La supply chain del software è sempre stata vulnerabile: JP Morgan lo ha appena detto ad alta voce

Quando Patrick Opet, Chief Information Security Officer di JP Morgan, ha fatto scattare questa settimana il campanello d'allarme nel mondo aziendale americano con una lettera aperta al settore affinché dia priorità alla sicurezza nella supply chain del software, poche persone hanno sentito qualcosa che non avevano mai sentito prima. L'aspetto che ha colpito di più in questa notizia è che proveniva dalla più grande banca degli Stati Uniti (per asset) e dalla più grande banca del mondo (per capitalizzazione di mercato), e gli istituti finanziari non sono generalmente noti per le dichiarazioni audaci ed energiche.

Inoltre, la lettera di Opet evidenzia il rischio particolare per settori più regolamentati e sensibili come la finanza, in cui il costo del fallimento può raggiungere trilioni di USD. Il report IBM 2024 Cost of a Data Breach ha rilevato che il costo medio globale di una singola violazione nel settore finanziario è stato di 6,08 milioni di USD, secondo solo ai costi delle violazioni nel settore sanitario, pari a 9,77 milioni di USD.

"La comodità non può più superare il controllo", ha detto Opet nel suo post su LinkedIn, invitando quindi fornitori di software terzi, leader della sicurezza e la comunità tecnologica nell'accezione più ampia a guardare più da vicino ai "singoli punti di errore" che possono portare a "conseguenze potenzialmente catastrofiche a livello di sistema."

Questa “comodità” può apparire come un sistema di dati e processi perfettamente integrati che si aggiornano senza ritardi o interazioni manuali, un obiettivo inconfutabile per le aziende. Tuttavia, come avverte Nataraj Nagaratnam, CTO di IBM per la sicurezza AI e infrastruttura, "Poiché gli agenti AI diffondono un uso più autonomo dell'AI, ad esempio, è più importante che mai garantire che le misure di sicurezza aziendale corrispondano al rischio derivante da tali innovazioni".

Nagaratnam ha parlato con IBM Think dal palco dell'evento RSA a San Francisco, dove è stato affiancato da 40.000 professionisti della sicurezza in uno dei più grandi eventi di cybersecurity dell'anno. La lettera di Opet è stata l'argomento del giorno che ha suscitato un dibattito, a cui è seguito il riconoscimento del fatto che si trattava di una chiamata alle armi per la creazione di standard in tutti i settori e di un modo per misurarne l'adesione.

In questi primi giorni, la giuria non sa esattamente quali dovrebbero essere questi standard e queste misure. Ma la posta in gioco non potrebbe essere più alta. Un esempio: l'attacco ransomware al fornitore di software CDK Global, che fornisce servizi software all'industria automobilistica, è costato complessivamente alle concessionarie più di 1 miliardo di USD, secondo una stima di Anderson Economic Group, una società di consulenza di East Lansing, MI. Come ha affermato Opet, "La ricerca di quote di mercato a scapito della sicurezza espone interi ecosistemi di clienti a rischi significativi e porterà a una situazione insostenibile per il sistema economico".

Cosa possiamo imparare subito da tutto questo? Gli esperti di IBM hanno ascoltato tre call to action dalla lettera di Opet e dal dibattito circostante:

1. Sicuro fin dalla progettazione: la sicurezza non può essere un aspetto secondario. "I fornitori devono riassegnare urgentemente le priorità alla sicurezza, ponendola su un livello uguale o superiore al lancio di nuovi prodotti", ha scritto Opet. Mark Hughes, Global Managing Partner for Cybersecurity Services di IBM, ha anticipato quel sentiment in un recente report sulla cybersecurity: "Le aziende devono abbandonare una mentalità di prevenzione ad hoc e concentrarsi su misure proattive come la modernizzazione della gestione dell'autenticazione, l'eliminazione delle falle di autenticazione a più fattori e l'esecuzione del rilevamento delle minacce in tempo reale per scoprire le minacce nascoste ancor prima che espongano i dati sensibili." In un post di LinkedIn in risposta alla lettera dell'Opet, Hughes esorta le aziende a colmare le lacune nella tecnologia e nella governance dei dati "prima che diventino punti di accesso al rischio".
2. Controlli standardizzati: SaaS e altri fornitori terzi dovrebbero adottare ed ereditare controlli standardizzati, afferma Dinesh Nagarajan di IBM, Partner presso IBM Consulting for Data & AI, Quantum Safe e Application Security Services. Tuttavia, non basta elaborare un metodo standard per misurare i fornitori di software, aggiunge, è essenziale monitorare "se rispettano i requisiti o i controlli richiesti". IBM ha contribuito a sviluppare controlli per il cloud a livello aziendale, oltre a collaborare con enti di settore come la Cloud Security Alliance per sviluppare controlli cloud specializzati per le istituzioni finanziarie. Basandosi su questo lavoro, IBM ha esteso questo approccio all'uso della gen AI da parte degli istituti finanziari, scritto in collaborazione con dieci banche di diversi continenti.
3. Governance attraverso la supply chain: i fornitori SaaS e le aziende dovrebbero adottare un approccio olistico per governare e gestire in modo proattivo la sicurezza e monitorare costantemente la conformità, afferma Nagaratnam. Un modo per farlo è che le organizzazioni sviluppino e gestiscano i propri playbook di cybersecurity, cercando di identificare le esposizioni, valutare i rischi e mitigare l'impatto degli incidenti. Questi playbook di risposta agli incidenti devono tenere conto anche di chi è responsabile di azioni specifiche, come ad esempio quale parte è responsabile (e potenzialmente responsabile) per la messa in sicurezza di una soluzione di AI generativa offerta da una terza parte. L'affidamento a componenti di terze parti richiede una supervisione e un controllo rigorosi e la comprensione di una responsabilità condivisa, in modo che i fornitori siano responsabili della sicurezza dell'intero stack di software, non solo della loro parte.

Quasi ogni settimana compaiono anche nuovi strumenti di settore per aiutare le aziende a gestire la governance e la conformità. Proprio ieri, ad esempio, Credo AI, una piattaforma di governance dell'AI, e IBM hanno collaborato per lanciare l'acceleratore di conformità watsonx.governance, che aiuta i proprietari del caso d'uso e i funzionari della conformità dell'AI a conformarsi a varie normative in modo più rapido e automatizzato.

Rendere i singoli leader aziendali responsabili della tecnologia che utilizzano contribuirebbe notevolmente a migliorare la sicurezza, afferma Nagarajan di IBM. "Quando si responsabilizzano i leader aziendali sulla tecnologia che utilizzano, su come viene gestita, per quale scopo e su come viene mantenuta sicura, la sicurezza migliorerà automaticamente."