CSET 2021-“Cybersecurity for Energy and Transport Infrastructure”: summit internazionale di due giorni a Genova sulla sicurezza informatica delle infrastrutture critiche pubbliche e private, organizzato dal Competence Center Start 4.0. A raccolta i responsabili della cybersecurity delle più grandi aziende italiane, da Enel a Leonardo e i principali provider tecnologici.
I cambiamenti repentini degli ultimi 18 mesi hanno accelerato la digitalizzazione delle imprese e delle filiere produttive per garantire la continuità del business e dei servizi ma, allo stesso tempo, hanno moltiplicato i rischi prestando il fianco ad attacchi informatici sempre più organizzati.
L’area diventata più critica è la Supply Chain, ovvero la catena del valore che, nelle imprese più evolute, si è già digitalizzata e integrata da monte a valle per efficientare e ottimizzare tempi e risorse: dagli approvvigionamenti, passando per la produzione, alla logistica fino al cliente finale.
«Ogni volta che apri all’esterno i tuoi sistemi informatici ti esponi a dei rischi, per questo servono sistemi di sicurezza che andrebbero progettati e applicati di pari passo all’evoluzione dei servizi tecnologici», commenta Marco Di Costanzo, Security Researcher Ics Cert di Kaspersky. Serve un approccio olistico, che tenga conto di tutte le interrelazioni e le vulnerabilità che vengono a crearsi con la digitalizzazione dei sistemi aziendali, perché il problema è che tutta la catena, compresi i clienti finali, potrebbero venire infettati da un attacco a monte con conseguenze sull’operatività e il business di un’intera filiera.
Da “bad boys” a “bad organizations”: serve una risposta strategica
«Non solo aumenta l’intensità dei rischi con il moltiplicarsi di Ransomware che accedono ai punti deboli dei sistemi, ma sta cambiando la natura stessa delle fonti di rischio. Queste non sono più singoli hacker (“bad boys”), ma vere e proprie organizzazioni (“bad companies”), attrezzate con tool avanzati e intelligenza artificiale», avverte Mario Bocchiola, Head of Cybersecurity Engineering and Architecture di Enel Group.
Di conseguenza, la sicurezza va trattata strategicamente “by design” fin dall’inizio, studiata insieme ai nuovi progetti e non come intervento successivo. L’analisi deve comprendere IT, OT e IoT, produzione, distribuzione, approvvigionamenti: ogni area coinvolta va testata e messa in sicurezza.
«È un tema non solo tecnico, ma anche organizzativo. Bisogna conoscere bene il proprio sistema di Supply Chain e dotarsi di sistemi hardware e software certificati e autenticati, facendone capire il valore e l’urgenza agli utenti. All’inizio della pandemia, quando abbiamo remotizzato le nostre attività, abbiamo faticato a far comprendere la necessità di sottostare a più controlli di autenticazione rispetto a prima con i software in uso, perché oggi una password non basta più. Noi produciamo sistemi industriali regolati da norme internazionali sulla “safety”, ossia sulla sicurezza sul posto di lavoro e sul prodotto, ma meno sulla sicurezza informatica che è una esigenza più recente, ma che ormai va integrata ai propri processi», aggiunge Andrea Pepato, Telecom and Security Engineer di Hitachi Rail.
Voce concorde anche da Israele, con Yosi Shneck della Israel Electric Corporation: «Ormai è cambiato il paradigma distributivo dell’energia elettrica, è un approccio multidisciplinare che collega OT, IT, sensori, protocolli, standard diversi. Cambiando il modello aumenta anche la vulnerabilità, quindi i nuovi servizi tecnologici devono avanzare di pari passo con la sicurezza».
Cyberchallenge.it: diffondere fin dalla scuola la cultura della sicurezza
Start 4.0 è uno dei promotori di Cyberchallenge.it, programma intensivo di 12 settimane ideato dal CINI (Consorzio interuniversitario per la sicurezza informatica), che coinvolge oltre 30 sedi universitarie e aziendali, compreso l’Esercito e l’Aeronautica, quindi sia il settore civile sia la difesa.
«È il più esteso programma di formazione in Europa sulla sicurezza informatica, grazie a una collaborazione unica tra università e con il sostegno di primarie imprese che mettono a disposizione casi e know-how tecnico e tecnologico. Dopo una preparazione di tre mesi, viene lanciata una sfida nazionale con simulazioni e problemi da risolvere, sfida che coinvolge team misti di studenti delle scuole medie superiori e giovani universitari di ingegneria e informatica», racconta Paola Girdinio, Presidente di Start 4.0.
Il team dell’Università di Genova, l’unico a essere capitanato da una studentessa, Giulia Martino, iscritta a Computing Engineering, quest’anno è arrivato terzo, preceduto dal team del Politecnico di Torino che si è aggiudicato il secondo posto e, primo assoluto, il team dell’Università degli Studi di Cagliari. La squadra nazionale italiana è argento ai campionati europei universitari sulla cybersecurity.
L’Università di Genova organizza da 6 anni il Master di secondo livello in Cybersecurity and critical infrastructure protection, che forma una figura multidisciplinare che integra competenze sulle infrastrutture con competenze sul mondo dei dati, oltre a un dottorato di ricerca in Cybersecurity nei sistemi delle infrastrutture elettriche, integrando anche in questo caso a un livello più profondo competenze ingegneristiche con competenze informatiche applicate al mondo elettrico.
Un gioco per ridurre il rischio informativo
Al CSET 2021 è stato presentato il Cyber Range di Leonardo, piattaforma di simulazione che riproduce l’infrastruttura informatica di un’azienda a scopo di assessment e training, con diversi livelli di difficoltà da superare.
Iren, Enel, A2A e algoWatt hanno sperimentato il gioco durante la conferenza a Genova: la squadra di difensori di ciascuna impresa ha fronteggiato gli attacchi informatici simulati da Leonardo. «L’esercitazione ci dice se le capacità e l’infrastruttura dell’azienda sono adeguate. Ogni azienda dovrebbe farne 2-3 all’anno. La formazione sulla cybersecurity, soprattutto se fatta sul campo, è fondamentale per proteggere le imprese e garantirne la competitività», conclude Paola Girdinio.