La sicurezza informatica è un elemento imprescindibile e centrale nella progressiva digitalizzazione delle aziende. Un elemento che è sempre più percepito non più come un ostacolo all’innovazione, ma come un fattore critico di successo. Cresce, infatti, la consapevolezza da parte delle imprese, così come la spesa.
La cybersecurity oggi in Italia ha un mercato che vale 1,3 miliardi di euro in crescita dell’11% e la tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese.
Sono questi i dati di sintesi della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che ha coinvolto 698 imprese italiane, tra le quali 180 grandi organizzazione con oltre 249 addetti e 518 pmi con un numero di addetti tra 10 e 249. Da questa ricerca abbiamo preso spunto per affrontare alcuni aspetti legati alla sicurezza in ambito industriale.
I numeri dell’OT Security
La crescente esposizione a minacce e attacchi cyber nel mondo industriale, dovuti alla digitalizzazione delle fabbriche, alla diffusione dell’Industrial IoT e alla convergenza tra i sistemi IT e il mondo della produzione impone alle aziende di proteggere gli ambienti OT (Operational Technology).
Dalla ricerca dell’Osservatorio emerge che il principale rischio individuato dalle aziende è il fermo della produzione (54%), seguito dalla safety (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine, dall’alterazione o dalla modifica della produzione (16%) e dal furto o dalla perdita di dati confidenziali (10%).
Per fronteggiare questi rischi, il 68% delle aziende effettua security assessment e/o audit su sistemi e reti OT e il 60% ha introdotto strumenti di sicurezza specifici per l’ambito industriale.
La gestione dell’OT Security all’interno delle grandi aziende, in particolare su un campione di 81 in cui è applicabile il tema dell’OT Security, viene affidata nella maggioranza dei casi alla funzione IT (47%), mentre è più marginale il ruolo delle divisioni Information Security (11%) e Operations (4%). Nel 23% dei casi se ne occupano più funzioni aziendali, nel 15% la gestione non è affidata ad alcuna funzione.
Ma per le pmi è tutta un’altra storia. Il dato positivo è che il 90% del campione dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security. Nel 43% è presente un ruolo che si occupa di sicurezza informatica, anche se nella maggior parte dei casi non si tratta di un vero e proprio Ciso, ma di una figura interna che gestisce gli strumenti aziendali e si occupa della relazione con i fornitori.
Gestire l’OT Security: le sfide tecnologiche e organizzative
Per OT Security si intende la messa in sicurezza di componenti software e hardware dedicate al monitoraggio e al controllo di asset e processi fisici che appartengono quindi al mondo produttivo piuttosto che alla gestione di infrastrutture critiche.
L’Osservatorio ha dedicato un approfondimento proprio sulla gestione dell’OT Security, toccando due punti principali: le sfide dal punto di vista tecnico e tecnologico e le sfide riguardanti la sfera organizzativa.
OT Security: le sfide tecnologiche
«Relativamente alla prima sfida, negli ambienti industriali vengono sempre più interconnessi e integrati sistemi che non sono stati originariamente progettati con lo scopo di essere connessi in rete o, per lo meno, non in reti che non fossero segregate», spiega Giorgia Dragoni, ricercatrice del Politecnico di Milano.
«Questo porta all’introduzione di sensori e dispositivi per l’IIoT su macchine e sistemi che non erano stati progettati con requisiti di sicurezza. Altra considerazione è che i sistemi industriali hanno un ciclo di vita molto superiore ai sistemi IT, un fattore che introduce il rischio di obsolescenza dei sistemi. Inoltre, questi sistemi sono in grado di operare direttamente sul mondo fisico, quindi un potenziale problema può avere ripercussioni concrete sulla produzione e a volte anche sulla safety, sia relativa alle persone sia all’ambiente.
Bisogna inoltre considerare che spesso su questi sistemi sono inseriti dei tool che permettono l’accesso da remoto per la manutenzione, la gestione e il controllo e, dal punto di vista della security, questo può rappresentare un problema.
Infine, c’è il tema della “consumerizzazione” del mondo OT, ossia dell’introduzione all’interno dell’ambiente produttivo di strumenti che sono nati per un uso consumer, quali smartphone e tablet. Tutti questi elementi fanno sì che dal punto di vista della security si ampli enormemente la cosiddetta superficie di attacco. I sistemi industriali un tempo isolati e inaccessibili sono ora esposti a rischi a cui non erano preparati».
OT Security: le sfide organizzative
Sul fronte organizzativo sono stati, invece, analizzati quattro punti di attenzione. Il primo riguarda il tema degli obiettivi e delle priorità: nel mondo OT c’è una diversa scala di priorità degli obiettivi rispetto al mondo IT. Per la sicurezza informatica, le priorità sono confidenzialità, integrità e disponibilità. Se nel mondo IT ci si focalizza in particolare sulla confidenzialità, quindi sul garantire la riservatezza dei dati, al contrario nel mondo OT il principio prevalente è quello dell’integrità, cioè garantire che i dati non siano stati modificati e della disponibilità dei dati stessi.
Il secondo è quello del modello organizzativo, che è fondamentale anche nell’Industrial Security: è importante prevedere meccanismi di collaborazione, coordinamento e allineamento tra le diverse funzioni coinvolte.
Il tema della responsabilità in caso di incidente è il terzo. In caso di incidente le possibili ripercussioni si avrebbero direttamente sul mondo fisico, quindi è particolarmente importante adottare, da un lato, un approccio risk-based che prenda in considerazione i possibili impatti e gli scenari di rischio, dall’altro, definire in modo chiaro e corretto procedure e meccanismi da seguire in caso di incidente, quindi identificare, ad esempio, tutte le figure che devono essere coinvolte in caso di incidente per una corretta gestione della risposta.
Il quarto tema riguarda il profilo di competenze e di sensibilizzazione, cioè la presenza di figure specializzate, con forti competenze nella sicurezza OT, e allo stesso tempo la consapevolezza tra i dipendenti per minimizzare i rischi.
