Il tema della cybersecurity rimane anche nel 2019 ai primi posti della lista dei rischi che le aziende di tutti i settori considerano in modo prioritario. Affrontiamo questi temi con Stefano Scoccianti, Enterprise Risk Manager di Gruppo Hera.
TIG. Guardando alla vostra organizzazione e in modo più ampio alle problematiche che attraversano l’intero settore, quali saranno le principali sfide di quest’anno?
Stefano Scoccianti. Abbiamo a piano per quest’anno diverse attività strettamente correlate alla cybersecurity, e all’accrescimento della resilienza aziendale alle minacce che si intensificano per frequenza e pervasività, che vedono coinvolti i vari team specialistici che svolgono attività di risk control e risk management, vista la natura trasversale e multidisciplinare di tali rischi.
Ci sono aspetti che riguardano problematiche direi divenute “tradizionali”, dei classici del mondo dei gestori IT. Siamo un’azienda molto articolata per tipologie di infrastrutture e sistemi, non solo gestionali ma anche sistemi a supporto dei processi industriali, (ad esempio sistemi di telecontrollo con tecnologie SCADA e sistemi di controllo e gestione degli impianti). Per tale motivo le azioni volte ad accrescere la sicurezza dei nostri sistemi vedono un ruolo attivo non solo del gestore dei gestionali IT, ma anche altri soggetti all’interno di diverse business unit: oltre alla Direzione Sistemi Informativi che si occupa dei gestionali, sono parte attiva la società TLC di gruppo, la distribuzione elettrica, la filiera ambientale e il telecontrollo reti fluidi.
Per tutti il gruppo ha stabilito criteri per la sicurezza nelle fasi di pianificazione e gestione dei sistemi, delle reti e delle risorse umane, e regole di compliance, monitoraggio e controllo. Devono quindi rispondere a linee guida e policy emanate dalla capogruppo. Tali attività sono avviate, ma vogliamo effettuare ulteriori miglioramenti volti a garantire flessibilità di gestione a specifiche realtà aziendali che necessitano per il loro business di prontezza e rapidità di intervento attraverso una gestione efficiente e flessibile dei sistemi, in modo che siano ottemperate le esigenze di tempestività e valorizzato il patrimonio di conoscenze specialistiche acquisite dalle BU medesime.
In casi specifici nel nostro mondo è opportuna la scelta di mantenere la gestione di alcuni applicativi specialistici all’interno delle BU purché siano adeguatamente strutturate allo scopo: è ovviamente compito delle strutture di gruppo preposte sottoporli periodicamente a criteri di verifica di solidità, oltre che a criteri di sicurezza confacenti al nostro mondo.
TIG. Con il GDPR, oggi tutti i nuovi sviluppi applicativi sono soggetti a verifiche di tipo “privacy-by-design”.
Stefano Scoccianti. Sugli aspetti di privacy abbiamo un forte presidio centrale che provvede ad assicurare gli indirizzi e la metodologia per la privacy by design, e ad indicare le eventuali misure migliorative, al fine di garantire la conformità alla norma. Sappiamo che in base all’evoluzione delle minacce, anche gli sviluppi o applicativi periferici possono diventare un fattore critico e vettore di accesso, se non opportunamente protetti. Per questo siamo consapevoli di non poter trascurare neanche ambiti apparentemente poco significativi.
TIG. Quali problematiche vi aspettate di incontrare per questi ambiti?
Stefano Scoccianti. Uno sarà di tipo operativo: siamo tenuti a garantire che tali soggetti restino costantemente ben strutturati per assolvere il loro ruolo, che vi permangano le figure adeguatamente competenti per garantire successo nell’attività di gestione, evitare che possano crearsi situazioni con mancanze strutturali e organizzative. Un elemento a cui fare attenzione sarà, qualora si profili questa situazione, come porre in atto una remediation. Come detto esistono in taluni casi delle esigenze effettive per cui è opportuno disporre di strutture specifiche per sotto-filiere, molto specialistiche e disegnate ad hoc per un sotto-ambito. Bisognerà verificare con Penetration test e Vulnerability Assessment, il permanere delle adeguate condizioni di solidità di tali gestori.
TIG. Un altro tema importante quest’anno sarà l’arrivo della Direttiva NIS: quale sarà l’impatto nel vostro caso?
Stefano Scoccianti. La Direttiva prevede delle misure di sicurezza e altri obblighi che si stanno ora declinando meglio. Seguiamo le evoluzioni che arriveranno dall’applicazione della NIS: noi partecipiamo a tavoli di confronto con altri gestori per migliorarci e renderci più adeguati.
