Negli ultimi anni, la cybersecurity ha iniziato a guardare con crescente preoccupazione non solo alle vulnerabilità interne alle organizzazioni, ma a quelle che si insinuano nei loro fornitori. È il tema della supply chain security, dove il punto debole non è più necessariamente il perimetro dell’azienda, ma quello dei suoi partner. Tuttavia, il recente attacco che ha coinvolto Mooney Servizi (MyCicero), ATM Milano, Busitalia Veneto e TUA Abruzzo ci proietta in uno scenario ancora più complesso: un attacco alla supply chain della supply chain.
Schema dell’attacco alla supplychain e coinvolgimento delle aziende a valle

I fatti degli attacchi recenti

I fatti sono noti, Mooney Servizi – azienda che gestisce piattaforme digitali come myCicero – è stata vittima di un attacco informatico. L’intrusione, secondo quanto dichiarato da Mooney, è avvenuta a livello infrastrutturale: è stato compromesso un archivio cloud gestito da WIIT S.p.A., provider di servizi cloud e data center ad alta affidabilità.

I dati trafugati – secondo quanto riportato – includono informazioni anagrafiche, email, numeri di telefono e dettagli di profilazione legati all’utilizzo dei servizi di mobilità. A non essere stati compromessi, fortunatamente, sono le credenziali di accesso e i dati di pagamento, custoditi su infrastrutture distinte.

Il dettaglio più rilevante non è solo il furto di dati. È la catena delle responsabilità tecniche che si è rivelata lunga e poco trasparente:

• WIIT, il provider cloud, avrebbe subito l’attacco.
• Mooney Servizi, cliente di WIIT, ne è rimasta colpita in quanto ospitava lì i propri sistemi.
• I clienti di Mooney – tra cui ATM Milano, Busitalia Veneto e TUA Abruzzo – si sono trovati a gestire un incidente che non ha avuto origine direttamente nei loro sistemi, ma li ha colpiti in pieno.

E a pagare il prezzo più alto, ancora una volta, sono stati gli utenti finali.

Se nei classici attacchi alla supply chain assistiamo ad una compromissione che da un fornitore arriva al cliente finale, qui accade qualcosa di più subdolo: una vulnerabilità del fornitore del fornitore si traduce in un data breach per più aziende terze, che hanno semplicemente delegato la gestione del servizio a un attore esterno ritenuto affidabile.

La Supply Chain della Supply Chain

ATM, Busitalia e TUA, infatti, non hanno subito direttamente alcuna violazione dei loro sistemi interni. E nemmeno, da quanto emerge, Mooney ha subito un attacco diretto sui propri ambienti di sviluppo. L’intrusione si è verificata su un archivio cloud ospitato presso WIIT.

Questa architettura a cascata, seppur comune nei sistemi SaaS e nel mondo dell’outsourcing, espone a un rischio difficilmente controllabile: quello di diventare “vittime collaterali” di un’architettura altrui, senza reale visibilità su come i dati siano gestiti, protetti, copiati, o eventualmente archiviati in cloud di terze parti.

A fronte delle dichiarazioni puntuali di Mooney Servizi, e della trasparenza di ATM, Busitalia e TUA nel notificare pubblicamente l’accaduto ai propri utenti (con dovizia di dettagli e responsabilità), colpisce la mancata comunicazione del cloud provider: WIIT S.p.A.

Ad oggi, nessun comunicato ufficiale è stato diffuso dal provider cloud. Nessuna conferma, nessuna smentita, nessuna nota tecnica o rassicurazione pubblica. E questo non aiuta neanche ulteriori aziende a fare una lesson learned sull’accaduto e più nello specifico:

• Qual è stata la reale dinamica tecnica dell’attacco?
• I dati sono stati esfiltrati da un sistema di backup, da un bucket S3 mal configurato o da altro?
• Quanti clienti WIIT sono coinvolti oltre a Mooney Servizi?
• È stata attivata una procedura di notifica al Garante Privacy o all’ACN?
• I server sui quali si appoggiava WIIT erano nei suoi datacenter oppure acquistati a loro volta da un altro cloud provider?

Resta quindi la narrazione dei clienti – Mooney e i suoi clienti – che si trovano a fare comunicazione di crisi per conto di chi ha subito (o forse originato) l’attacco.

Un nuovo paradigma di rischio

Il caso Mooney-MyCicero evidenzia un nuovo paradigma di rischio. In un ecosistema digitale distribuito, le aziende che si affidano a fornitori di servizi SaaS o cloud non delegano solo l’operatività, ma anche il proprio rischio reputazionale, legale e tecnico. E spesso lo fanno senza visibilità sulle misure effettive adottate nei livelli inferiori della catena.

La domanda che sorge spontanea è: quanto controllo effettivo hanno ATM, Busitalia o TUA sulla sicurezza dei dati quando affidano a un fornitore un servizio che, a sua volta, si appoggia su altri fornitori? O ancora: quante aziende italiane oggi stanno gestendo dati critici su infrastrutture su cui non hanno alcuna governance reale?

Questo incidente non è solo un problema di sicurezza informatica: è un problema di modello operativo. Quando la supply chain si estende su più livelli, la fiducia non può più essere cieca. Serve una due diligence tecnica multilivello, contrattualizzata e verificabile. Serve maggiore trasparenza nei processi di delega infrastrutturale, e serve anche una catena di responsabilità più chiara e, soprattutto, pubblica.

Fino a quando casi come questi verranno gestiti con comunicazioni parziali o frammentate – in attesa che il fornitore a monte decida se e quando dire qualcosa – sarà difficile ripristinare davvero la fiducia dell’utente finale. E l’industria digitale continuerà a inseguire gli attaccanti, un livello di supply chain alla volta.

L'articolo Attacco alla Supply Chain della Supply Chain: nuove vulnerabilità sistemiche e approccio alle terze parti proviene da il blog della sicurezza informatica.