L’industria è sotto attacco, in particolare in Italia. Lo avevamo sottolineato quando è stato presentato il rapporto Clusit, ad aprile, specificando che era l’industria uno dei settori maggiormente presi di mira dai criminali informatici, in particolare in Italia. Non era il numero degli attacchi in sé a preoccupare, quando il trend in vertiginosa crescita e, soprattutto, la gravità di questi attacchi, che spesso avevano un impatto elevato sulle imprese colpite. A pochi mesi di distanza, il Clusit ha approfondito ulteriormente il tema con degli addendum al rapporto focalizzati su due industrie verticali: energy & utilities ed healthcare, di grande importanza strategica. Anche perché il settore delle energie è chiamato a una rapida trasformazione per concretizzare il Green Deal europeo.
Si è parlato dell’impatto che avrà la nuova direttiva Nis 2 sulla sicurezza delle infrastrutture critiche, che amplierà il numero di imprese coinvolte e si estenderà anche ai fornitori lungo tutta la catena del valore. Ma anche dell’importanza di adottare un linguaggio meno tecnico, perché le questioni relative alla cybersecurity devono essere discusse nel board, non solo fra tecnici. Il tema del ruolo di Ciso as a Service, che se da un lato può aiutare le aziende prive di competenze interne, dall’altro rischia di scaricare su terzi la sicurezza. Il focus della gestione del rischio. La proposta di sconnettere dalle reti i sistemi sanitari più critici. Se ne è parlato con Alessio Pennasilico (Clusit), Alessandro Manfredini (A2A), Simonetta Sabatino (Saras), Alessandro Menna (Italgas), Massimo Cottafavi (Snam), Mattia Sica (Utilitalia), Mario Lugli (Aiic), Andrea Provini (Aused), Alberto Ronchi (Aisis), Alberino Battagliola (Anra) e Sofia Scozzari (Clusit).
Cybersecurity: cosa sta accadendo nel settore Energy and Utilities?
«Il rapporto Clusit ci ha abituato ad incrementi percentuali degli attacchi importanti: a marzo abbiamo visto alcuni trend crescere del 170%, per esempio. Nel settore Energy & Utility, sono più contenute, attorno al 20%. Sembra una statistica poco notiziabile, ma quello che desta preoccupazione è un po’ il trend: gli incidenti informatici sono quadruplicati in quattro anni», afferma Alessio Pennasilico, membro del comitato scientifico di Clusit. «Ma al netto di questi numeri, è l’impatto che va valutato». Se infatti in altri settori ci sono attacchi con vari livelli di severità, alcuni dei quali pongono pochi rischi, nel caso delle utility la maggior parte degli incidenti sono considerati gravi, e possono avere impatti anche devastanti sulla popolazione, dato che stiamo parlando di infrastrutture critiche. Per avere chiara la situazione basti pensare che il 55% degli incidenti informatici in questo settore sono stati indicati come “critici”, mentre il 36% sono “gravi”. Solamente il 9% è stato categorizzato come incidente a basso rischio. Un altro aspetto da considerare è che queste imprese sono tutte interconnesse fra loro “e un incidente grave potrebbe avere un effetto domino”, prosegue Pennasilico.
Se andiamo a vedere la tipologia di attacchi, la stragrande maggioranza (70%) è relativa al cybercrime: in pratica, gruppi criminali che cercano di monetizzare bloccando le attività tramite ransomware o minacciando di diffondere dati riservati se non ottengono un riscatto. Un 17% è attribuibile a spionaggio industriale o sabotaggio, un 6% all’hacktivismo (attacchi dimostrativi per scopi politici, non con l’intento di creare danni) e un 7% all’information warfare. Una percentuale quest’ultima che potrebbe apparire marginale e poco significativa, ma sulla quale Pennasilico concentra l’attenzione, dato che l’incremento registrato negli ultimi anni di questa tipologia di attacchi è elevato ed è “probabilmente riconducibile al conflitto in Ucraina”. Un altro aspetto che merita una riflessione è l’elevata percentuale di attacchi veicolati tramite malware, anche questi in rapida crescita nel settore dell’energia. Un dato che, secondo il ricercatore, dovrebbe spingere a riflettere su come reagire
La situazione secondo da A2A
Che il trend degli attacchi al settore sia in crescita lo conferma anche Alessandro Manfredini, presidente di Aipsa (Associazione italiana professionisti security aziendale) e direttore della cybersecurity di A2A. Un dato che non stupisce più di tanto secondo il dirigente, che spiega come la veloce trasformazione digitale che sta travolgendo il settore ha inevitabilmente incrementato il rischio. Questi sistemi storicamente sono concepiti per essere air gapped, fisicamente separati dalle reti IT, e per violarli era fisicamente necessario accedere agli ambienti che li ospitavano. Oggi, con l’interconnessione, sono raggiungibili anche da remoto.
