La sicurezza delle terze parti

L’attuale panorama normativo è adeguato e sostenibile?

A cura di Gabriele Faggioli

Non passa giorno e convegno senza che si parli delle terze parti come di un elemento di insicurezza.

Le statistiche (e le cronache ne sono testimoni) ci dicono che troppo spesso le terze parti sono il punto di ingresso da cui i criminali entrano per sferrare un attacco.

Come si vede dalla figura che segue nel 2021 l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha pubblicato una survey da cui si rileva che su 151 grandi imprese intervistate il 24% aveva dichiarato di aver subito negli ultimi 12 mesi (quindi nel corso del 2020) un incidente di sicurezza legato alle terze parti.

Se da un lato quindi le terze parti possono essere considerate, in taluni casi, un fattore di insicurezza, è pur vero che gli investimenti che possono porre in essere, se parliamo di player primari, sono esponenziali rispetto a quanto può permettersi singolarmente qualunque azienda e pubblica amministrazione.

Per comprendere al meglio questa affermazione basti considerare i seguenti dati:

• Nel 2022 la spesa italiana in sicurezza informatica si è attestata (Fonte Osservatorio Cybersecurity & Data Protection del Politecnico di Milano) in poco meno di due miliardi di euro
• Nell’agosto 2021 Microsoft e Google hanno dichiarato al Presidente Biden che in 5 anni avrebbero speso 30 miliardi di dollari in cybersecurity (tra gli altri: https://www.wired.it/internet/web/2021/08/26/cybersecurity-biden-miliardi-microsoft-google-apple-ibm-amazon/).

Parliamo di cinque anni in cui, ogni anno, due aziende per quanto immense spenderanno, complessivamente, tre volte ciò che spende tutta l’Italia!

Davanti a questi numeri bisogna chiedersi a chi possa convenire restare su infrastrutture e applicazioni gestite internamente (per quanto magari oggetto di outsourcing), a rischio costante di obsolescenza, senza possibilità di investimenti ripetitivi e massicci, senza capacità di pianificazione, senza conoscenza di quanto costerà manutenere e difendere un complesso di tecnologie, una superficie di attacco, sempre più ampie e sempre più costose, sempre più insicure, aperte, soggette a continue necessità di upgrade tecnologico e funzionale per restare competitive ma comunque soggette a continue vulnerabilità.

In un contesto di questo tipo, il legislatore chiede ripetutamente che ogni impresa e pubblica amministrazione che intenda fruire di terze parti analizzi il livello di compliance e di cybersecurity dei propri fornitori.

Per fare due esempi:

• in applicazione del GDPR i clienti devono valutare se il livello di sicurezza del fornitore con cui intendono contrattualizzare la collaborazione è adeguato o meno
• la normativa bancaria (e in particolare la regolamentazione EBA in materia di esternalizzazioni e il Regolamento DORA) prevede fra l’altro che: i. nella fase precontrattuale il cliente valuti i rischi ed effettui la due diligence del fornitore; ii. prima di stipulare un accordo contrattuale per l’utilizzo di servizi ICT le entità finanziarie devono identificare e valutare tutti i rischi pertinenti relativi all’accordo contrattuale; iii. nell’effettuare la valutazione dei rischi prima dell’esternalizzazione e durante il monitoraggio continuo della performance del fornitore di servizi, gli enti e gli istituti di pagamento devono: definire e stabilire un adeguato livello di protezione della riservatezza dei dati, di continuità delle attività esternalizzate nonché di integrità e tracciabilità dei dati e dei sistemi nell’ambito della prevista esternalizzazione.

Come si può agevolmente constatare, di fatto, si chiede a tutti i clienti di valutare il livello di sicurezza di ogni fornitore, di valutare se le sue misure di sicurezza sono adeguate e poi di tenere costantemente monitorato durante la durata del contratto il fornitore stesso.

È (ancora) sensato come approccio?

Diamo uno sguardo al mercato italiano del cloud computing per provare a dare una risposta.

Nella figura che segue possiamo vedere come i servizi infrastrutturali sono cresciuti nel 22 rispetto al 21 del 27% mentre i servizi SaaS del 14%. Addirittura maggiore (seppur con una fetta complessiva di fatturato minore) la crescita del platform as-a-service.

In tutta evidenza i servizi di cloud computing crescono enormemente, da anni, come si può constatare dalla figura che segue nella prossima pagina.

In questi dati è forse possibile trovare una risposta.

Il mercato sta andando, sia per l’interesse dei fornitori che per le esigenze dei clienti, verso un modello cloud first sempre più diffuso.

Questa traiettoria evolutiva porterà aziende e pubbliche amministrazioni di tutte le dimensioni a usare sempre di più servizi standardizzati, offerti in modelli fortemente scalabili e uniformi.

Interi settori di mercato useranno sempre più spessi i medesimi fornitori perché è presumibile che aumenti la concentrazione e quindi la convenienza di usare le stesse terze parti che potranno offrire sempre più servizi competitivi, tecnologicamente avanzati, funzionali e sicuri.

In questo scenario quale sarebbe il senso normativo di costringere tutti a valutare i medesimi servizi tutti uguali?

In attesa di una, auspicabile, evoluzione normativa (alcuni passi sono stati fatti come con il cybersecurity act ma siamo ben lungi da una modifica sostanziale del panorama normativo) occorre fare i conti con gli obblighi attuali.

In questa ottica è utile che i fornitori che mirano ad avere (o che hanno) importanti fette di mercato, soprattutto se uniformi, siano in grado di mettere a disposizione documentazione standard completa, e di facile comprensione, ad illustrazione di tutte le politiche di compliance e di cybersecurity poste in essere permettendo ai clienti un facile accesso alle informazioni e quindi una accelerazione del percorso di valutazione (e di monitoraggio).

L’obiettivo non deve essere quello di diminuire l’attenzione dei clienti sull’importanza della sicurezza delle terze parti, deve invece essere quello di rafforzare la responsabilità dei fornitori con politiche di accentramento delle valutazioni e con diritto di accesso per tutti alle valutazioni stesse.

L’accesso alle tecnologie non dovrebbe comportare sforzi supplementari che ben pochi si possono permettere e che paradossalmente rischiano di creare sfiducia e disapplicazione delle norme per evidenti eccessi di costi indotti.

Bisogna mirare alla sicurezza reale anziché incentivare politiche di gestione aziendale che mirano prevalentemente ad evitare le sanzioni senza una reale sostanza pratica.

E il mercato, in tutta evidenza, sta ancora una volta anticipando il legislatore.