B.Weisz industriaitaliana.it
La coesistenza di sistemi IT e OT ha cambiato il perimetro della sicurezza aziendale allargandola alle operation. La digitalizzazione degli impianti produttivi in chiave 4.0 comporta nuovi rischi di attacchi informatici, quindi richiede adeguate policy di cybersecurity. In Pirelli, per i progetti più rilevanti la funzione di cybersecurity è parte attiva del progetto in modo tale da definire i corretti presidi e verificarne l’attuazione. La strategia della multinazionale degli pneumatici prevede un approccio integrato delle funzioni aziendali di cybersucurity con le operation, in particolare a fronte di interventi di digitalizzazione e di gestione di impianti interconnessi. E’ un aspetto su cui insistono diversi report sul settore, come quelli redatti da Trend Micro e World Economic Forum: i reponsabili della sicurezza devono collaborare ai progetti di digitalizzazione aziendale. E la continua necessità di investimenti e competenze adeguate deve essere chiara al management.
La digitalizzazione degli impianti produttivi, sottolinea il Global Security Outlook 2023 del World Eonomic Forum, aumenta la complessità degli ambienti digitali delle organizzazioni e un’impresa che effettua un percorso di digitalizzazione deve contestualmente affrontare il tema dell’aumento del rischio informatico. L’utilizzo di tecnologie e policy adeguate, consente non solo di proteggere adeguatamente gli impianti, ma anzi di migliorarne le performance sotto questo aspetto. L‘instabilità geopolitica degli ultimi anni ha aumentato la consapevolezza anche del top management aziendale, il 91% dei rispondenti alll’indagine del Wef ritiene che un catastrofico cyber attacco sia un evento che tutto sommato potrebbe accadere nei prossimi due anni, e il 43% ritiene probabile che un cyberattacco colpisca effettivamente l’impresa nei prossimi due anni.
Analizziamo tutti questi elementi (strategie aziendali di cybersecurity, rapporto con l’IT e la Trasformazione 4.0, coinvolgimento del management, nuove competenze) attraverso i dati degli ultimi report e l’esempio di una storica azienda manifatturiera italiana, Pirelli. Intervistato da Industria Italiana, il Ciso, chief cybersecurity officer, Stefano Vercesi, descrive la strategia dell’azienda, il modo in cui si sviluppano il processo decisionale in relazione agli interventi di sicurezza, le scelte effettuate anche in materia di adesione ai centri di cybersicurezza nazionale. Pirelli, nell’ambito del programma di digitalization, nel 2022 ha completato la cloud strategy su tutti i sistemi IT centrali, operazione che ha comportato fra le altre cose la riduzione dei rischi di cyber security, (oltre che, ad esempio, minori costi di gestione e una riduzione delle emissioni CO2, -40% rispetto alla precedente).
Cybersecurity e rischi geopolitici. Fonte Wef
I trend globali della cybersecurity per il 2023
Partiamo dal contesto. Nel manifatturiero, i rischi informatici sono legati ai sistemi OT. Secondo le Security Predictions for 2023 di Trend Micro, sono in crescita i cyberattacchi che colpiscono i sistemi OT collegati alle reti IT. Quindi, i sistemi OT si rilevano un vettore di attacco, e le imprese devono dotarsi di opportune difese e di competenze nella sicurezza. Le industrie dovranno anche restare aggiornate a fronte di una crescita delle regolamentazioni, siano esse settoriali piuttosto che governative, destinate a rendere gli ambienti OT/ICS sempre più controllati. Fra i punti sottolineati dal report del World Economic Forum, la maggior consapevolezza dei leader aziendali dei rischi legati alla cybersicurezza, ma anche passi avanti dal punto di vista organizzativo. Il 56% dei security leader incontra almeno mensilmente il business leader. Il report mette fra i trend 2023 per le aziende l’introduzione di cambiamenti nella struttura organizzativa che incorporino le discussioni sul rischio informatico. Il punto in comune di tutte le analisi è rappresentato dal fatto che la protezione dei sistemi industriali è strategica (il 2022 in base ai dati Clusti ha visto il record di attacchi informatici. 2mila 489, con una media di 207 al mese), e richiede adeguate competenze che non sempre le aziende hanno o sono consapevoli di dover cercare. Secondo Trend Micro, «la vera sfida è reperire expertise in grado di tenere la tecnologia perfettamente al sicuro, e nel 2023 gli ambienti OT/Ics (Operational Technology/ Industrial Control Systems) saranno tra quelli maggiormente colpiti dalla carenza di competenze nella sicurezza». Senza personale qualificato per gestire le nuove tecnologie, le aziende «potrebbero trovarsi a dover affrontare interruzioni e problemi nell’ambito OT/Ics. Sulla base di una nostra ricerca, abbiamo calcolato che interruzioni del genere possono provocare mediamente perdite finanziarie fino a 2,8 milioni di dollari per incidente».
Come sarà l’approccio alla cybersecurity all’interno delle organizzazioni nei prossimi 12 mesi? Fonte Wef
Un altro motivo per investire nella cybersicurezza, sempre secondo Trend Micro, è il continuo aggiornamento di standard e normative. «I moderni impianti industriali sono noti per comportarsi proattivamente quando si tratta di proteggersi: le linee guida per la cybersicurezza possono essere definite dalle società capofila piuttosto che dallo stesso senior management, ma molte smart factory adottano misure di sicurezza soprattutto per essere conformi agli standard vigenti nei rispettivi settori». Si rileva insomma la necessità per l’industria di restare costantemente aggironata a fronte di una crescita delle regolamentazioni, settoriali o governative, destinate a rendere gli ambienti OT/Ics sempre più controllati. Le aziende da una parte si stanno adeguatamente attrezzando, dall’altra non sempre affrontano il passaggio in modo strutturato. Un altro degli obiettivi 2023, questa volta del report di Trend Micro, è l’esigenza di una piattaforma di cybersicurezza unificata per intervenire su asset sparsi tra ambienti, reti e sistemi operativi. Questo richiede anche la convinta adesione da parte del senior management. Insieme con i Ciso, nel 2023 anche i Cfo (Chief Finance Officer) avranno più voce in capitolo nell’orientare le priorità di acquisto nel campo della cybersicurezza. In Pirelli, l’approccio strutturato fra cybersecurity e operation è al centro delle strategie di digitalizzazione e di sicurezza industriale.
