrebbero mettere in pericolo i profitti e la fedeltà dei clienti conquistati a fatica. Secondo una stima, anche la media delle piccole e medie imprese ha 800 fornitori. Quando si contano i fornitori dei fornitori, i numeri raggiungono presto le migliaia di aziende.

Un affare rischioso

Questa è una cattiva notizia per i CISO e i loro team, che devono trovare un modo per gestire i rischi di sicurezza inevitabili che derivano dalle catene di approvvigionamento estese. La compromissione dei fornitori e della catena di approvvigionamento ha rappresentato il 15% delle violazioni dei dati l’anno scorso, secondo IBM. Verizon afferma che il numero è in realtà raddoppiato nell’ultimo anno per raggiungere il 30%. Qualunque sia il numero reale, è chiaro da incidenti reali il tipo di danno che possono causare.

I terzi, come i fornitori di servizi esterni e le società di servizi professionali, possono archiviare credenziali di accesso altamente sensibili e altri dati appartenenti ai loro clienti. Potrebbe trattarsi di informazioni personali altamente regolamentate (PII) sui clienti e i dipendenti. O IP, segreti commerciali o dati finanziari non pubblici. Tutti questi sono un grande richiamo per gli estorsori digitali, che potrebbero rubarli e/o crittografarli per forzare il pagamento. Le violazioni dei terzi hanno rappresentato oltre due quinti (41%) degli attacchi di ransomware nel 2024, secondo uno studio.

Man mano che i fornitori proliferano, aumenta anche il rischio di frode aziendale, come ad esempio attraverso la compromissione dell’email aziendale (BEC). Gli attori minacciosi potrebbero inviare un’e-mail di phishing a un membro del team finanziario o addirittura a un dirigente senior, richiedendo il pagamento di una fattura inesistente. Rendono i loro attacchi più certi di successo hackerando gli account e-mail del cliente/fornitore, in modo da poter monitorare le comunicazioni e capire come appaiono le fatture. Le perdite per BEC segnalate all’FBI hanno raggiunto quasi 2,8 miliardi di dollari l’anno scorso, rendendolo il secondo tipo di cybercrime più redditizio.

Poi ci sono i fornitori dei fornitori. Un rapporto del 2023 afferma che la metà delle organizzazioni studiate aveva relazioni indirette con almeno 200 terze parti che avevano subito violazioni nei due anni precedenti. Più piccolo è il fornitore, meno risorse potrebbe avere per spendere in cybersecurity di best practice.

L’AI è un dono per gli hacker

La tecnologia AI viene sempre più utilizzata dai cybercriminali per migliorare i loro tassi di successo. In effetti, gli esperti del governo britannico hanno avvertito quest’anno che la tecnologia “probabilmente continuerà a rendere più efficaci ed efficienti gli elementi delle operazioni di intrusione informatica”.

Lo vediamo nel modo in cui l’AI generativa consente la creazione di campagne di phishing in lingue locali naturali e impeccabili. Nel modo in cui può aiutare gli attori minacciosi a sondare le debolezze del sistema e selezionare i loro obiettivi. E nel modo in cui potrebbe anche assistere nella creazione di malware e exploit. È per questo che l’AI porterà a “un aumento della frequenza e dell’intensità delle minacce informatiche” nei prossimi due anni, avverte il rapporto.

A seconda del tipo e dell’entità dell’incidente di sicurezza, l’impatto per i clienti di un fornitore violato va dal danno finanziario e di reputazione al rischio normativo e alla disgregazione operativa. Più a lungo un incidente rimane non rilevato, più tempo hanno gli attori minacciosi all’interno della rete e, in ultima analisi, più costerà pulire e riprendersi. Purtroppo, le compromissioni della catena di approvvigionamento richiedono il tempo più lungo per essere risolte, secondo IBM.

Un caso in punto è la recente divulgazione di una grande violazione di ransomware presso il fornitore di servizi di outsourcing Conduent, con entrate di diversi milioni di dollari. Oltre 11 milioni di americani potrebbero aver avuto esposti i loro numeri di previdenza sociale, i dettagli dell’assicurazione sanitaria e le informazioni mediche, secondo rapporti. E sebbene siano stati solo di recente notificati a novembre 2025, si ritiene che l’ambiente della società sia stato compromesso già a partire da ottobre 2024.

