In ambito security, i cosiddetti attacchi di filiera rappresentano una delle criticità emerse negli ultimi anni. Si tratta di una categoria piuttosto variegata, che può essere declinata in diversi modi e che assume rilevanza diversa a seconda delle caratteristiche dell’azienda, del modello di business e del settore di produzione.
In questa logica, la pharma supply chain security è una delle sfide che gli esperti indicano come prioritaria per le aziende che operano nel farmaceutico.
Le peculiarità della pharma supply chain security
In termini generali, la presenza di una supply chain molto complessa e articolata rappresenta un fattore che aumenta il rischio sotto il profilo della cyber security. Questo perché la rete di relazioni con fornitori, clienti e collaboratori ha come conseguenza un aumento della superficie di attacco a disposizione dei cyber criminali.
In ambito di pharma supply chain security, questo fenomeno è particolarmente rilevante. Nella produzione di farmaci, infatti, intervengono un numero elevato di soggetti che partecipano alla filiera: fornitori dei componenti, partner cui è affidato il trattamento dei farmaci stessi, per finire con i responsabili del confezionamento e della distribuzione. Un vero labirinto di contatti e relazioni che, nello scenario attuale, vengono gestiti attraverso strumenti di comunicazione elettronica, quando non sono previste addirittura degli ambiti di condivisone delle stesse piattaforme IT.
Nell’ottica di un pirata informatico, questo significa che le probabilità di trovare un anello debole su cui far leva per accedere ai sistemi dell’azienda sono esponenzialmente più alte.
Attenzione alle comunicazioni commerciali e amministrative
Tra gli aspetti di sicurezza informatica più “caldi” negli ultimi anni ci sono le truffe che prendono di mira le procedure di pagamento delle aziende. Oltre alla classica BEC (Business Email Compromise) che sfrutta la compromissione di un account di posta aziendale per modificare le coordinate bancarie inserite nel pagamento, esiste una tecnica di attacco che fa leva proprio sulle vulnerabilità legate alla partecipazione a una filiera complessa. Si tratta di un nuovo sistema, attraverso il quale i cyber criminali si inseriscono nei rapporti commerciali dell’azienda prendendo di mira, in un primo momento, i sistemi informatici di un fornitore. Una volta ottenuto l’accesso ai sistemi di posta elettronica del fornitore, attendono il momento opportuno per inserirsi nelle comunicazioni (solitamente la conclusione di un’operazione commerciale a cui fa seguito il pagamento) per alterare l’IBAN di destinazione. Insomma: in questa variante l’attacco informatico vero e proprio non è diretto all’azienda che subisce il danno, ma a un soggetto collegato.
Una strategia di pharma supply chain security deve quindi partire necessariamente da un assessment rivolto a clienti, partner e fornitori che consenta di valutare il livello di solidità dei loro sistemi di protezione, per evitare che una vulnerabilità “esterna” possa riversarsi sull’azienda stessa.
Il rischio del furto di proprietà intellettuale (e non solo)
La stessa logica descritta in precedenza è alla base del rischio che un attacco informatico possa consentire a un pirata informatico di sottrarre informazioni commerciali o brevetti, la cui condivisione a livello della filiera è spesso una necessità.
Non solo: l’elevato impatto della logistica nel settore farmacologico (che prevede numerosi trasferimenti dei prodotti per le varie fasi di lavorazione) apre la strada anche a ipotesi di furti in una dimensione più “fisica”, come la possibilità dell’alterazione di un ordine di consegna che permetterebbe un vero dirottamento della merce. In una filiera estremamente complessa (e spesso transnazionale) come quella del settore farmaceutico, l’eventualità di un simile incidente di sicurezza è tutt’altro che irrilevante.
In definitiva, l’adozione di strumenti per garantire la pharma supply chain security deve consentire di coprire sia ambiti diversi, sia una rete più estesa di quello che normalmente viene identificato come il perimetro aziendale, prevedendo (quando possibile) anche il coinvolgimento e la collaborazione di tutti i soggetti che partecipano alla filiera.
