Questa è senza ombra di dubbio la domanda più sottovalutata del panorama della sicurezza informatica aziendale.
Ogni Azienda ha svariati fornitori, da chi si occupa dell'infrastruttura IT a chi si occupa della parte gestionale, da chi mette mani sulle stampanti a chi gestisce i macchinari produttivi o, perchè no, anche i marcatempo. A livelli diversi e (si spera) con accessi diversi, la fiducia riposta nel proprio fornitore è pressochè cieca. Le credenziali in possesso dei propri fornitori strategici (principalmente IT e Gestionale) sono a tutti gli effetti le "chiavi del regno" e possono causare, se in mani inopportune, un disastro inestimabile.
Nel corso di questi miei primi 20 anni di IT Security ho avuto modo di constatare che troppo spesso i fornitori di servizi dedicano alle credenziali dei propri clienti la stessa attenzione che dedicherebbero alla propria lista della spesa ignorando quanto i fornitori siano oggetto di attenzione da parte dei gruppi "hacker" e quanto queste informazioni possano potenzialmente anche far chiudere aziende.
Al di la delle normative vigenti in materia di GDPR e Privacy, le principali domande che un fornitore dovrebbe porsi sono:
- Se la mia postazione viene compromessa, si accede ai dati sensibili dei Clienti?
- Se la mia infrastruttura viene compromessa, fino a che livello i dati sensibili non vengono trafugati? E oltre quale livello accadrebbe l'inevitabile? (ho creato un'architettura a livelli di accesso?)
- Sulle macchine che trattano questi dati, che software vado ad installare?
- Se un mio dipendente va via o si mostra infedele, ho una procedura di gestione efficace?
- Le credenziali sono differenziate per Cliente e per Servizio? Oppure utilizzo password condivise?
- Possiedo strumenti in grado di capire se ho problemi di sicurezza all'interno della mia infrastruttura?
Sul terzo punto si apre un mondo. Indubbiamente tendiamo a fidarci troppo dei software che installiamo. Proviamo a portare due episodi noti:
- Settembre 2016: Il software di teleassistenza Ammyy (parente di funzionalità di Teamviewer o Anydesk) viene compromesso. Tutte le postazioni con Ammyy vengono attaccate da un ransomware.
- Dicembre 2020: Il software di network monitor, utilizzato da moltissimi fornitori di servizi IT, viene compromesso. Tutti i fornitori di servizi IT che utilizzavano il noto software e tutti i relativi clienti vengono compromessi, i dati esfiltrati e i server bloccati. Si parla di centinaia di migliaia, forse milioni di server compromessi, Governi e chi più ne ha più ne metta. https://www.agi.it/blog-italia/cybersecurity/post/2020-12-24/hackeraggio-solar-winds-sicurezza-cibernetica-10803567/
Come un cane che si morde la coda, anche un fornitore di servizi IT ha dei suoi fornitori e software che vengono a loro volta utilizzati. Essi non sono esenti da problemi e, anzi, quanto più noti sono più divengono oggetto di attenzione da parte dei gruppi criminali. La sicurezza delle infrastrutture passa, quindi, per il ragionevole sospetto che qualcosa, all'improvviso, possa andare storto.
Questo sotto è un esempio di compartimentazione per, ad esempio, un'azienda che eroga servizi IT ai propri Clienti accedendo sia alle postazioni di lavoro mediante software di teleassistenza, sia su apparati critici (Server, Firewall, Sistemi di Backup, etc.).
In caso di compromissione della macchina con i software "non privati" installati, non vi sarà comunicazione con le aree che invece contengono le credenziali.
Sull'accesso ai sistemi di backup, poi, si apre un altro capitolo. Essi dovrebbero avere aree isolate, credenziali totalmente differenti, etc. etc... ma questa è un'altra storia.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