Un problema che sottolinea Manfredini è la peculiarità del settore, caratterizzato da «grandi organizzazioni che hanno un livello di maturità [digitale] più elevato e tante piccole realtà, assimilabili alle Pmi italiane, che non hanno ancora quella capacità reattiva e preventiva in ambito cybersecurity».
Lo scenario però non è drastico come può apparire: è vero che bisogna intensificare gli sforzi per proteggere queste infrastrutture, ma insieme al numero degli attacchi cresce anche la consapevolezza, in parte spinta anche dalle normative governative, come la Nis, che verrà a breve sostituita dalla Nis 2. «Oggi siamo molto curiosi di vedere cosa sarà indicato nella legge di recepimento della Nis 2 che oltre ad allargare il perimetro dei soggetti coinvolti». Fra questi la rete di teleriscaldamento, che non era coinvolta dalla Nis 1, così come la gestione dei rifiuti. «Sarà importante capire come indicherà le soglie di riferimento il legislatore italiano». Ma nel frattempo, cosa è necessario fare? «L’approccio alla cybersecurity deve cambiare seguendo un’impostazione partecipata. Non possono essere in pochi a dover gestire la sicurezza, che deve essere partecipata a tutti i livelli tramite un ecosistema che mette insieme aziende, cittadini, istituzioni e chi fa formazione».
Cosa cambierà con Nis 2?
Il tema della normativa Nis 2 è fondamentale, come specifica Simonetta Sabatino, head of cyber security & workplace management di Saras. Perché «amplia i settori e le imprese coinvolte. Ma cambia anche gli adempimenti, gli obblighi di notifica e le tempistiche di notifica». E in qualche maniera si estende anche alle Pmi, precedentemente non coinvolte dalla norma, in quanto le grandi aziende dovranno garantire la sicurezza anche della propria supply chain. Di conseguenza, pur non direttamente impattate, le piccole imprese che erogano servizi ai big del settore dovranno garantire un certo livello di sicurezza. Secondo la Sabatino, saranno quindi le realtà più strutturate del settore Energy & Utilities a vigilare e a formare le aziende che operano nella propria filiera. La Nis 2 introduce inoltre un concetto di co-responsabilità: se una realtà che rientra fra quelle per cui su applicherà la nuova norma subirà una violazione dovuto ad un anello debole della sua catena di approvvigionamento, non potrà scaricare le colpe su quest’ultima, ma dovrà assumersi parte delle responsabilità.
Semplificare il linguaggio, per farsi capire anche dal board
«Cybersecurity significa garantire la continuità operativa di un business», spiega Alessandro Menna, chief security officer di Italgas e membro advisory board di Enisa, l’agenzia UE per la cybersecurity. Secondo Menna, oggi la minaccia è ibrida: può verificarsi nel cyber o a livello fisico. Un attacco può essere coordinato sui due vettori. «Per questo il nostro approccio è basato su una sicurezza integrata dei tre domini: cyber (threat intelligence e gestione della sicurezza tramite SOC), sicurezza fisica (videosorveglianza, antriintrusione, controllo accessi), e informativo». Il ruolo di Enisa è quello di advisor, supportare le aziende nei momenti di crisi. E facendolo usando un linguaggio che possa essere compreso non solo dai tecnici, anche dai dirigenti, così da semplificare il processo decisionale in quei momenti in cui le scelte vanno prese con estrema rapidità. Un esempio concreto arriva dall’app che Italgas distribuisce ai suoi dipendenti: uno strumento che invia sui loro dispositivi degli alert, così da aiutarli ad agire nel migliore dei modi e gli permette di entrare direttamente in contatto col il Soc (il security operation center) in caso di difficoltà.
Il tema di semplificare il linguaggio e spostare il tema della sicurezza informatica dagli esperti a tutte le funzioni aziendali è caro anche a Massimo Cottafavi, global security & cyber defence dpt., head of cyber security & resilience di Snam. «Dobbiamo fare simulazioni di sicurezza agli esperti, ma dobbiamo anche fare simulazioni che escano dalle dinamiche degli esperti e si calino nell’esperienza del business», spiega Cottafavi, introducendo l’iniziativa introdotta da Snam da un paio di anni a questa parte. Nelle simulazioni di cybersicurezza operate dall’azienda vengono coinvolti sia i tecnici informatici sia le altre funzioni di business si parte da un problema tecnico, come può essere la perdita di controllo del dispacciamento, per investigare come reagiscono tutte le persone coinvolte. Gli addetti ai lavori ovviamente si concentreranno sulla risoluzione del problema tecnico, ma alle altre funzioni (spesso ignare si tratti di una simulazione) viene chiesto di proseguire le loro attività quotidiane ma in modalità alternativa, senza quindi adoperare tutti gli strumenti digitali a cui sono abituati e che danno per scontati. «Quello che notiamo è che queste procedure alternative sono sempre meno scontate. Magari se le ricorda chi ha i capelli bianchi, perché era l’unico modo in cui si poteva lavorare, ma i giovani, cresciuti con lo strumento digitale, non le conoscono a fondo».
