Garantire la sicurezza e la protezione degli asset industriali è un obiettivo che rientra, ormai, nelle strategie di ogni tipologia di impresa. Ciò vale, in particolare, per il mondo industriale nel quale, oggi, le linee di produzione, le macchine e tutti i grandi sistemi sono sempre più connessi tra loro e verso internet e, quindi, esposti in maniera crescente a rischi e minacce informatiche.
In questo contesto, servono tecnologie evolute in grado di arginare gli attacchi abbinate a tecniche di monitoraggio costante, come spiegano in questa intervista Cesare Radaelli – Senior Director Channel account di Fortinet – e Fabio Tolomelli – Direttore Marketing di Mead – offrendo una doppia vista sul tema della cybersecurity nel mondo dell’industria: da un lato quella del vendor che produce tecnologia e, dall’altro, quella del system integrator che implementa le policy di sicurezza.
Le sfide che gli ambienti industriali si trovano ad affrontare nella messa in sicurezza dei dispositivi OT e IoT. “Oggi le imprese operative in ambito industriale affrontano numerose sfide e mostrano diverse carenze sul piano della sicurezza –esordisce Tolomelli -. Osserviamo, in primo luogo, la poca consapevolezza sul tema e, anche laddove ci sia sensibilità verso queste problematiche, scarseggiano le figure di riferimento all’interno delle imprese. In molti casi, ad esempio, manca un Ciso: la persona più adatta a gestire la sicurezza ma che solo le realtà più strutturate possono permettersi. Rileviamo, inoltre che, spesso, non vengono messe a budget risorse finanziarie adeguate alla sicurezza degli ambienti industriali per gli anni futuri ma che solo quando viene riscontrata una problematica o solo quando viene subito un attacco le aziende corrono ai ripari cominciando a pianificare gli investimenti nel lungo periodo”.
Eppure il quadro è preoccupante, interviene Radaelli: “I settori critici che fanno affidamento su un mix di IT e tecnologia operativa sono spesso i principali obiettivi degli attaccanti”. Come conferma il report Fortinet “2023 State of Operational Technology and Security”, secondo cui il 75% delle organizzazioni OT ha subito almeno un’intrusione nel 2023.
La sicurezza industriale e la sicurezza IT sono gestite in modo separato e questo genera un problema di governance, rimarca Radaelli: “Fino a qualche anno fa c’era ancora poca percezione del rischio nel mondo OT perché le reti erano separate dall’IT e quindi considerate sicure dagli operatori del settore. I rischi nel corso del tempo sono però cresciuti e oggi sono all’ordine del giorno in un’evoluzione tecnologica che ha spinto in modo inarrestabile la convergenza tra IT e OT“. I due mondi non sono più isole separate, spiega Radaelli e va da sé che questa inerzia nella gestione del cambiamento porti ad avere una superficie estremamente insicura ed esposta. “E’ pertanto fondamentale aiutare i responsabili del mondo OT a comprendere che non esiste soltanto la minaccia di un guasto meccanico o di un fermo macchina che crea il disservizio sulla linea di produzione e che avere una rete connessa ad un mondo più aperto e per sua accezione quasi infinito richiede una nuova valutazione del rischio”.
Prosegue Tolomelli: “L’impatto cyber del mondo OT è molto orizzontale e può toccare diversi livelli a seconda che si tratti, ad esempio, di furto di brevetti, di proprietà intellettuale oppure di dati sensibili di un utente o di un paziente. A questo proposito, si impone un tema di governance – ribadisce – che andrebbe visto soprattutto dall’alto in quanto, quando mancano figure dedicate all’interno delle aziende, perché queste non sono strutturate o perché non trovano le competenze, tutto è più difficile”.
Come risolvere le criticità sul tema della sicurezza nel mondo industriale. “In questo scenario – dichiara Radaelli -, il nostro ruolo è far percepire alle imprese che per investire sulle nuove filiere produttive è fondamentale affrontare il tema della sicurezza in modo strutturale e non come emergenza occasionale o come rimedio”.
“Per superare i gap sulla sicurezza bisogna mettere in campo attività di awareness, evangelizzazione e formazione, trasferendo le competenze – interviene Tolomelli -. Se si considera, per esempio, che molte facoltà di ingegneria informatica si stanno organizzando solo in questi anni per formare gli studenti e specializzarli in ambito cybersecurity, si comprende come questa distanza da colmare richieda iniziative concrete. Mead ha messo in campo, in collaborazione con la Fondazione Ordine Ingegneri di Padova, dei corsi a più step dedicati al settore OT; l’obiettivo è di trasferire ed elevare le competenze degli Ingegneri associati all’Ordine. Abbiamo inoltre in programma un evento con Fortinet rivolto ai responsabili aziendali della parte OT che stanno affrontando queste situazioni”.
“Oggi con gli attacchi informatici sempre più frequenti e la diffusione dei ransomware, nel mondo IT la consapevolezza degli utenti sui rischi cyber è aumentata – prosegue Radaelli -; e questo ci aiuta ad avere una maggiore attenzione nell’utilizzo degli strumenti informatici e dei dispositivi, con un trend che si riverbera oggi anche sul mondo OT. Il travaso informativo dunque c’è, dobbiamo ora contestualizzarlo, con maggiore consapevolezza, maggiore formazione e maggiore divulgazione informativa, puntando sulla massima chiarezza delle informazioni, definendo i rischi e gli impatti che un attacco cyber può avere anche su un impianto produttivo”.
