di Antonio Giustino, IS Industrial Risk Manager di Solvay e membro dello steering committee di ICS Forum
Se c’è una categoria di persone che oggi è tutt’altro che preoccupata è sicuramente quella degli hacker: per loro non ci sono mai state prospettive cosi floride come in questi anni. Ne è testimonianza la crescente frequenza con cui conducono attacchi a tutti i livelli del settore pubblico, di quello privato ma anche quello della nostra vita personale, cercando di compromettere seriamente gli aspetti di Security e/o di trarne facili guadagni con l’estorsione.
Fortunatamente, per il momento, sembra non ci siano ancora sufficienti competenze nel mondo della criminalità cyber per sviluppare soluzioni di intelligenza artificiale di programmi capaci di riprogrammarsi in autonomia. Il giorno in cui questo sarà possibile, dovremo affrontare nuovi scenari da incubo. Basti pensare al possibile sabotaggio di veicoli a guida autonoma, dotati di innumerevoli sensori IoT, il cui livello di sicurezza sarà tutto da dimostrare, che potranno, ad esempio, avviarsi da soli e circolare nella notte a nostra insaputa…
Indice degli argomenti
Come cambia l’industria del cyber crime
Illustri analisti convengono sul fatto che la cifra d’affari del mercato del crimine Cyber ha ormai superato l’ordine di grandezza di quello del narco-traffico mondiale. D’altro canto, si osserva dai report ufficiali di varie fonti che gli attacchi Cyber si stanno facendo sempre più organizzati, più sofisticati e più mirati. Ma quello che più spaventa è che il crimine informatico è diventato una vera e propria industria organizzata, ben strutturata, con una sua gerarchia e un suo modello di business che opera prevalentemente nel darkweb. Qui ci sono dei veri e propri marketplace dotati di un vero e proprio listino a disposizione di chi, non necessariamente esperto, voglia comprare dei vettori di attacco che sfruttano le vulnerabilità identificate da veri e propri specialisti o addirittura dei toolkit per creare nuovo malware.
L’importanza della Governance
Se i cyber criminali sanno cosa vogliono fare, noi dobbiamo intuirlo e prevenire le conseguenze cercando di ridurre il tempo che loro hanno a disposizione per portare a termine gli attacchi e per poi cercare individuarli.
La logica conseguenza di tutto ciò è che abbiamo la progressiva necessità di nuove tecnologie, competenze, processi, organizzazione, approcci per minimizzare i rischi. Ma soprattutto di una governance che deve evidentemente partire dal vertice aziendale in quanto deve poter orientare la cultura aziendale ed assicurarsi l’esistenza delle necessarie competenze a tutti i livelli , che non si limitano a quelle tradizionali dell’IT e dell’OT.
Tra vecchie e nuove cyber minacce
Tutto ciò è diventato evidentemente una condizione sine-qua-non per un adeguato sviluppo della trasformazione digitale ed in particolare dell’Industry 4.0, che ha di fatto esteso la superficie di attacco agli hacker introducendo tre nuove tipologie di cyber minacce, che si aggiungono a quelle tipiche del mondo IT, e che impattano le infrastrutture critiche e gli impianti industriali per gli aspetti seguenti:
- Danni alle apparecchiature che vengono messe sotto stress oppure forzando i limiti di sicurezza di alcuni parametri di processo
- Danni alla produzione compromettendo il livello qualitativo e aumentandone i costi operativi
- Violazione delle normative di sicurezza e nei confronti dell’ambiente con conseguente fermata degli impianti con danni amministrativi, commerciali e di immagine.
Assicurarsi? Sì ma non basta
Leggiamo che in Europa c’è un progressivo interesse alla stipula di polizze assicurative contro gli esiti degli attacchi cyber, sia pur in presenza di un mercato non sufficientemente maturo, soprattutto in Italia. A mio parere, tale opportunità non può e non deve creare l’illusione di trovare una semplice risposta risolutiva alle conseguenze di attacchi cyber in quanto espone al rischio di contenziosi di difficile gestione per le oggettive difficoltà insite nel trovare il giusto approccio e la necessaria inconfutabile chiarezza per stabilire se un futuro attacco possa essere risarcibile ed in quale misura.
Che fare allora?
Oggi più che mai la Cyber Security è un investimento indispensabile per poter continuare a fare business e che va quantificato e veicolato solo dopo che ogni realtà aziendale ha saputo rispondere alle seguenti domande:
- Da chi voglio difendermi ? Semplicemente da un errore operativo da parte di un collaboratore distratto o da una minaccia intenzionale da parte di una organizzazione criminale?
- Che cosa voglio difendere? È necessario identificare gli asset critici e il rischio cyber con impatto economico.
- Qual è il rischio target che la mia azienda ritiene di poter accettare e qual è l’eventuale conseguente gap da colmare attraverso l’attuazione di appropriati standard e consolidate best practices di mercato?
Questo potrebbe essere un utile punto di partenza per avviare un processo di analisi in ambito Cyber Security, che porti poi a fare periodicamente un doveroso benchmark che ci dirà se siamo più o meno appetibili di altri agli attacchi cyber.