Gli attacchi informatici ai sistemi industriali causeranno sempre più frequentemente danni fisici alle persone, con enormi impatti finanziari e dirette responsabilità legali per i CEO delle aziende colpite
È ormai sotto gli occhi di tutti che le minacce informatiche generano per le aziende rischi che hanno un impatto potenziale non solo sulla salute e la sicurezza dei lavoratori, sia pubblici che privati, ma anche sull’ambiente, le operazioni aziendali, la supply chain, i dati personali, la reputazione, nonché sulle attività finanziare e commerciali. Alcuni di questi rischi sono ben noti e gli esperti di cybersecurity lavorano quotidianamente per affrontarli e ridurli. Le minacce informatiche legate ai sistemi industriali stanno emergendo negli ultimi anni in tutta la loro importanza. Man mano che i sistemi industriali sono diventati più connessi, le superfici di attacco sono aumentate intrinsecamente, rendendo tali sistemi un obiettivo sempre più frequente per gli hacker. Le due discipline essenziali per la corretta gestione di queste emergenti minacce informatiche, sono la cybersecurity e la safety. Tuttavia, sono anche due discipline con delle differenze in alcuni approcci metodologici. Spesso analizzano lo stesso sistema da prospettive differenti.
Chi si occupa di cybersecurity è più predisposto a valutare le azioni – anche se apparentemente irrazionali – che un attaccante esterno è in grado di mettere in atto. Chi si occupa di safety è focalizzato sulle funzionalità del sistema e su come queste possano fallire, senza considerare il caso di manipolazione del sistema stesso a causa di accessi non autorizzati. Spostando l’attenzione all’esistenza e al rispetto di leggi e normative, queste sono molto più mature e consolidate nel campo della safety, rispetto alla cybersecurity. Standard e normative di sicurezza informatica sono relativamente nuovi e, in alcuni casi, tendono a essere volontari. Pertanto, la loro adozione dipende principalmente dalle aziende e dalla loro percezione del rischio.
Esiste anche differenza nell’approccio alla manutenzione dei sistemi e alla gestione delle vulnerabilità. Alcuni sistemi industriali sono costosi e costruiti per rimanere in funzione per decenni, inoltre, le vulnerabilità di tali sistemi possono essere scoperte anche anni dopo la loro entrata in funzione. D’altronde, è innegabile che tali vulnerabilità possano modificare il funzionamento del sistema generando rischi imprevisti. Mentre dal punto di vista di cybersecurity prevale l’approccio a un fix immediato delle vulnerabilità, dal punto di vista di safety prevale l’approccio a un fix programmato con largo anticipo e preceduto da attente analisi e verifiche.
La costante evoluzione della tecnologia è infine l’elemento di differenziazione più importante tra cybersecurity e safety. L’introduzione di nuove tecnologie – come lo sono state il cloud o i dispositivi mobili e come lo sarà il 5G – genera nuove sfide alla sicurezza informatica nonché la necessità di nuovi controlli e strumenti tecnologici a protezione di processi e sistemi aziendali. Nonostante le differenze e i silos che spesso si creano tra queste due discipline, la gestione dei rischi di cybersecurity che incombono quotidianamente sui sistemi industriali richiede una stretta collaborazione tra gli esperti di cybersecurity e gli esperti di safety. Gli impatti finanziari generati da attacchi informatici ai sistemi industriali cresceranno in maniera esponenziale, considerando che gli incidenti di sicurezza avranno sempre di più un effetto maggiore nel mondo fisico. Una metodologia applicata e un’organizzazione aziendale che unisca cybersecurity e safety, pur preservando le rispettive peculiarità, è l’elemento chiave per la corretta gestione e protezione dei sistemi industriali. La safety ha lo scopo di proteggere gli impianti da guasti accidentali mentre la cybersecurity è focalizzata sulla protezione dei sistemi da attacchi intenzionali.
Entrambe gestiscono rischi che non si riescono a eliminare completamente, ma soltanto mitigare. Inoltre, condividono obiettivi identici: proteggere i sistemi garantendone il corretto funzionamento. Per raggiungere questi obiettivi le funzioni di cybersecurity e safety devono collaborare in maniera costante rimanendo sempre allineate in modo che le rispettive attività non confliggano. Bisogna evitare che contromisure di cybersecurity diventino un ostacolo alla primaria funzionalità di un sistema industriale, ma d’altronde non è ipotizzabile che la presenza di un sistema industriale interconnesso crei un rischio per il sistema stesso se non per tutto l’ecosistema aziendale.
Guido Sandonà comitato scientifico di CLUSIT
