La sicurezza informatica rappresenta una sfida crescente per le piccole e medie imprese (PMI) del settore manifatturiero in Italia che richiede competenze interdisciplinari, soprattutto considerando la complessità di reti aziendali che vedono sempre più dispositivi connessi, di diversa natura e utilizzo. Di questi temi si è parlato nell’Aperitivo Tecnologico “Cybersecurity: sfide e opportunità” organizzato da MADE Competence Center e promosso in partnership con FabbricaFuturo, progetto multicanale di Edizioni ESTE; un’occasione di confronto con esperti e manager di aziende per approfondire il concetto di cyber sicurezza e scoprire le più attuali strategie per combattere le minacce informatiche.
L'incontro, moderato da Alessia Stucchi di Sistemi&Impresa, si è aperto con l'introduzione di Stefano Zanero, Professore di Cybersecurity al Politecnico di Milano, che, nel suo keynote speech, ha dato delineato il contesto restituendo il quadro della situazione attuale disegnando un mercato particolarmente vulnerabile a causa di una combinazione di fattori quali risorse limitate, bassa consapevolezza dei rischi e infrastrutture tecnologiche spesso obsolete.
Durante l’evento sono stati presentati casi pratici: Valmex azienda di produzione di scambiatori di calore per il settore idrotermosanitario, con l’intervento di Lorenzo Bossoletti, IT Manager, e di Fratelli Mauri, azienda produttrice di soluzioni di fissaggio di alta qualità con Alice Ruscitto, IT Manager. I due manager hanno illustrato i progetti di cybersecurity sviluppati in collaborazione con MADE4.0.
La difficoltà di valutare il rischio cyber
Il punto di partenza è sempre il complicato compito di valutare i rischi cyber, un processo ostacolato dalla difficoltà di quantificare la probabilità e il danno potenziale degli attacchi, che possono spesso coinvolgere anche terze parti (clienti/fornitori). Il Professor Zanero ha illustrato l'importanza di un approccio qualitativo, basato sulla valutazione della vulnerabilità e della minaccia, per gestire i rischi in assenza di dati certi e sistematici. “Dati questi fattori, al posto di un approccio quantitativo, si può adottare un approccio qualitativo che tiene conto della valutazione della vulnerabilità, cioè quanto gli oggetti valutati sono esposti a rischi, e della presenza della minaccia, senza necessariamente quantificarla”, ha spiegato.
Data la complessità dello scenario, le aziende devono necessariamente comprendere le proprie vulnerabilità, amplificate anche dall’Industria 4.0 e dalla connessione di dispositivi e macchinari, per mettersi al riparo. “La gran parte dei sistemi industriali sono immersi in un ambiente di Industria 4.0 che porta i macchinari a essere connessi a Internet. Automatizzare la produzione conferendo alla persona un ruolo da supervisore è un obiettivo positivo, ma l’interconnessione apre porte di ingresso e rende potenzialmente più dannosi gli attacchi informatici”, ha continuato il professore. Le aziende devono, quindi, adottare misure di sicurezza adeguate a proteggere i sistemi critici, ma soprattutto sono chiamate a minimizzare i rischi.
Valmex e Fratelli Mauri, il valore della cultura aziendale contro le mail di phishing
Se questa è la teoria e lo stato dell’arte della cybersecurity in Italia, ci sono aziende che sul tema hanno già realizzato importanti progetti. Per esempio, Valmex ha realizzato la mappatura dei processi, l’analisi degli asset e dell’infrastruttura, seguita dalla segregazione delle Reti e dalla promozione di cultura aziendale sul valore del dato. Simile percorso è stato quello di Fratelli Mauri, il cui progetto – ancora in corso – riguarda la fase di setup e di Project management, l’analisi di Open Source Intelligence (OSINT), la comprensione del contesto tecnico e organizzativo, ma anche la campagna di phishing e il vulnerability assessment & penetration test.
I due progetti, pur essendo realizzati da aziende di settori differenti, coincidono rispetto alla necessità di agire tempestivamente. “Il bisogno era comprendere le nostre vulnerabilità, dato che abbiamo sviluppato progetti di Industria 4.0 e i nostri macchinari sono interconnessi”, ha spiegato Bossoletti. “Il progetto è stato anche per noi un importante momento di analisi approfondita della situazione, ma soprattutto un punto di partenza per strutturare un approccio ancora più dedicato alla sicurezza informatica, visto che tre anni fa in azienda non esisteva una figura interna IT”, ha argomentato Ruscitto.
Oltre alle sfide introdotte dall’Industria 4.0, entrambe le aziende hanno riconosciuto l'importanza di sviluppare una cultura aziendale che permei tutti i livelli organizzativi. Per sensibilizzare il personale e testare il livello di consapevolezza, le due aziende hanno strutturato campagne di simulazione di phishing per sensibilizzare il personale e testare la loro consapevolezza di fronte alle minacce, che si manifestano attraverso email ‘truffa’ sempre più sofisticate e difficili da riconoscere. I risultati hanno mostrato la necessità di una maggiore formazione, dato che tali email possono causare interruzioni significative delle attività produttive, oltre a rappresentare rischi per la sicurezza dei dati.
Per colmare le lacune, serve puntare sulla formazione di tutto il personale, compresi gli IT, come ha spiegato Bossoletti: “L’IT manager ha una grande responsabilità perché deve essere sempre attento a individuare le minacce. Serve una preparazione e una competenza adeguata”.
Formazione, cultura del dato e tecnologia sono passaggi obbligati per tutte le aziende che vogliono difendersi dagli attacchi informatici. Il vantaggio delle PMI è avere una catena decisionale corta e quindi poter cambiare-evolvere rapidamente. Perché di fronte alle conseguenze negative degli attacchi, la non strategia e la mancanza di consapevolezza non è più una situazione ammissibile.
