Cybersecurity: l’importanza della sicurezza informatica nel mondo OT

Il tema della cybersecurity è dunque sempre più attuale e nel tempo si è evoluto, evidenziando un grande gap di tipo non solo tecnologico, ma soprattutto culturale tra mondo IT e mondo OT (Operational Technology). Se nel mondo IT la sicurezza informatica è percepita come un dogma consolidato, nell’OT solo recentemente la percezione del rischio si sta concretizzando: i risultati del “SANS 2019 State of OT/ICS Cybersecurity Survey” hanno evidenziato che il 50% delle 338 aziende intervistate su scala globale valuta il rischio di attacchi informatici nell’OT come critico.

Abbiamo scelto di approfondire questi aspetti con Cesare Valenti, Co-Fondatore e Vice Presidente Esecutivo di Itway S.p.A. Il Gruppo Itway è quotato in borsa e offre ai propri clienti una gamma completa di soluzioni per l’Information Technology, con particolare focus  sui servizi in ambito cyber security, per aiutare le imprese ad essere più efficienti, competitive e sicure.

Abbiamo chiesto a Valenti quali fossero i motivi che hanno portato Itway ad adottare la norma IEC 62443, uno standard che garantisce la sicurezza dell’impianto industriale e l’integrità dei dati in esso trattati.

"L'IT e l’OT non possono più essere visti come due mondi separati: se uno è debole, tutto il sistema è debole"

Valenti: “La norma IEC 62443 è una delle prime direttive che ha lo scopo di dare un ordine ad un settore non molto regolato. Il concetto di cybersecurity si è esteso dal tradizionale mondo dell’IT, al mondo dell’OT. Questi non possono più essere visti come due mondi separati: se uno è debole, tutto il sistema è debole. Questo è il motivo per cui ci siamo interessati a questo percorso. Lo scopo è ottenere una competenza, immettere una nuova cultura nella nostra organizzazione. Ecco la premessa che ci ha portato ad affrontare un percorso in un settore, l’OT, che fino a poco tempo fa era considerato avulso dal tema della cybersecurity.”

Da un’indagine fatta da Bureau Veritas a livello europeo, tra i principali rischi che tolgono il sonno ai manager si trovano al primo posto la sicurezza delle informazioni, al secondo posto la continuità operativa, al terzo posto la protezione dei dati del cliente. Abbiamo quindi domandato a Valenti se questa fotografia fosse, secondo la sua esperienza, corretta e rispecchiasse i loro clienti.

Valenti: “Da un punto di vista della priorità delle preoccupazioni credo che questa classifica sia condivisibile. In quella che è la nostra esperienza con i clienti, purtroppo esiste un gap molto ampio tra le preoccupazioni da un lato e gli atteggiamenti messi in atto per superare queste preoccupazioni dall’altro. Le decisioni prese quotidianamente dalle imprese non corrispondono alla rilevanza di queste preoccupazioni.”

Si può dunque affermare che il tema c’è ed è scottante, ma è ancora avvolto da una sorta di inerzia. Abbiamo proseguito la nostra intervista chiedendo a Valenti di portarci un esempio emblematico di qualche cliente o settore merceologico che, rivolgendosi a Itway, sia riuscito a mitigare il rischio in ambito sicurezza OT.

Valenti: “Il concetto di mitigazione del rischio è la base del concetto di cybersecurity. Non esiste il rischio zero, per definizione e anche per motivi sistemici e di continua evoluzione delle tecniche hacker. Noi proponiamo al cliente delle attività: la prima è il risk assessment, ovvero andare a misurare quello che può essere il livello di rischio per le aree più esposte e/o mission critical per l’azienda. Altro aspetto fondamentale è la difesa proattiva. Di fronte ai rischi causati dal cybercrime ci si pone spesso in modo reattivo: aspettiamo che accada l’incidente e poi reagiamo, ciò comporta dei danni molto ingenti. L’approccio proattivo invece prevede il cercare di prevenire, cercare di intercettare le situazioni di pericolo al loro nascere. Sono concetti che interessano in particolare le aziende che operano nell’ambito dei servizi dove non si possono avere delle interruzioni. Ad esempio, noi offriamo ad un nostro cliente che opera nella pubblica amministrazione un monitoraggio 24/7, grazie al quale siamo in grado di intercettare i pericoli sul nascere: intervenire sui primi sintomi significa  evitare danni peggiori.”

Dalla nostra chiacchierata è emersa l’affascinante figura dell’hacker etico: una professionalità di fondamentale importanza nel mondo della sicurezza informatica.

"La Cybersecurity è una guerra condotta su tutte le dimensioni, che va combattuta ad armi pari."

Valenti: “Il Security Operating Center (SOC) è una centrale di controllo, dove lavorano gli hacker etici. Professionisti che usano la loro esperienza per contrastare le attività dei loro ‘colleghi’ non etici. Nel nostro team questi individui sono indispensabili. D’altronde siamo in una guerra condotta su tutte le dimensioni e occorre combatterla ad armi pari. Le tecnologie ad oggi sono molto sofisticate e sono in grado di fare elaborazioni e ragionamenti molto simili alla mente umana, ma la componente umana resta necessaria per difendersi da attacchi che sono fatti da altri umani.”

