Il tema centrale quando si parla di cybersecurity è l’analisi del rischio. Le imprese spesso tendono a sottovalutare l’importanza di un’adeguata strategia di protezione dagli attacchi informatici perché sottovalutano il pericolo, non ritenendosi un probabile bersaglio di un atto di pirateria. Eppure, i dati parlano chiaro: in Italia, dopo le istituzioni pubbliche, il secondo settore maggiormente colpito da attacchi cyber è il manifatturiero, sul quale si concentra il 13% delle azioni malevole. Non solo: un quarto del totale degli attacchi rivolti all’industria a livello globale riguarda realtà manifatturiere italiane. E qui torniamo al concetto iniziale, ovvero il rischio. E’ composto da due elementi, sottolinea Stefano Zanero, professore in cybersicurezza del Politecnico di Milano: «la probabilità dell’accadimento e la stima del danno». Il punto è che il rischio cyber è molto basso, o per lo meno è percepito come tale. Pur con le percentuali sopra esposte, che vedono le imprese produttive italiane un bersaglio, in termini assoluti stiamo parlando di un totale di 41 attacchi nel 2023. Ma attenzione: «è raro che si verifichi un attacco, ma quando accade, è esiziale», quindi provoca un grosso danno. Come fare per sensibilizzare le aziende all’importanza della cybersecurity?
La domanda è stata al centro di un aperitivo tecnologico al competence center Made, durante il quale sono stati presentati dei casi pratici di imprese che hanno iniziato un percorso verso la protezione informatica. Valmex, che produce scambiatori di calore per il settore idrotermosanitario, ha avviato un progetto con AizoOn e Made partendo dall’IT, e ora sta iniziando ad approcciare la parte OT. Fratelli Mauri invece è attiva nei fissaggi di alta qualità per i settori del legno automotive e industria, e in realtà è in una fase più iniziale del progetto, rivolta alla formazione dei dipendenti. E’ un passaggio fondamentale, perché la vulnerabilità principale delle aziende è rappresentata dai dispositivi più semplici, come i pc, gli smartphone, i tablet. Il punto d’ingresso di un malware, un software che infetta il sistema, può essere rappresentato da una semplice e-mail. Sia Valmex sia Fratelli Mauri hanno simulato campagne di phishing per addestrare le persone a riconoscere i messaggi di posta pericolosi, da non aprire. Approfondiamo i rischi legati alla sicurezza informatica, i passaggi da compiere per proteggere le infrastrutture e i dati aziendali attraverso le domande al docente del Polimi Stefano Zanero, e a Lorenzo Bossoletti, IT manager di Valmex, e Alice Ruscitto, IT manager di Fratelli Mauri.
Gli attacchi industriali sono ancora poco conosciuti, le imprese devono preparasi
Partiamo dall’analisi del rischio. Prevedere un attacco è difficile anche perché ci sono molte tipologie di azioni che sono difficili da osservare. Alcune fattispecie di aggressioni in realtà sono visibili: gli attacchi ransomware, fra i più comuni, sono osservabili. Lo stesso vale per le frodi finanziarie, ad esempio quelle sulle carte di credito, relativamente note. «Ma ci sono molti attacchi non conosciuti, o perché non vengono denunciati, oppure perché le vittime non se ne accorgono». In base al rapporto Clusit 2024, gli attacchi di cui non si conoscono nel dettaglio le tecniche utilizzate rappresentano un quinto del campione.
Nel caso degli attacchi industriali, questo succede con più frequenza, anche perché non sono molti anni che i reparti manifatturieri devono porsi il problema della sicurezza informatica. In realtà, in fabbrica c’erano già macchinari connessi prima di Industria 4.0. Ora però le macchine non sono più solo connesse fra di loro, ma sono anche online, e sono integrate con i sistemi aziendali (si parla, per questo motivo, di IT/OT). Però, sottolinea Zanero, «gli attacchi industriali restano poco conosciuti». Propone l’esempio di un’azione di pirateria informatica contro un’acciaieria tedesca che ha compromesso i controllori di rete dell’impianto e distrutto l’altoforno. Il punto di accesso iniziale è stato nel mondo aziendale, non in produzione. «La stessa cosa è successa in occasione di un altro esempio molto noto. Nel 2015, nella prima fase dell’invasione russa, la rete elettrica del Dombass si è spenta perché sono stati fatti esplodere gli Ups degli impianti (Uninterruptible Power Supply, gruppo di continuità), tramite un malware che è stato diffuso dagli operatori delle aziende».
