“Un cambio di mentalità, che consideri finalmente la cybersecurity un asset strategico e imprescindibile per le aziende. E una governance integrata, perché la cyber-sicurezza è un aspetto che riguarda e comprende tutte le aree e le attività di un’impresa”.
Ecco cosa serve alle aziende e alla Manifattura per combattere e vincere negli scenari della sicurezza informatica, secondo Daniele Riccardo Incerti, consulente per la Cybersecurity in Sistemi Formativi Confindustria.
Sono molti i fenomeni cyber cui sono soggette le imprese e, spesso, anche i loro clienti, come frodi informatiche, furto di dati, blocco dei dispositivi, errori umani legati alla mancanza di consapevolezza dell’uso sicuro di dispositivi elettronici, internet, e-mail, social network.
Minacce, contromisure e prospettive sono emersi nella tappa milanese del ‘Roadshow Cyber 4.0’ che Cyber 4.0, il Centro di Competenza Nazionale ad alta specializzazione sulla cybersecurity con sede a Roma, da ottobre porta in tour in tutta Italia.
L’appuntamento milanese è stato organizzato insieme a Sistemi Formativi Confindustria, con la partecipazione del Digital Innovation Hub della Lombardia, del MADE Competence Center di Milano, che ha ospitato l’incontro, e con il contributo scientifico dell’Osservatorio Innovazione Digitale nelle PMI del Politecnico di Milano.
Un focus particolare è stato dedicato agli aspetti di sicurezza OT (Operation Technology), dal punto di vista tecnico e organizzativo. Inoltre, “attraverso la dimostrazione di un cyber attacco simulato, sono state presentate potenziali vulnerabilità e vettori di attacco, e il dispiegamento delle attività di rimedio”, sottolinea Leonardo Querzoni, presidente di Cyber 4.0.
E Querzoni rimarca: “la messa in sicurezza della digitalizzazione dei processi produttivi non è più una variabile, un’eventualità, ma va considerata come un asset strategico per ogni impresa, dalle più grandi alle PMI, sullo stesso livello di importanza dei vari asset produttivi e commerciali, perché se non c’è sicurezza informatica è a forte rischio ogni altra attività”.
Indice degli argomenti
L’Italia nell’occhio del ciclone di hacker e cracker
Un attacco informatico su quattro, il 25% del totale, in Italia è diretto contro le aziende e il mondo manifatturiero. È il settore in assoluto più colpito nel nostro Paese, insieme a istituzioni e Difesa, e precede quello finanziario e assicurativo (colpito nel 19% degli attacchi), quello dei servizi professionali (15%) e dell’Energia (11%), secondo le evidenze di una ricerca di IBM.
Non solo. L’Italia risulta particolarmente nell’occhio del ciclone: nel corso dell’ultimo anno, come denuncia il Clusit, nel Bel Paese i cyber-attacchi sono aumentati del 169%, a fronte di una crescita media mondiale pari al 21%. Questi i principali obiettivi e conseguenze: estorsione (nel 19% dei casi), furto di dati (con la stessa percentuale di frequenza), furto di credenziali riservate e critiche (11%), Data leaks (con un analogo 11%).
“Occorre sempre più promuovere la conoscenza delle minacce informatiche, la consapevolezza del rischio e l’adozione di buone pratiche per limitare i pericoli di cybersecurity, all’interno di tutte le aziende e in particolare tra le piccole e medie imprese, che spesso risultano meno protette e più vulnerabili rispetto a realtà più grandi e strutturate”, sottolinea Gianluigi Viscardi, coordinatore della rete nazionale DIH (Digital innovation hub) di Confindustria.
Le PMI come ‘porte di accesso’ a obiettivi più grandi
Spesso, fanno notare gli addetti ai lavori, le PMI rappresentano le ‘porte di accesso’ per entrare nelle reti informatiche e colpire anche le grandi aziende. In molti casi, infatti, hacker e cracker cercano e trovano il punto debole di un sistema per profanarlo e colpirlo, e questo punto debole “molte volte è rappresentato proprio dalle piccole e medie imprese, quando si fanno trovare deboli e impreparate di fronte alle minacce cyber”, fa notare Pierluigi Petrali, direttore DIH Lombardia.
Per questo, nessuno e nessuna azienda può chiamarsi fuori: “i pirati informatici non colpiscono solo direttamente i loro obiettivi principali e finali, ma si servono di altri anelli della stessa catena per raggiungere i loro scopi”, sottolinea ancora Incerti. In questo senso, le catene di fornitura rappresentano altrettante catene di sistemi informatici che possono essere presi di mira e colpiti.
