“La tecnologia? Davanti all’incombere di cyberminacce sempre più sofisticate e diffuse, non è qui che si nasconde la panacea a tutti i mali. Per salvarsi serve anche altro. A partire dalla consapevolezza che dagli attacchi nessuno è immune”.
Per Nicola Mugnato, founder e Cto di Gyala, è da questa vision che le aziende del Manufacturing devono partire per rendersi sempre più sicure e inviolabili. Nessuna pretesa di invincibilità, nessuna illusione di “non far parte del problema”: la sicurezza informatica è una questione che riguarda tutte le organizzazioni indistintamente. Ma contrastare gli attacchi si può, a patto di accettare l’unica condizione che renda questo possibile: un cambio di mindset capace di coinvolgere l’azienda nel suo complesso, senza escludere nessuno.
Dibattuto nel corso del recente Industry4.0 360 Summit, il tema del rapporto fra tecnologia e sicurezza ha messo al centro l’esperienza di Gyala come “fiore all’occhiello” tra i player che sviluppano soluzioni di cybersecurity: un innovatore che protegge le risorse strategiche IT delle aziende, pubbliche e private, attraverso soluzioni scalabili, modulari e personalizzabili e basate anche su algoritmi di AI di derivazione militare. Niente di più tecnologico, verrebbe da dire. Eppure, per riprendere le parole di Mugnato, “non è davvero tutto qui”.
“La tecnologia – spiega il Cto – è una delle componenti necessarie nel momento in cui si realizza un qualsiasi sistema di sicurezza: si parte da un’analisi del rischio e da una valutazione degli asset da difendere, e si arriva alla definizione delle best practice, dell’organizzazione, delle policy e delle procedure da adottare. Parallelamente, si identificano le tecnologie che supportano e che consentono di applicare tutto questo in maniera rigorosa”.
Indice degli argomenti
Serve resilienza, ma le aziende sono ancora impreparate
Eppure, guardare solo questo lato della medaglia è riduttivo. E potrebbe rivelarsi controproducente. In uno scenario in cui le minacce si fanno sempre più subdole e diffuse, sentirsi sicuri non basta: bisogna puntare a diventare “resilienti”. “Si tratta di un tema che abbiamo a cuore da anni – chiarisce Mugnato – e sul quale dapprima ci siamo confrontati con le Forze Armate, proprio in virtù della loro particolare attenzione alla difesa delle infrastrutture, dei mezzi e delle soluzioni tecnologiche che utilizzano, e che poi abbiamo trasferito al comparto delle infrastrutture critiche”.
E qui, una preoccupante consapevolezza ha svelato il livello di esposizione della realtà manifatturiera nazionale: “Non tutte le aziende – chiarisce il Cto – hanno capito qual è il livello di rischio che effettivamente stanno correndo”.
“Ormai – spiega Mugnato – sappiamo bene che l’isolato chiuso non esiste più, o quanto meno non esiste nel lungo ciclo di vita di questi sistemi. Una linea di produzione deve funzionare almeno dieci anni, nel cui arco verrà collegata a sistemi IMS diversi. Subirà manutenzioni costanti da parte di operatori che arriveranno col loro computer e collegheranno i sistemi critici a infrastrutture esterne, esponendole a rischi”.
La tecnologia, in questo quadro, potrebbe rivelarsi preziosa per evidenziare eventuali cyberattacchi, soprattutto nel caso dei famigerati Advanced Persistent Threat, che hanno l’obiettivo di rimanere nascosti e muoversi all’interno delle comunicazioni delle infrastrutture in maniera “low and slow”, in modo tale da non essere identificati. Ma qui risiede un altro problema del Manufacturing: l’impreparazione in termini di resilienza. “Purtroppo le aziende non hanno le tecnologie necessarie per identificare queste minacce – spiega il Cto -. Quindi, mentre magari si è fatto un grosso sforzo per proteggere le infrastrutture reti o la parte amministrativa e di gestione della produzione, dal punto di vista degli impianti, delle linee di produzione o delle macchine speciali è stato fatto, se non nulla”. “Insomma – aggiunge -: abbiamo la necessità di dotare le nostre aziende di capacità di Detection, per vedere se le infrastrutture sono state in qualche maniera compromesse, e poi chiaramente di Reaction, per poter reagire con opportune azioni di rimedio. Quindi c’è la possibilità di costruire sistemi che hanno come obiettivo non solo la l’integrità, la disponibilità e la riservatezza delle informazioni, ma anche il mantenimento in esercizio dei servizi che vengono erogatio dalle infrastrutture difese”.
Tecnologie, ma anche organizzazione, procedure e formazione
Fra bisogno di tecnologia e sogni di resilienza, qual è dunque la “formula magica” che può aiutare il Manufacturing a sentirsi davvero al sicuro? “Quello che serve è un vero e proprio processo – fa notare Mugnato -. Un cambio di approccio che va affrontato in termini non solo tecnologici, ma anche organizzativi e procedurali. Quindi va fatta sicuramente l’analisi del rischio, perché è inutile investire in maniera smodata solo in tecnologia o solo in policy e procedure, perché le due cose devono essere bilanciate: bisogna perciò analizzare quale sia il rischio e quali siano le possibili azioni di mitigazione tecniche, procedurali e organizzative”.
Importante è inoltre agire anche sulla formazione delle persone, “purtroppo uno dei punti critici della cyber security”, perché “le persone in qualche modo possono, con i loro comportamenti, introdurre malware o rischi non controllati nelle infrastrutture”, puntualizza il Cto.
“Nessuno è immune: farsi aiutare è fondamentale”
Pensare di non essere mai soggetti agli incidenti è un “grande errore”, conclude in definitiva Mugnato. “In realtà, se ci pensate bene, tutti pagano l’assicurazione dell’auto, perché sanno che prima o poi nella vita un incidente grande o piccolo lo faranno. Questo è lo stesso ragionamento che le aziende dovrebbero fare: il problema è che non hanno ancora valutato una probabilità di accadimento e ritengono di essere immuni per chissà quale salvaguardia superiore. E soprattutto, non valutano l’impatto sulla produzione e sugli aspetti dei rapporti, anche giuridici, con clienti e supply chain, piuttosto che sull’impatto in termini di immagine che l’azienda comunque subisce nel momento in cui è oggetto di un attacco”.
“Una battuta? – conclude il Cto di Gyala – Se ho una malattia cronica, pago una volta nella vita uno specialista e poi, imparando i giusti comportamenti, riuscirò a gestirmi anche in autonomia. Ma quando sto ancora affrontando le mie criticità, devo capire che è il caso di farmi aiutare. E per le aziende le cose non cambiano”.
