Oggi nel mondo industriale, più che il furto dei dati, quello che è molto rischioso è un eventuale downtime dei sistemi, la non disponibilità di una linea di produzione, l’hackeraggio della programmazione delle macchine. Nell’IT tradizionale, emerge invece come principale criticità l’elemento umano, l’errore di un singolo impiegato che permette agli attaccanti di aggirare tutti i sistemi preposti alla cybersecurity. Quali saranno quindi le priorità del Chief Information Security Officer nel 2020? ne parliamo in questa intervista con Alessandro Cosenza, Chief Information Security Officer di BTicino.
TIG. Come stanno evolvendo le minacce e quali sono oggi gli ambiti più critici da considerare nella protezione dei dati e del Brand?
Alessandro Cosenza. Possiamo distinguere tra due macroambiti, quello industriale e quello del perimetro IT tradizionale. L’ambito industriale sarà sempre più impattato in futuro da problematiche di cybersecurity: avremo infatti un’industria sempre più connessa, in quanto le macchine possono produrre enormi quantità di dati da utilizzare per diagnostica e per analisi predittive, quindi per individuare nuove opportunità per il business. Il tema è come impostare una gestione sicura di questi Big Data dell’industria 4.0. Noi ad esempio prevediamo nuove misure per mettere in sicurezza le comunicazioni, per evitare che possano essere sottratte informazioni importanti. Nel mondo industriale però, più che il furto dei dati, quello che è molto rischioso è un eventuale downtime dei sistemi, la non disponibilità di una linea di produzione, l’hackeraggio della programmazione delle macchine. In questo mondo, dei 3 parametri che caratterizzano la sicurezza informatica, quello che conta di più è l’Availability dei sistemi, piuttosto che l’Integrity o la Confidentiality dei dati. Quello che bisogna evitare è quindi il fatto che un attacco andato a segno obblighi l’azienda a riconfigurare e risistemare il tutto per far ripartire la linea, con un conseguente fermo di molte ore e danni economici significativi. Vediamo attorno a noi un numero sempre maggiore di questi attacchi, segnale che bisogna oggi tutti intervenire per prevenire questi rischi.
TIG. Guardando invece agli ambienti IT del mondo office aziendale, quali sono le minacce più frequenti e come rispondervi?
Alessandro Cosenza. Oggi la tendenza è quella di una prevalenza di attacchi sempre più sofisticati e mirati rivolti all’IT aziendale: abbiamo minacce come lo spear phishing, abbinato a frodi sempre nuove, tra cui quelle molto pericolose come CEO Fraud e Business email compromise (BEC) con Iban fasulli, tutta la casistica del ransomware. I tentativi sono oggi molto mirati, quindi basati su una raccolta di dati e uno studio approfondito dell’azienda, di cui si ricostruiscono ruoli e flussi informativi, ottenendo anche informazione su soggetti esterni (fornitori, partner) che interagiscono più spesso con l’azienda. Tutto questo rende un attacco mirato molto difficile da individuare. Per rispondervi, non basta più contare soltanto su soluzioni tecniche: diventa invece molto importante sensibilizzare l’utenza interna.
TIG. Oggi l’elemento probabilmente più debole di un Programma di Cybersecurity è costituito dal fattore umano, dall’errore che compie un impiegato aprendo così le porte all’attaccante, permettendogli di infiltrarsi nei sistemi. Come va affrontato questo problema?
Alessandro Cosenza. Serve innanzi tutto un’attività di sensibilizzazione e di formazione rivolta a tutto il personale. Nel nostro caso, abbiamo concordato quest’attività con le HR e rivolgiamo di frequente su questi temi messaggi spot, o micropillole, con campagne di comunicazione interna che abbiamo inizialmente rivolto a un set ristretto di persone (chi segue gli aspetti finanziari e commerciali), mentre dal prossimo anno riguarderanno tutti gli impiegati. In più, effettueremo dei test di Phishing simulato per capire qual è il livello di preparazione delle persone. Abbiamo anche procedure per evitare alcuni comportamenti a rischio (come nel caso del cambio di Iban), procedure che andiamo periodicamente a verificare che siano applicate, ma purtroppo c’è sempre qualche caso che sfugge anche quando si è disegnata la procedura migliore, per cui non bisogna mai abbassare la guardia.
TIG. Parlando di oggetti rivolti al mercato smart building, quale sarà lo scenario futuro per la messa in sicurezza di questi device?
Alessandro Cosenza. Lo sforzo da fare in questo ambito, partecipando a varie iniziative di standardizzazione in corso, ISO e agenzia europea ENISA, è quello di definire uno standard comune di certificazione di cybersecurity per questi oggetti. I lavori procedono e si stanno definendo linee guida e standard, che saranno a 3 livelli: uno basico, uno sostanziale e uno elevato. Per ogni tipologia di oggetto sarà indicato un metodo oppure un altro, con schemi di certificazione da seguire. È probabile che in futuro sarà il mercato a guidare una maggiore domanda di oggetti dotati di “bollino di cybersecurity”, così come avvenuto già in passato quando la qualità di prodotti e servizi (ad esempio nello standard ISO/IEC 9001) si è diffusa perché richiesta appunto dal mercato, nelle gare di appalto, dalle multinazionali per i propri subfornitori.
INTERVISTA A:
ALESSANDRO COSENZA,
Chief Information Security Officer di BTicino
A CURA DI:
Elena Vaciago,
Associate Research Manager, The Innovation Group