Le strategie di cybersecurity stanno riducendo i rischi di attacchi all’interno delle organizzazioni? Fonte Wef
La cybersecurity in Pirelli
D: Uno dei trend che mi sembra siano stati sottolineati per esempio dal report di Trend Micro riguarda l’importanza di un approccio strutturato alla cybersecutity, che vada di pari passo con la digitalizzazione degli impianti produttivi. Mi potrebbe descrivere come procedete in Pirelli? In altri termini, qual è la vostra strategia di cybesercurity?
Stefano Vercesi, ciso di Pirelli
R: «Il rischio di cybersecurity rappresenta, ad oggi, uno dei principali rischi operativi per un’azienda. I trend degli ultimi anni dimostrano, infatti, che gli attacchi cyber mirano a generare interruzioni delle operation o sottrazioni di informazioni privilegiate, con potenziali impatti anche a livello di conto economico. Tale situazione comporta la necessità, per un’azienda, di affrontare in modo integrato queste tematiche ricorrendo a un modello di governance che consenta una valutazione economico-quantitativa del rischio e un programma strutturato che sia condiviso con il top management in coerenza con gli obiettivi aziendali e con il livello di risk attitude.
D: La struttura di Pirelli dedicata alla Cybersecurity che lei dirige che risorse ha in termini di persone e di budget?
R: «Per assicurare una crescita sostenibile del sistema di gestione di information security e supportare il processo di trasformazione digitale di una multinazionale come Pirelli, le risorse economiche e di personale sono cresciute in base alle nuove esigenze derivanti dal business. E proprio le persone rappresentano un asset strategico per la nostra direzione, motivo per il quale abbiamo lavorato per creare una forte base di competenze riequilibrando i pesi fra personale esterno e interno.
D: Nel report relativo ai risultati preliminari 2022, Pirelli annuncia la copertura delle principali fabbriche con tecnologia IIoT: questo lavoro coinvolge anche l’area Cybersecurity? E in che modo?
Pirelli headquarter
R: «I processi aziendali in materia di cybersecurity prevedono che vi sia un approccio di security by design per i progetti aziendali con un impatto sul rischio di cybersecurity. Questo approccio è declinato in diverse modalità, in relazione alla dimensione del rischio e, per i progetti più rilevanti, prevede che la funzione di Cybersecurity sia parte attiva del progetto in moto tale da definire i corretti presidi e verificarne l’attuazione. Tale impostazione ha previsto delle verifiche tecniche sulle tecnologie IIoT e le interazioni con i restanti sistemi aziendali.
D: Quali sono i principali rischi a cui deve rispondere il sistema di sicurezza di una fabbrica digitalizzata?
R: «I rischi a cui deve far fronte una fabbrica digitalizzata sono principalmente gli stessi riscontrati sul sistema informativo nel suo complesso. Ciò che contraddistingue, in particolare, il perimetro digitale di una fabbrica è la coesistenza di sistemi IT e OT che, se da un lato richiedono un livello di sofisticazione maggiore degli attacchi, dall’altro comportano un cambiamento di approccio che comprenda competenze e capabilities tipiche di macchinari industriali».
D: Il sistema di cybersecurity è lo stesso in tutti i vostri stabilimenti, oppure viene disegnato specificamente per le diverse fabbriche?
Pirelli+Colorato+-+Ginevra
Gomme Pirelli
R: «Al netto di differenze costruttive ed esigenze locali, il nostro approccio prevede una distribuzione omogenea delle misure di sicurezza in tutti i nostri stabilimenti. Tale impostazione è richiesta dalla normale interconnessione che ogni stabilimento ha con i sistemi centrali e, di conseguenza, il rischio che a livello centrale e locale comporterebbe la compromissione di sistemi in una singola fabbrica».
D: Per quale motivo è importante la collaborazione con i centri di cybersicurezza nazionale? Vi è capitato che questa collaborazione vi aiutasse per esempio a fronteggiare un attacco?
R:«Nella cybersecurity gli interventi sistemici e la condivisione di conoscenze rappresentano una leva fondamentale per accrescere il livello di sicurezza nazionale. In tale ottica, i centri di cybersicurezza nazionali più evoluti, come quello italiano, svolgono un ruolo strategico a livello Paese in termini di governo e controllo delle iniziative a protezione delle infrastrutture critiche, oltre che un importante compito di raccolta e condivisione di segnalazioni di potenziali fonti di attacco, permettendo spesso di anticipare possibili rischi. La collaborazione pubblico-privato su questo piano è molto efficace.
D: Vi è capitato di subire attacchi particolarmente insidiosi?
R: «Tutti gli attacchi informatici sono insidiosi. Un rischio rilevante è rappresentato dai tentativi di inganno ai danni degli utenti. Le tecniche di social engineering e di phishing, in particolare, adottano leve psicologiche per sottrarre informazioni fra cui credenziali di accesso che – se messe a segno con successo – permettono all’hacker di avere un punto di ingresso alla rete aziendale da cui poi può partire il vero attacco