Con riferimento all’impatto della Direttiva, bisogna innanzi tutto capire cosa si definisce con infrastruttura critica o servizi essenziali: noi sicuramente siamo distributori di energia elettrica, anche se non a livello nazionale, un’infrastruttura che può essere attaccata dall’esterno, quindi con possibili impatti negativi sulla collettività. Meno rischi ci sono invece su tematiche collegate ad altri ambiti che gestiamo, ad esempio il gas, dove il sistema di telecontrollo è pensato più per monitorare che non per eseguire manovre attive. Anche per quanto riguarda i termovalorizzatori, sono impianti dotati di sistemi chiusi, per cui non possono essere effettuate attività da remoto, quindi meno critici sul fronte cyber. Pur non escludendo a priori la possibilità di accedere ai sistemi di gestione, benché siano presenti sistemi di protezione e segregazione dell’infrastruttura, tuttavia i danni potenziali in caso di attacco non determinano criticità per la popolazione, non essendovi un tema di continuità del servizio. Quindi sostanzialmente l’infrastruttura più critica che noi gestiamo è la rete di distribuzione elettrica, su cui la Direttiva stimola sicuramente ulteriori riflessioni.
TIG. Come si configurano oggi le attività di gestione degli incidenti per questi ambienti e in prospettiva quale valore potrebbe avere una maggiore collaborazione e infosharing in tema di cybersecurity con soggetti esterni?
Stefano Scoccianti. Internamente abbiamo attività di analisi e controllo del rischio svolte dal Presidio Sicurezza Logica e Privacy che si estende a tutti i gestori. Parliamo di una quantificazione del rischio, di un monitoraggio, e relativamente all’operatività connessa alla gestione di incidenti, escalation, Disaster Recovery per i principali sistemi di gruppo, il riferimento è alla funzione di IT Security in ambito Direzione Sistemi Informativi. Inoltre, siamo attivi anche verso l’esterno, con una collaborazione con soggetti esterni istituzionali, come la Polizia Postale dell’Emilia-Romagna, e partecipiamo a tavoli nazionali di confronto. C’è un crescente interesse per questo tema, non solo nel mondo aziendale ma anche a livello istituzionale e comunque con ancora ampi spazi di miglioramento nel contesto italiano.
La sensibilità e consapevolezza interna nella mia esperienza è molto elevata a partire dal vertice aziendale. Potrebbe invece essere utile ampliare i momenti di confronto esterno tra i vari soggetti creando maggiori occasioni di confronto tecnico. Potrebbe essere utile individuare momenti snelli e processi non burocratici, anche nel caso di infrastrutture non critiche, per consentire uno scambio di informazioni ed esperienza, una condivisione di protocolli e linguaggi comune, classificazioni comuni, informazioni in tempo reale. Tutto questo sarebbe decisamente utile.
TIG. Quali altri cantieri state aprendo nel 2019 sul fronte della gestione del cyber risk?
Stefano Scoccianti. Un’ulteriore tema che nel 2019 procede grazie ai colleghi del risk management assicurativo è quello di un cyber risk assessment finalizzato a individuare l’efficacia di coperture assicurative del rischio residuo. Ci proponiamo di fare ciò misurando il nostro livello di maturità e il livello di mitigazione raggiunto. Noi oggi già siamo attivi su tutta una serie di aspetti, procedurali, normativi, comportamentali, di configurazione infrastrutturale e dotazione di sistemi di sicurezza e misuriamo internamente l’efficacia di tali azioni.
Quello che faremo sarà una misurazione dell’adeguatezza raggiunta, una sorta di tagliando di controllo effettuato da un terzo, non da noi, e abbiamo pensato di articolare la valutazione su diversi livelli, tra cui gli aspetti di governance e le componenti soft del sistema, le infrastrutture arricchendo l’analisi di rischio già effettuata con approccio quantitativo mirato a specifiche tipologie infrastrutturali, infine una stima finanziaria del rischio residuo per valutarne la possibile mitigazione mediante ricorso al mercato assicurativo, a fronte di specifici scenari di rischio.
Tutta questa attività coinvolgerà vari team aziendali, sottolineando di nuovo la valenza trasversale e multidisciplinare della tematica, oltre che un partner assicurativo esterno.
INTERVISTA A:
STEFANO SCOCCIANTI,
Enterprise Risk Manager
Gruppo Hera
A cura di:
Elena Vaciago, The Innovation Group