Le aziende manifatturiere italiane sono un bersaglio perché non si proteggono in modo adeguato
Qualche dato sull’aumento esponenziale degli attacchi informatici, sempre basati sul report Clusit 2024. Tra il 2019 e il 2023 il campione ha incluso 653 attacchi noti di particolare gravità che hanno coinvolto realtà italiane. Di questi, 310 sono avvenuti nell’ultimo anno: quindi, oltre il 47% del totale degli attacchi censiti a livello italiano dal 2019 si è verificato nell’ultimo anno e la quota cresce addirittura al 76% se si considerano gli incidenti avvenuti a partire dal 2022 (498 eventi su 653). La crescita fra il 2022 e il 2023 è stata pari al 65%, contro un incremento del 12% a livello globale, a conferma della posizione critica dell’Italia. Il motivo? La scarsa capacità di proteggersi in maniera adeguata. E, come detto, dopo le istituzioni pubbliche (19% del totale), il bersaglio sono le aziende manifatturiere (13%). A livello globale, invece, le due categorie raccolgono rispettivamente il 12% e il 6% degli attacchi, e sono rispettivamente in terza e settima posizione. Il dato un quarto del totale degli attacchi rivolti al manufacturing a livello globale riguarda realtà manifatturiere italiane.
Il fatto che i macchinari siano sempre più sofisticati anche dal punto di vista della dotazione software è un ulteriore elemento che aumenta la vulnerabilità. Pensiamo alla differenza fra un robot industriale e un cobot. Il primo ha una protezione di tipo fisico dal punto di vista della safety delle persone, nel senso che è separato fisicamente dall’area in cui eventualmente lavorano gli addetti. Il cobot invece è altrettanto sicuro per l’utente grazie a una protezione di tipo informatico. Il robot collaborativo è in grado di fermarsi o di rallentare quando l’operatore si avvicina grazie alla sua dotazione software. «Questo però comporta un rischio informatico che prima non c’era. Possiamo dire che è cambiato il tipo di potenziale rischio informatico collegato alla macchina».
L’integrazione IT/OT delle fabbriche intelligenti crea vulnerabilità, come si segmenta la rete
Comunque, il punto fondamentale è la vulnerabilità legata all’integrazione fra IT e OT. Tecnicamente, la soluzione è rappresentata dalla segmentazione della rete. «Significa creare delle barriere, ma con un filtraggio, perché i sistemi devono restare integrati», sottolinea il docente del Polimi. E’ opportuno introdurre «meccanismi di disaccoppiamento fra rete IT e OT, che proteggano i dispositivi OT, più vulnerabili. Il motivo è che molte macchine non possono essere aggiornate, per cui non vengono gestite nello stesso modo in cui gestiamo i dispositivi IT. In sintesi, la separazione deve essere fatta con un’architettura adeguata. E bisogna considerare che il collega che integra la linea OT tendenzialmente non è esperto di cybersecurity. Questo è un aspetto tradizionalmente confinato al mondo IT».
Per quale motivo se per proteggere un “normale” dispositivo, come lo smartphone, basta un antivirus, non si può fare lo stesso con una rete aziendale? «Intanto non è vero che con un buon prodotto uno smartphone o un PC è protetto – sottolinea Zanero -. Il punto è sempre il profilo di rischio. Un normale dispositivo privato ha un rischio abbastanza basso, per cui dobbiamo proteggerci solo da aggressori molto banali e in questi caso basta un antivirus. Nel mondo aziendale, invece, le minacce sono più elevate, a maggior ragione quando parliamo di strumenti connessi in rete. Un oggetto non è sicuro di per sé ma nel contesto in cui opera. Quindi, la rete va progettata per garantire la sicurezza.
Valmex è considerata uno dei produttori più importanti a livello mondiale di scambiatori di calore per il settore idrotermosanitario ed è punto di riferimento per i maggiori player di mercato.