Ma qual è il tipico CV richiesto per lavorare in una realtà come Itway?

Valenti: “Non c’è un CV tipico, quello che conta è la capacità di approfondire certe tematiche,  avere passione e una tenuta allo stress non banale, viste le pressioni che devono sostenere queste persone. Certamente una scuola di orientamento tecnico e matematico aiuta. Ma la competenza principale è la passione, il voler approfondire, unita alla curiosità. Le nostre persone sono in mezzo ad una guerra costante, bisogna prendere decisioni su chi/cosa sacrificare. Certo, non ci sono di mezzo vite umane, ma asset importanti di un’azienda ed è chiaro che le conseguenze sono comunque importanti da tanti punti di vista. Le nostre risorse devono essere in grado di congiungere i puntini, saper vedere i ‘disegni’ che altri non vedono.”

In che modo queste risorse vengono preparate alle sfide del proprio mestiere?

Valenti: “Vista anche la crescita del mercato stanno nascendo percorsi formativi specializzati, che già portano ad un punto di competenza significativo. Ma chiaramente conta moltissimo passare giorni e notti a fianco a chi fa questo mestiere, per imparare trucchi e malizie. È un mondo complicato e di persone competenti ce ne sono poche.”

L’ultima domanda per Cesare Valenti si riallaccia alla prima: gli abbiamo chiesto cosa ha portato di nuovo alla sua azienda la certificazione IEC 62443.

Valenti: “Per noi è il tassello che mancava. Mentre la parte IT era già coperta da normative e procedure, la parte OT meno. Quando si è sul mercato bisogna portare valore al cliente e differenziarsi, portare metodologie, processi definiti, standard mondiali che danno al cliente un valore riconosciuto misurabile e certificato. Ci siamo posti di fronte al problema in maniera proattiva, abbiamo cercato che tipo di percorsi esistessero in questo senso e abbiamo deciso di essere tra i primi ad adottare queste metodologie.”

In relazione alla IEC 62443 abbiamo scelto di raccogliere un punto di vista di forte rilevanza, quello di Micaela Caserza Magro, Industrial Cybersecurity expert e auditor di Bureau Veritas, a cui abbiamo domandato come si articola l’assessment Bureau Veritas in riferimento a questo standard.

"Il controllo a fronte della norma IEC 62443 risponde a 3 caratteristiche peculiari: garanzie di prestazioni di rete di comunicazione, business continuity e infine sicurezza funzionale."

Caserza Magro: “Le norme spesso sono criptiche, in particolare la IEC 62443 può far paura, perchè sono 14 standard, ma c’è un senso di razionalità. È strutturata decisamente bene, ha 4 livelli fondamentali: uno generale per inquadrare la problematica; uno legato al risk assessment e a chi fornisce i servizi: infatti con questa certificazione gli attori in gioco passano da 2 a 3, il terzo elemento è il service provider; il terzo livello è l’approccio riferito al sistema e infine quello riferito al device.
Ci sono 3 caratteristiche peculiari: garanzie di prestazioni di rete di comunicazione, business continuity e infine un concetto legato alla sicurezza funzionale.
Date queste caratteristiche, gli approcci in atto nel mondo ICT non sempre vanno bene per l’industria. Il nostro approccio come auditor si struttura in 2 fasi. Nella prima fase si verificano i concetti legati alla metodologia, quindi come la sicurezza viene vissuta in azienda, che tipo di dispositivi abbiamo, come è progettata la rete. La seconda fase è operativa e riguarda come sono organizzate e progettate le reti e il loro monitoraggio continuo. Sono aspetti alla base di qualsiasi livello di sicurezza da raggiungere.”

Quali aspetti dunque contraddistiguono il metodo Bureau Veritas?

Caserza Magro: “Il nostro approccio all’auditing è una nostra peculiarità, le competenze in questo settore ci vogliono anni per crearle e noi abbiamo un bagaglio di qualche decina d’anni. 
Il livello 1, il minimo politico di security level, è riferito a guasti casuali e in quest’ottica sfruttiamo le competenze per fare un servizio di trouble shooting, ovvero: si verificano quali criticità potrebbe avere quell’impianto e si propongono soluzioni ai problemi individuati. Il trouble shooting è preliminare all’assessment. È un servizio opzionale, a corollario della certificazione.”

In chiusura, appare necessario sollevare la questione del conflitto di interessi, che troppo spesso si verifica in quei casi dove le valutazioni vengono condotte da coloro che rivendono le parti di autonomazione. È evidente dunque il valore aggiunto che porta ad un’azienda l’esecuzione di questo tipo di valutazioni a carico di un ente di terza parte, come Bureau Veritas, che non ha alcun interesse a rivendere parti dell’automazione e che si qualifica come imparziale.