Il Senato USA si è espresso a metà novembre in tema di sicurezza dell’IoT, l’Internet degli oggetti. E’ stato approvato all’unanimità e senza emendamenti il Internet of Things Cybersecurity Improvement Act of 2020, ultima versione di una legge in lavorazione da 3 anni, già approvata dall’altra Camera del Congresso in settembre. L’atto attende ora la firma del Presidente Trump.
Il tema della sicurezza informatica per gli ambienti industriali è oggi tra i più “caldi”. Siamo arrivati infatti al punto in cui gli attaccanti sono in grado, con strategie mirate, attacchi articolati in più fasi e strumenti sempre più avanzati, non solo di rubare Intellectual Property (come hanno fatto per anni) ma di bloccare per giorni o anche settimane la produzione delle industrie, come riportano spesso i media, e come è successo quest’anno a diverse realtà manifatturiere italiane.
Molte aziende si pongono oggi la domanda: cosa non deve mancare nel mio Piano di Cybersecurity? quali sono le misure e i processi prioritari da prevedere, per proteggere una forza lavoro che, in questo momento, si collega in massa dalla propria abitazione? Per sostenere un traffico più elevato, rispondere con tempestività in caso di attacco cyber? Per sensibilizzare le persone, formarle per uno Smart Working in sicurezza?
Oggi nel mondo industriale, più che il furto dei dati, quello che è molto rischioso è un eventuale downtime dei sistemi, la non disponibilità di una linea di produzione, l’hackeraggio della programmazione delle macchine. Nell’IT tradizionale, emerge invece come principale criticità l’elemento umano, l’errore di un singolo impiegato che permette agli attaccanti di aggirare tutti i sistemi preposti alla cybersecurity. Quali saranno quindi le priorità del Chief Information Security Officer nel 2020? ne parliamo in questa intervista con Alessandro Cosenza, Chief Information Security Officer di BTicino.
Lo scenario della cybersecurity è in continua trasformazione, ma parlando con i Responsabili della sicurezza informatica, emergono quelle che sono oggi le priorità nella gestione dei rischi cyber e nella risposta alle minacce. Non si tratta solo della necessità di dotarsi di processi e soluzioni per la prevenzione e la difesa: serve anche creare organizzazioni resilienti e una cultura della sicurezza più diffusa. Parliamo di quelle che saranno le sfide del CISO per il 2020 con Corradino Corradi, Head of ICT Security & Fraud Management di Vodafone.
Enisa, l’Agenzia europea per la Cybersecurity, ha rilasciato le sue “Good Practices per la sicurezza dell’IoT”, una guida efficace per disegnare nuovi oggetti connessi (IoT) che siano il più possibile “intrinsecamente sicuri”.
Gli oggetti che permettono di rendere le nostre case più confortevoli e “servizievoli”, di automatizzare compiti prima relegati agli umani, sono sempre di più, e vanno dalle lampadine che possono essere accese direttamente dallo smartphone, essere comandate con la voce o cambiare colore a seconda dell’umore del proprietario di casa, ai televisori trasformati in contenitori di App e sempre connessi alla rete, agli elettrodomestici che si comandano da distanza, alle porte dotate di smart lock, che sbloccano automaticamente la porta quando arrivate a casa e la bloccano di nuovo quando uscite. Per non parlare degli Assistenti, Google Home e Amazon Echo con Alexa in primis.
I criminali informatici sanno dove e cosa cercare. Spesso (purtroppo) sono più attenti e con una maggior capacità di osservazione e approfondimento rispetto a chi dovrebbe arginarli. In particolare ci sono alcune aree di rischio per la sicurezza informatica che le imprese dovrebbero presidiare maggiormente, proprio perché oggetto di particolare attenzione da parte degli hacker: sono otto, e si tratta della tecnologia utilizzata in azienda, della Supply Chain, dell’IoT, delle Business Operations, dell’operatività dei dipendenti, delle operazioni M&A, della regolamentazione, e non ultima l’attività dei consigli di amministrazione.
A inizio anno 2019, ISO, International Organization for Standardization, l’organizzazione internazionale per le normative dei settori industriali, ha emesso un documento ISO/TR Technical Report denominato “ISO/TR 22100-4:2018, Safety of Machinery – Relationship with ISO 12100 – Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects”. In pratica si tratta di un nuovo standard di sicurezza (che a questo punto riguarda sia la Safety che la Security) per macchinari, impianti ed Industrial of Things industriale (IIoT) utilizzati in ogni settore dall’industria, al commercio, a trasporti e logistica, fino alle infrastrutture ed utility.