“La vergogna è nascondere le vulnerabilità sotto il tappeto”
“Bisogna evitare l’obsolescenza di prodotti e sistemi, anche in ambito cybersecurity”, fa notare Stefano Macario, esperto in sicurezza informatica di Siemens, “ed è meglio rivolgersi a fornitori che nel caso ci informino di eventuali e nuove vulnerabilità di prodotto o di sistema, perché la vulnerabilità non è una vergogna, ma è una vergogna nascondere le vulnerabilità sotto il tappeto”.
Sempre secondo le analisi della situazione, il 26% delle PMI italiane, in media una su quattro, ha subito cyber-attacchi nel corso del 2022. La consapevolezza delle minacce e del problema sta crescendo, come anche e di conseguenza le risorse e gli investimenti dedicati. Nell’ultimo anno strumenti e difese di cybersecurity sono diventati la priorità di investimento per le piccole e medie imprese del Paese, secondo i rilevamenti degli Osservatori Digital Innovation del Politecnico di Milano. Per il 2023, il 52% delle PMI ha destinato budget per interventi di cybersecurity: in media vengono spesi 4.800 euro per ogni impresa, per un totale di 470 milioni di euro. E “una media di 4.800 euro per ogni PMI è senza dubbio una cifra e un investimento migliorabili”, fa notare Petrali.
Ciò significa anche che il 48% delle PMI per l’anno in corso non ha destinato risorse per proteggere e rendere più impermeabili le proprie reti informatiche. E il livello di protezione di un’azienda sta sempre più diventando un fattore che la qualifica anche di fronte a potenziali clienti e partner: il nuovo Codice degli appalti, all’articolo 108 comma 4, per i fornitori di un progetto d’appalto prevede che debbano essere tenute in considerazione le misure di cybersecurity messe in campo, che devono essere certificate, documentate e dimostrate.
Il ‘Roadshow Cyber 4.0’ nelle regioni italiane
Il ‘Roadshow Cyber 4.0’, attraverso “interventi informativi e formativi, condivisioni di dati reali ed esperienze vissute, permette di rappresentare il contesto strategico e presentare le opportunità di sviluppo in ambito cybersecurity per le PMI e le imprese di ogni settore”, rileva Matteo Lucchetti, direttore operativo di Cyber 4.0.
Da qui a dicembre le prossime tappe di questo tour nazionale, per incontrare imprese e protagonisti dei territori, sono in programma a: Pesaro, Firenze, Torino, Parma, Udine, Bari, Cagliari, Trento e Venezia.
“Le diverse sessioni di ogni evento, strutturate in maniera interattiva e multidisciplinare”, spiega Lucchetti, “permettono ai partecipanti di conoscere i rischi informatici applicabili ai diversi contesti tecnologici, comprendere come individuare le priorità di azione, conoscere gli strumenti operativi per difendersi e reagire alle minacce informatiche, approfondire e condividere diversi punti di vista in materia”.
Il Social engineering, ovvero l’arte di manipolare le persone
L’awareness, e quindi la consapevolezza dei rischi e dei comportamenti corretti da adottare, “rivestono un ruolo fondamentale nel garantire la sicurezza del patrimonio informativo aziendale così come la vita di tutti i giorni”, si rimarca nel libro ‘Il fattore umano nella cyber security’, a cura di Nicola Sotira e pubblicato da FrancoAngeli.
E si mette in evidenza: “le priorità di cyber security non sono le stesse per ogni impresa, perché dipendono dalle caratteristiche dell’impresa stessa. È a questo punto che gli obiettivi e i contenuti del programma di awareness diventano unici per l’azienda”. Il Social engineering, ad esempio, è l’arte di manipolare le persone al fine di ingannarle e convincercele a fornire informazioni riservate, come dati finanziari o codici di accesso, fingendosi un soggetto affidabile. Come? Facendo leva sulle emozioni, via e-mail, via Sms, su chat o durante telefonate, cercando di conquistare la fiducia dell’utente, di creare empatia o al contrario di incutere timore e senso di emergenza, per indurre la vittima ad agire in maniera impulsiva.
La comunicazione ‘artificiale’ deve essere protetta e sicura
In un altro volume sulle nuove tecnologie, intitolato ‘Comunicazione Artificiale’ e pubblicato da Egea, la casa editrice dell’Università Bocconi, Elena Esposito rimarca: “se le macchine contribuiranno all’intelligenza sociale, non sarà perché hanno imparato a pensare come noi, ma perché noi abbiamo imparato a comunicare con loro”. Da qui dunque la proposta di pensare alle tecnologie digitali e alle macchine ‘intelligenti’ “non in termini di intelligenza artificiale ma di comunicazione artificiale”.
L’analisi dei problemi più urgenti legati all’uso degli algoritmi nella nostra società e nelle aziende “non è solo una questione tecnica, ma è innanzitutto una questione comunicativa, una questione di comunicazione artificiale”, fa notare Esposito, in cui il ruolo della cyber-sicurezza è centrale per garantire il buon funzionamento di ogni dispositivo e macchinario. E di tutto ciò che vi è collegato.