Perché la sorveglianza continua è importante

Fortunatamente, l’AI può anche aiutare i “buoni” a superare le sfide comuni con la gestione del rischio informatico dei fornitori. Troppi organismi lottano con processi lenti e manuali e questionari lunghi che causano ritardi e creano punti ciechi di visibilità. La documentazione dei fornitori non coerente rende difficile confrontare i punteggi di rischio in tutta l’ecosistema e capire cosa è più importante per l’azienda.

Invece, con un approccio basato sui dati e sull’AI, le organizzazioni possono far sì che l’automazione faccia il lavoro pesante, sia durante l’onboarding che dopo. Quest’ultimo è importante perché il rischio non si ferma una volta che un fornitore è stato approvato. Continua a evolversi, potenzialmente su base oraria o giornaliera, con ogni nuova vulnerabilità del software, violazione dei dati o account non configurato correttamente. I fornitori potrebbero investire in nuove infrastrutture, aumentando la loro superficie di attacco informatico. Potrebbero aggiungere nuovi fornitori, cambiando l’esposizione al rischio. E potrebbero essere presi di mira da campagne di attori minacciosi innovative.

Tutto ciò richiede un approccio più proattivo alla gestione del rischio di terze parti, che va oltre la raccolta e l’elaborazione dei sondaggi e della documentazione dei fornitori. Dovrebbe essere focalizzato sull’identificazione del rischio in tempo reale, in modo che l’organizzazione possa agire rapidamente prima che si verifichi qualsiasi danno.

Iniziare con l’AI

Raggiungere questo tipo di insight continuo e a 360 gradi sul rischio informatico dei fornitori richiederà molti dati e algoritmi intelligenti per segnalare modelli sospetti. Più dati di alta qualità, migliore la visibilità. Ciò potrebbe includere feed di intelligence sulle minacce che scansionano i forum del dark web per i segni premonitori di una violazione. O il monitoraggio delle vulnerabilità che evidenzia gli aggiornamenti di sicurezza mancanti negli stati dei fornitori. Potrebbe anche tracciare le prove di compromissione dell’email tra i dipartimenti finanziari dei fornitori, che potrebbero indicare attacchi BEC in arrivo. O anche modelli di transazione sospetti che coinvolgono quei fornitori.

L’AI può essere utilizzato per identificare rischi critici in tempo reale, al fine di intraprendere azioni immediate. E per assegnare automaticamente un punteggio di rischio continuamente aggiornato per ogni fornitore, ponderato in base alle politiche, alla postura e alla criticità per l’azienda.

L’AI agente potrebbe anche essere un potente alleato, lavorando in modo autonomo per ingerire e analizzare la documentazione dei fornitori complessa come i rapporti SOC 2 e le politiche di sicurezza interne, e mappando i controlli ai framework stabiliti come NIST CSF o ISO 27001. Ciò può fornire visibilità sulla conformità in pochi minuti, anziché ore, liberando tempo per i team di sicurezza e rischio per lavorare su attività di maggior valore. In organizzazioni mature, gli agenti AI potrebbero anche lavorare in modo indipendente per risolvere e rimediare problemi di routine – o almeno per instradarli al membro del team giusto per un’attenzione tempestiva.

Unire tutto

La chiave è assicurarsi che un tale sistema per la gestione del rischio informatico dei fornitori sia unificato, in modo che i dati di rischio non finiscano isolati e inutilizzabili. Idealmente, la stessa piattaforma abiliterebbe anche altri tipi di gestione del rischio dei fornitori, in aree come la conformità, la sostenibilità, la finanza e le operazioni. Ciò fornirebbe il tipo di informazioni sulle quali possono essere prese decisioni aziendali migliori.

Soprattutto, ricordate che il rischio informatico è fondamentalmente un rischio aziendale. Non può essere eliminato. Ma può essere gestito in modo più efficace.