Cos'è un supply chain attack
Un supply chain attack (attacco alla catena di fornitura) è un attacco informatico che non colpisce direttamente il bersaglio finale, ma lo raggiunge compromettendo un suo fornitore, partner o un software di terze parti. L'attaccante individua l'anello più debole e meno protetto della catena e lo usa come trampolino verso obiettivi più grandi e meglio difesi.
Il principio è semplice: perché attaccare frontalmente un'azienda con un SOC, firewall e team di sicurezza, quando si può violare il suo piccolo fornitore di servizi IT — che usa la stessa VPN, ha accesso ai suoi gestionali e magari riusa le stesse password? La fiducia tra le aziende della filiera diventa il vettore dell'attacco.
Nel supply chain attack non sei tu il bersaglio finale: sei il grimaldello. La tua azienda viene colpita perché è la via più economica per arrivare a qualcun altro — o perché bloccando te si blocca un'intera filiera.
Le forme che assume
"Supply chain attack" è un ombrello che copre scenari diversi. I principali:
- Compromissione di un fornitore di servizi (MSP/IT): l'attaccante viola chi gestisce l'IT di molte aziende e, da lì, raggiunge tutti i clienti contemporaneamente.
- Software compromesso a monte: codice malevolo inserito in un aggiornamento legittimo o in una libreria open source, distribuito poi a tutti gli utilizzatori (i casi SolarWinds e l'attacco alla libreria xz ne sono esempi noti).
- Account e credenziali di terze parti: accessi VPN, portali fornitori, integrazioni e API riutilizzati per entrare nei sistemi del cliente.
- Vendor email compromise: l'e-mail di un fornitore reale viene usata per inviare fatture fraudolente o veicolare malware a tutta la sua rubrica di clienti.
Perché chi è piccolo e privo di protezione è il bersaglio
La logica dell'attaccante è puramente economica: massimo risultato, minimo sforzo. Una PMI senza difese adeguate offre proprio questo. Ecco perché finisce nel mirino:
1. Difese inferiori, accessi di pari livello
Una piccola impresa ha spesso una frazione delle difese di un'enterprise, ma gli stessi accessi privilegiati: credenziali per entrare nel gestionale del cliente, una VPN verso la sua rete, integrazioni con i suoi sistemi. L'attaccante ottiene un accesso "di valore enterprise" sfondando una porta "di livello PMI".
2. L'igiene di base manca
Assenza di MFA, patch in ritardo, niente EDR sugli endpoint, backup non testati, password riutilizzate. Sono le stesse lacune che rendono le PMI vulnerabili al ransomware, e che un attaccante riconosce e sfrutta in poche ore.
3. Nessun monitoraggio: l'intruso resta invisibile
Senza un SOC o un servizio MDR che osservi i log, un attaccante può muoversi indisturbato per settimane. Il tempo medio in cui una compromissione resta non rilevata in aziende senza monitoraggio si misura in mesi: tutto il tempo che serve per arrivare al vero obiettivo.
4. La fiducia della filiera abbassa la guardia
Un'e-mail che arriva dal "fornitore di sempre", un aggiornamento software firmato, un accesso del consulente IT abituale: nella filiera la fiducia è implicita, e gli attaccanti la sfruttano. Un messaggio malevolo proveniente da un partner reale supera i sospetti che bloccherebbero uno sconosciuto.
Per una PMI, essere l'anello debole di un supply chain attack significa subire due colpi: il danno diretto (blocco operativo, riscatto, furto dati) e quello reputazionale e contrattuale. Essere identificati come il punto da cui è partita la compromissione di un cliente può significare la perdita del contratto, richieste di risarcimento e l'esclusione dalle gare future.
Il fattore NIS2: la sicurezza diventa un requisito di filiera
La Direttiva NIS2 (in Italia D.Lgs. 138/2024) ha trasformato la sicurezza della supply chain da buona pratica a obbligo di legge. I soggetti essenziali e importanti devono valutare e contrattualizzare la sicurezza dei propri fornitori critici.
La conseguenza pratica per le PMI è concreta: anche chi non è direttamente soggetto alla NIS2 si vedrà chiedere, da clienti più grandi, requisiti di sicurezza derivati dalla direttiva — questionari, evidenze, clausole contrattuali, a volte un penetration test. La cybersecurity diventa un prerequisito per restare in fornitura, non più un costo opzionale.
Come spezzare la catena: la difesa per le PMI
La buona notizia è che difendersi non richiede budget enterprise. La maggior parte degli attacchi alla supply chain sfrutta lacune di base: chiuderle alza enormemente l'asticella.
Igiene di sicurezza essenziale
- MFA ovunque, in particolare su e-mail, VPN e accessi remoti — vedi Identity & MFA.
- Patching tempestivo e vulnerability management per chiudere i punti d'ingresso noti.
- EDR/XDR sugli endpoint e sicurezza e-mail contro phishing e vendor email compromise.
- Backup immutabili e testati, così un'eventuale compromissione non si traduce in blocco totale.
Riduci e segmenta gli accessi
Applica il principio del minimo privilegio: ogni fornitore e ogni integrazione devono avere solo gli accessi strettamente necessari, segmentati e revocabili. Un accesso di terze parti compromesso deve poter fare il minor danno possibile.
Monitora e rileva
Un servizio MDR/SOC 24/7 con SIEM e log management riduce drasticamente il tempo in cui un intruso resta invisibile. Nel supply chain attack la velocità di rilevamento è tutto: bloccare il movimento laterale nelle prime ore impedisce all'attaccante di raggiungere il vero obiettivo.
Gestisci il rischio dei tuoi fornitori
Vale anche al contrario: anche tu hai una catena di fornitura. Valuta la postura di sicurezza dei tuoi fornitori critici, inserisci clausole contrattuali, verifica chi ha accesso ai tuoi sistemi. Un penetration test periodico misura la tua reale esposizione, dal punto di vista dell'attaccante.
Parti da una valutazione onesta della tua esposizione: chi ha accesso ai tuoi sistemi e a quelli dei tuoi clienti, e con quali privilegi? Spesso la mappa degli accessi di terze parti — consulenti, software, integrazioni mai dismesse — riserva sorprese. È da lì che inizia la difesa.
Domande frequenti
Cos'è un supply chain attack?
È un attacco che raggiunge un'organizzazione compromettendone un fornitore, un partner o un software di terze parti, anziché colpirla direttamente. L'attaccante sfrutta l'anello più debole della catena per arrivare a bersagli più grandi e meglio difesi.
Perché le PMI sono un bersaglio?
Perché uniscono difese spesso scarse ad accessi privilegiati verso clienti e partner più grandi: VPN, gestionali, integrazioni, posta. Per l'attaccante una PMI poco protetta è la via più economica verso un obiettivo di valore.
Come si difende una PMI?
Con l'igiene di base (MFA, patching, EDR, backup testati), riducendo e segmentando gli accessi di terze parti, monitorando attivamente con MDR/SOC e gestendo il rischio dei propri fornitori con valutazioni e clausole contrattuali. La NIS2 rende questi controlli un requisito per molte filiere.
"Siamo piccoli, perché dovrebbero attaccarci?"
Proprio perché siete piccoli e — di norma — meno protetti. Nel supply chain attack non conta la dimensione del bersaglio, ma la facilità con cui lo si viola e il valore di ciò a cui dà accesso.