Il ruolo delle normative di regolamentazione comune nel mitigare i rischi cyber nel settore.ttr A fronte di un panorama di minacce in evoluzione, stabilire standard di sicurezza comuni a livello europeo serve a migliorare la resilienza delle organizzazioni.
Lo sottolinea Tolomelli soffermandosi in particolare sulle disposizioni NIS2 che gli Stati membri dell’Unione europea dovranno recepire nelle leggi nazionali entro il 17 ottobre 2024. “Le normative come NIS2 ci aiutano nell’attività di evangelizzazione perché impongono tempi e linee guida accelerando il processo di sensibilizzazione e di formazione nelle aziende; le persone devono ascoltare, informarsi e istruirsi per adeguarsi, e per noi è un’occasione in più per andare a raccontare le tematiche di sicurezza”.
“NIS2 rappresenta uno step fondamentale nel cammino della cybersecurity – concorda Radaelli – un’occasione per adeguarsi al più presto, perché con i vincoli che andranno in vigore a ottobre non c’è più tempo. Un fenomeno che osserviamo è la forte crescita degli attacchi propagati attraverso la filiera; se infatti un’azienda è virtuosa ma nella sua catena del valore ha un fornitore non virtuoso è suscettibile di attacchi. NIS2 serve e servirà anche nel mondo delle OT a superare queste criticità. Nel cammino della governance che già oggi è applicata al mondo dell’IT si dovranno tenere ben presenti i rischi all’interno delle fabbriche di produzione e in tutti quegli elementi che fanno capo al mondo OT per i quali bisogna garantire gli stessi livelli in termini di risposta, assicurazione e garanzia”.
L’approccio IndustrialSOC e i vantaggi che offre al mondo industriale. “IndustrialSOC è il nostro approccio al tema complesso e delicato della sicurezza industriale. I vantaggi sono molteplici e puntano a risolvere tutte le difficoltà evidenziate”, afferma Tolomelli. Si tratta, di fatto, di un servizio innovativo di cybersecurity a 360° in grado di monitorare in tempo reale il livello di rischio degli impianti industriali produttivi proteggendoli in maniera proattiva dai cyber-attacchi. “Una fabbrica della security dove analisti monitorano in tempo reale H24 ciò che succede lungo la linea produttiva, generando un inventario aggiornato di tutti i dispositivi e pianificando le manutenzioni e gli interventi in modo da mitigare i rischi ed i fermo macchina – spiega il manager -. Attraverso un team dedicato, interveniamo nella gestione degli incidenti informatici del mondo industriale supportando le aziende del comparto nell’aumento della resilienza del reparto produttivo andando a mitigare le minacce in un virtuoso processo continuo. Non solo aiutiamo alla compliance con le varie direttive ma colmiamo anche la mancanza di competenze (oggi difficili da reperire) mettendo al servizio dei nostri clienti il know-how che Mead ha costruito negli anni. Abbiamo fatto nostro l’approccio metodologico del cybersecurity framework NIST sul quale abbiamo costruito il servizio di IndustrialSOC. Fortinet interviene con la parte tecnologica anche attraverso il supporto di componenti di intelligenza artificiale che aiutano i nostri analisti ad esaminare gli eventi in maniera proattiva. Perché: più la tecnologia installata è virtuosa e più è semplice avere delle viste corrette”, spiega.
In definitiva, sintetizza Tolomelli: “Tutto ciò ci permette di verificare la postura di sicurezza delle imprese e di progettare le correzioni da apportare per ridurre il rischio di tutta l’area industriale in modo da proteggerla e manutenerla, prevenendo in maniera proattiva i fermi macchina, i possibili problemi ed il gap normativo”.
La partnership tra Mead e Fortinet, come si concretizza all’interno dell’IndustrialSOC. “Il rapporto di collaborazione con Mead prosegue da 15 anni con estrema soddisfazione – afferma Radaelli –; una relazione che evolve nel tempo con l’evolvere delle minacce e delle sfide che abbiamo davanti. Apprezziamo la politica del fare di Mead; noi abbiamo la tecnologia e le soluzioni e indirizziamo il mercato in qualità di vendor ma abbiamo poi bisogno di aziende come Mead che traducano i rischi e le esigenze in realtà di fatto, come nel caso dell’IndustrialSOC. E sulle strategie future: “Con Mead vogliamo continuare ad investire in questa direzione e ci attendiamo grandi soddisfazioni per il prossimo futuro. E non solo in termini di fatturato, ma anche di guidabilità del mercato e di sostegno a un modello che sia sempre più competitivo, non solo sul nostro mercato, ma anche a livello internazionale”. Dichiara Tolomelli: “Lavoriamo congiuntamente a 360 gradi in attività di marketing, lead generation ed eventi mirati sui clienti in ambito OT sia per spingere le nostre soluzioni ma, anche, per dare degli input rispetto alle esigenze del mercato, soprattutto in questo settore. Stiamo facendo tantissime azioni per parlare con i clienti e spiegare i requisiti che un’azienda deve avere oggi per essere conforme alle nuove normative. Tutte attività di indirizzamento per conquistare una nuova parte del mercato che riflettono gli sforzi congiunti che stiamo facendo”, conclude Radaelli.
© RIPRODUZIONE RISERVATA