Due casi pratici, Valmex e Fratelli Mauri: definizione del perimetro, segmentazione delle reti, campagne di formazione
In entrambe le aziende che hanno partecipato all’aperitivo tecnologico di Made a gestire il piano di sicurezza informatico sono i responsabili IT. Le due realtà hanno diversi punti in comune. Entrambe tipiche imprese familiari della manifattura italiana. Valmex come detto produce scambiatori di calore per caldaie murarie dal 1969, fattura 120 milioni all’anno, di cui il 10% destinati agli investimenti. Ha quattro stabilimenti, di cui due nel Comune marchigiano di Cartoceto, dove c’è la sede centrale, e uno in Cina. Fratelli Mauri produce soluzioni di fissaggio dagli anni ’50, fattura 23 milioni di euro, ha 190 dipendenti, due stabilimenti produttivi, sede centrale a Lecco. E nell’approccio alla digitalizzazione erano già sensibilizzate entrambe alla cultura del dato.
Vediamo in che modo hanno lavorato per proteggere il perimetro aziendale. Valmex è partita da una fase di assessment, effettuando quindi l’analisi del rischio attraverso una mappatura di tutti i processi e le applicazioni interne, con un’analisi della configurazione dei sistemi e delle connessioni di tutti i macchinari. Il punto è che lavorando sul perimetro, definendolo con precisione, si riduce molto il rischio. Il secondo passaggio è la segmentazione delle reti. Bossoletti sottolinea che queste due fasi sono cruciali: «l’IT deve sempre avere la mappatura di perimetro e la segregazione delle reti».
Infine, il terzo tema su cui lavorare è l’awareness. Sia Valmex sia Fratelli Mauri hanno simulato campagne di phishing per testare la capacità dei colleghi di rispondere adeguatamente. «L’utente avrebbe dovuto riconoscere le mail malevole – sottolinea Bossoletti -. Molti inizialmente ci sono cascati, ma al termine della prima campagna abbiamo pubblicato i dati e dimensionato la formazione sugli errori. Poi, abbiamo lanciato una campagna più specifica sulle singole applicazioni, e questa attenzione dell’azienda ha dato risultati».
Del tutto simile il percorso impostato da Alice Ruscitto in Fratelli Mauri. «Siamo partiti anche qui dalla mappatura di tutti i dispositivi connessi, e poi abbiamo predisposto la campagna di phishing». E’ già partito anche l’assessment delle vulnerabilità, e poi gli ultimi due step saranno l’analisi del rischio e degli scostamenti e la definizione di una strategia in caso di attacco. Il progetto è ancora aperto, e riguarda sia la parte IT sia l’operation technology. La rete è segmentata, «ma abbiamo fornito accesso a Made sia alla parte IT sia all’OT».
Dalla tecnologia alle competenze: le aziende spesso sono poco sensibilizzate e rischiano di farsi scappare professionalità ancora rare sul mercato
Come abbiamo visto, la parte più esposta tendenzialmente è l’IT. «Quasi tutti gli attacchi vengono sferrati via mail, o da altre eventuali porte», sottolinea Bossoletti. Il consiglio fondamentale è naturalmente quello di non aprire le mail di phishing, non cliccare su link. Le campagne di formazione e sensibilizzazione aziendale seguite dai messaggi di posta elettronica fasulli sono previste proprio per insegnare ai dipendenti gli accorgimenti che aiutano a non cascare nelle trappole, a non aprire le mail sospette, avvisando piuttosto l’IT. Analoga sensibilizzazione deve riguardare anche la filiera produttiva, per esempio i fornitori, che sono a loro volta un potenziale canale di ingresso.
Infine, come per molte professioni legate al digitale, c’è un tema relativo al disallineamento fra domanda e offerta di lavoro. C’è carenza di manager IT ma anche si molte altre figure legate agli aspetti della sicurezza. «I nostri studenti vengono assunti mesi prima della laurea» sottolinea Zanero. Nelle aziende di piccole e medie dimensioni l’IT è spesso esternalizzato, e questo impatta sul fronte dei piani di cybersecurity. E visto che ad essere sempre più interconnesse non sono solo le fabbriche, ma tutta la società, c’è anche la concorrenza delle aziende estere, che propongono offerte allettanti di lavoro da remoto.
Per contro, le imprese non sono ancora adeguatamente sensibilizzate, quindi rischiano di perdere ulteriormente terreno. Il messaggio fondamentale è il seguente: «la security ha bisogno di competenze, e la competenza è costosa». Le aziende spesso non riescono ad avere la corretta percezione dell’importanza della sicurezza informatica nemmeno dopo avere subito un attacco. Perché a quel punto pensano che ormai il danno è fatto. E, altro errore, spesso acquistano prodotti invece che competenze.
