Il settore manifatturiero è costituito da ecosistemi eterogenei, da interconnessioni tra siti distribuiti e supply chain estese, da una complessità e una molteplicità di attori (fornitori, produttori, partener). Nell’ultimo decennio, una rapida trasformazione digitale ha investito il settore manifatturiero aiutandolo a crescere, incrementare efficienza e redditività. Questo trend però ha anche esposto il settore industriale a una vasta gamma di minacce informatiche, rendendolo di fatto tra i più colpiti dagli attacchi informatici.
Nel corso del Meeting Annuale 2023 del World Economic Forum a Davos, i vertici aziendali hanno sottolineato la necessità di affrontare i rischi della cybersecurity del settore manifatturiero a livello di ecosistema. Ha preso così il via l’iniziativa Cyber Resilience in Manufacturing, guidata dal “Centre for Cybersecurity” e dal “Centre for Advanced Manufacturing and Supply Chains” del Forum, un gruppo di lavoro che ha coinvolto oltre 30 rappresentanti del settore manifatturiero globale. Obiettivo era quello di sviluppare linee guida operative su come ampliare la cultura della resilienza cibernetica.
Da questa iniziativa nascono le cinque principali sfide per lo sviluppo di una cultura di resilienza cibernetica nell’ecosistema manifatturiero (riportate nel Report “Building a Culture of Cyber Resilience in Manufacturing” del WEF). In sostanza, le sfide sono:
- Strategiche. La cyber resilienza deve essere posizionata tra le priorità del business.
- Organizzative. Serve un allineamento completo attraverso la struttura organizzativa.
- Operative. Il cambiamento in ottica cyber resilienza deve prevedere un’integrazione con i workflow operativi dell’azienda.
- Tecniche. Bisogna dotarsi di competenze tecniche specifiche.
- Normative. Bisogna prevedere la compliance a un impianto normativo che è globale, complesso, in continuo aggiornamento.
In risposta a queste sfide, l’iniziativa ha anche formulato tre principi guida per sostenere i manager della manifattura e della supply chain nell’instaurare una strategia pervasiva per lo sviluppo di una cultura di resilienza cibernetica nella loro organizzazione:
- Rendere la resilienza cyber una priorità aziendale. Incorporare la resilienza cibernetica nel DNA o nella struttura fondamentale dell’organizzazione, dalla leadership al reparto produttivo.
- Promuovere la resilienza cyber tramite il design. Integrare la sicurezza informatica nelle persone, nei processi e negli asset.
- Coinvolgere e gestire l’ecosistema. Costruire partnership fidate, gestire i rischi dei fornitori terzi e aumentare la consapevolezza sulla sicurezza identificando le parti interessate chiave.
Questi tre principi sono interconnessi e mutualmente collegabili, oltre che applicabili a qualsiasi settore manifatturiero e ubicazione. Nel Paper ogni principio è definito da linee guida aggiuntive, contestualizzato con considerazioni chiave e completato con casi d’uso manifatturieri reali per agevolare un’adozione e un’implementazione efficace.
I principali rischi informatici nel settore manifatturiero
L’impennata della connettività e della condivisione di dati nell’ecosistema manifatturiero ha ampliato l’esposizione del settore, rendendolo, per tre anni consecutivi, il più bersagliato da attacchi informatici, con una quota del 25,7% sul totale, e con il ransomware che costituisce il 71% di questi attacchi[1]. Date la complessità delle moderne supply chain, interruzioni lungo ampie catene del valore possono avere effetti a cascata, al di là del controllo effettuabile da parte di una singola realtà. Le complessità intrinseche della manifattura e delle supply chain richiedono quindi un approccio olistico alla mitigazione dei rischi informatici. Incorporare una cultura di resilienza cibernetica nel DNA dell’organizzazione diventa essenziale.
Gli attacchi informatici possono mettere in crisi le attività aziendali e le catene di approvvigionamento, vanificando i vantaggi della digitalizzazione e causando danni finanziari, di produttività, di reputazione persino danni fisici.
In effetti, il 57% degli attacchi informatici effettuati nel 2022 che prendevano di mira Operation Technologies (OT) ha avuto conseguenze fisiche reali, tra cui: interruzioni alla produzione, incidenti che hanno danneggiato le apparecchiature, incidenti che hanno messo a rischio i lavoratori sul campo[2]. Il numero degli attacchi informatici continua a crescere anno dopo anno, con gli attacchi basati sull’estorsione che rimangono un tipo prominente. Nel 2023, i pagamenti del ransomware hanno raggiunto un valore record di 1,1 miliardi di dollari[3]. Nel corso del 2023, il numero degli attacchi ransomware all’infrastruttura industriale è raddoppiato, facendoli diventare una minaccia significativa. Il ransomware rimane la principale preoccupazione per l’industria, con il 40% dei partecipanti al sondaggio sulla resilienza cibernetica nella manifattura che lo classifica al primo posto tra le minacce più pericolose. Secondo ricerche recenti, gli attacchi ransomware alle organizzazioni industriali sono aumentati di quasi il 50% nel 2023[4]. Le organizzazioni manifatturiere rappresentano un obiettivo attraente per gli attacchi ransomware, data la loro scarsa tolleranza all’inattività e il loro livello relativamente basso di maturità cibernetica rispetto ad altri settori.
Inoltre, queste industrie spesso investono poco nella resilienza cibernetica, principalmente a causa dei costi sostanziali associati al ridisegno delle linee di produzione e all’aggiornamento dell’attrezzatura. Tra i rischi significativi che affrontano le organizzazioni manifatturiere, il social engineering e il phishing, classificati come le seconde minacce cibernetiche più prominenti in generale, sono stati identificati dal 34% dei partecipanti al sondaggio. Seguono da vicino, gli attacchi alla supply chain che hanno conquistato la terza posizione. Le minacce interne e gli attacchi di denial of service sono stati classificati più in basso nell’intera gerarchia delle minacce cibernetiche.
A questo si aggiunga la sfida collegata a una gestione della compliance normativa sempre più complicata dalla numerosità dei regolamenti che sono stati stipulati negli ultimi anni in ambito cybersecurity (la figura successiva riporta alcuni di questi).