Sul mio blog pubblicato sul portale Automazione Plus ho intervistato Enzo Maria Tieghi, imprenditore, divulgatore, informatico, AD di ServiTecno, uno dei massimi esperti italiani di security industriale, che offre una visione in chiaroscuro della sicurezza in campo industriale, dove prevalgono però i segnali di fiducia.
Ne pubblico qui un estratto, invitandovi a leggere la versione integrale dell’intervista su Automazione Plus.
Cyber security: quali sfide, investimenti e scenari si prospettano nei prossimi anni?
Se parliamo di ICS/OT Cyber security (Industrial Control System/Operational Technology), la prima sfida è quella di far capire a tutti quelli che usano sistemi di controllo e telecontrollo che la protezione di reti e sistemi OT è ormai indispensabile, per garantire alta disponibilità all’impianto stesso. Il passo successivo è quello di mettere la security tra i requisiti di sistema per chi progetta, sviluppa, usa e mantiene tali sistemi: quello che io definisco ‘security by design’, affinché sia presente in ogni fase del ciclo di vita del sistema, fino alla sua dismissione per obsolescenza. Assodato questo, alcune nuove architetture e tecnologie hanno ed avranno impatti anche su criteri, metodi e strumenti per la protezione di reti e sistemi di controllo e telecontrollo: pensiamo per esempio a Industrial Internet, IIoT, sistemi cloud (privati, ibridi, pubblici), Fog-computing, SDN (Software Defined Network) ecc. Perimetro e valutazione dei rischi (anche quelli cyber, ma non solo quelli) devono guidare nella scelta delle contromisure da adottare.
In campo industriale, in quali settori e da quali soggetti arrivano i nuovi rischi e quali dispositivi di automazione e controllo si presentano più vulnerabili?
Ormai componenti e tecnologie utilizzati sugli impianti sono sempre le medesime, in qualunque settore industriale: una vulnerabilità scoperta in un PLC (e ne affiorano ogni mese, indipendentemente da marche e modelli) possono fare danni nell’industria alimentare, come in quella del vetro, dei metalli, in un depuratore o in qualsiasi altro impianto. Dalla nostra esperienza possiamo affermare che i rischi maggiori vengono dalle connessioni remote, quelle utilizzate per fare manutenzione a distanza, che vedono collegamenti a volte non censiti e non controllati. Spesso si aggiungono dispositivi per la connessione da remoto senza criteri di security, solo per comodità, senza un’attenta valutazione di eventuali impatti sulla rete di stabilimento. Ma anche qui vorrei non generalizzare: se l’architettura della rete di fabbrica è ben studiata (ricordate cosa dicevamo poco fa sul ‘security-by-design’?), monitorata e protetta e la connessione è gestita in modo ‘oculato’, i rischi si possono abbassare e gestire.
Alcuni osservatori, per esempio Alec Ross, consigliere tecnologico del governo americano, considerano la cyber security una delle tecnologie ‘disruptive’ dei prossimi decenni (al pari di robotica, intelligenza artificiale, genomica, big data e finanza elettronica), in grado di mettere a rischio i rapporti politici tra Stati e al tempo stesso di generare nuove professionalità e occasioni di business. È d’accordo?
Concordo totalmente sull’aspetto ‘disruptive’ riferito alla cyber security, anche se più che una tecnologia lo considererei un fattore abilitante, un ‘facilitatore’ per permettere di utilizzare in modo ‘sicuro’ le piattaforme dedicate allo sviluppo delle altre tecnologie citate come robotica, AI, genomica, big data e E-Finance oltre naturalmente alle altre che verranno. È vero anche che stiamo vivendo un momento di ‘skill shortage’: le tecnologie vengono sviluppate e avanzano con un passo più spedito rispetto alle competenze delle persone che dovrebbero adottarle. Contiamo quindi sulle ‘nuove leve’, sui ‘nativi digitali’, affinché si possa consolidare un livello globale di ‘consapevolezza digitale’. Nel frattempo dobbiamo pensare a come proteggere in modo efficace le nostre infrastrutture, soprattutto le infrastrutture critiche, quelle che consentono agli Stati di funzionare e ai cittadini di condurre una vita civile. Tutte le infrastrutture critiche sono ormai gestite con sistemi complessi e questi possono essere obiettivi esposti al rischio cyber: le tecnologie ci possono aiutare nella protezione, ma l’aspetto da coltivare maggiormente è l’attitudine e la coscienza delle persone nel mettere in pratica atteggiamenti ‘sicuri’. In definitiva, la cybersecurity può essere un business profittevole capace di generare occupazione? Nel breve-medio periodo penso di si. Auspico però che il ‘pensare sicuro’ e la ‘security-by-design’ rientrino a tutti gli effetti nel programma di formazione di chiunque vada a scuola e vivrà domani in un mondo nel quale saremo tutti connessi a tutto.
Leggi la versione integrale dell’intervista su Automazione Plus
