Gyala chiude un nuovo round di investimento e accelera la cyber resilience delle infrastrutture IT/OT/IoT Leggi 

 

Oltre le terze parti:

Estratto dell’articolo di Ict Security Magazine

La sicurezza cyber della supply chain estesa

Il 2026 e la fine del trust by default

Nel 2026 la cybersecurity completa la propria evoluzione da disciplina difensiva a leva strategica per la resilienza di infrastrutture critiche e aziende.

Sul versante tecnologico, l’interconnessione fra ambienti IT, OT e IoT, la persistenza di sistemi legacy non aggiornabili, la crescente dipendenza da cloud provider e servizi SaaS dei grandi hyperscaler e l’introduzione di nuovi servizi di intelligenza artificiale (in primis i modelli di linguaggio utilizzati dagli utenti finali) ampliano in modo significativo il perimetro infrastrutturale. Sul versante politico, dazi, guerre e frizioni geopolitiche accelerano gli attacchi persistenti di matrice statuale, e contemporaneamente emerge una nuova categoria di rischio: i cosiddetti shadow risk, rischi nascosti legati alla supply chain e all’utilizzo non governato di strumenti gratuiti, software di terzi e servizi di AI.

I rischi fantasma e il necessario cambio di paradigma

La nozione di terza parte va oggi estesa ben oltre i fornitori contrattualizzati. Sono terze parti, a tutti gli effetti, i sistemi operativi, le componenti hardware, le piattaforme cloud, qualsiasi software dotato di meccanismi di aggiornamento automatico e, in modo crescente, i sistemi di intelligenza artificiale incorporati nei flussi operativi. Ognuno di questi attori è già dentro l’infrastruttura della singola organizzazione e potrebbe, in scenari avversi, diventarne un vettore di compromissione.

Le normative recenti (NIS2, DORA, GDPR, le determinazioni dell’Agenzia per la Cybersicurezza Nazionale) richiedono giustamente che i contratti con i fornitori diretti includano requisiti di sicurezza verificabili e auditabili. Il punto sollevato da Mugnato è però che tali requisiti, pur strettamente necessari, spesso non sono sufficienti. La quota più rilevante di rischio risiede in fornitori e tecnologie “nascoste” rispetto al perimetro formale dei contratti, come anche in servizi gratuiti che possono introdurre canali di esposizione dei dati al di fuori di ogni governance.

Leggi l’articolo completo su Ict Security Magazine