Il concetto di Ciso as a Service
Un tema che è emerso durante la discussione è l’opportunità di affidarsi a servizi di Ciso as a Service. Sulla carta, è un approccio che può avere dei vantaggi, perché consente anche alle realtà con meno budget a disposizione di potersi affidare a professionisti della sicurezza, anche se esterni. Si crea però un problema di responsabilità perché, come spiega Simonetta Sabatino, head of cyber security & workplace management di Saras, «l’accountability non è delegabile». Secondo Sabatino, va benissimo che esperti esterni supportino le imprese anche su temi delicati come la sicurezza informatica, ma solo a patto che la responsabilità rimanga a capo dell’azienda. Una visione condivisa da Mattia Sica, direttore del servizio reti dell’energia di Utilitalia: «ritengo sia naturale che un soggetto esterno collabori con l’impresa, a patto che non sia il responsabile unico. Questo modello di Ciso as a Service potrà essere diffuso se ci rendiamo conto che il mondo delle utility è interconnesso e che l’impatto può essere grave».
Più scettico Cottafavi, che sottolinea come «dobbiamo metterci d’accordo su cosa è un CISO esattamente. Alcuni fanno solo network security, alcuni sono governance, altri reputation, altri ancora fanno tutto. Di conseguenza, il Ciso deve essere resposanibile della sicurezza dell’azienda. E accedere a informazioni estremamente riservate. Non po’ non essere responsabile, fatte queste premesse».
Al contrario, Pennasilico che vede nel concetto di Ciso as a Service un’opportunità di migliorare la postura di sicurezza di molte realtà. Perché, spiega il membro del Cts Clusit, «c’è un problema di aziende che mai si sono occupate di sicurezza e che oggi sono obbligate dalle norme». Se mancano le competenze, e magari anche il budget, come possono queste imprese riuscire a mettere al sicuro le loro infrastrutture? Anche per questo motivo il Clusit spinge per imporre, negli ambienti dove ha senso, l’obbligo di avere un Ciso. Del resto, se è stato imposto l’obbligo di un Dpo (il responsabile del trattamento dei dati), perché non applicare l’idea anche a un altro ambito di certo non meno importante? L’importante è che «il modello sia quello della responsabilità condivisa».
La sicurezza nel mondo Healthcare
Una seconda tavola rotonda verticale organizzata da Clusit era incentrata sul settore della sanità, che rappresenta l’11% di tutti gli incidenti rilevati. La maggior parte degli incidenti si sono verificati negli Usa, ma il motivo non è necessariamente legato a una maggior debolezza, o appetibilità, delle realtà statunitensi: semplicemente «ci sono da più tempo leggi sulla disclosure», spiega Sofia Scozzari, membro del comitato tecnico di Clusit.
Come già visto per il settore Energy & Utility, anche nel settore sanitario gli attacchi sono caratterizzati da una severità elevata: il 71% ha un impatto grave o critico, mentre solo un 29% è considerato di gravità media. Un trend che si riflette anche nel primo trimestre del 2023. Attacchi che per il 99,7% dei casi sono legati al cybercrime, quindi ad attori che cercano di estorcere denaro alle vittime. La piccola percentuale restante, riferendosi al 2022, è caratterizzata da attacchi con scopi di sabotaggio o spionaggio. Questo lo spaccato del 2022. Nel Q1 del 2023, invece, il cybercrime ha rappresentato il 97% degli attacchi, e il rimanente 3% è attribuibile ad azioni di hacktivismo.
La situazione, a ben vedere, non è così differente da quella del settore industriale, dove l’interconnessione della rete OT a quella IT ha aumentato la possibilità di incidenti informatici. La differenza è che invece di esserci macchine utensili, la “rete OT” in ambit medico è rappresentata dai dispositivi medicali, «tecnologie che, per come sono state concepite, non vengono regolarmente aggiornate dai fabbricanti», spiega Mario Lugli, di azienda ospedaliero universitaria di Modena e membro del Comitato ct di Aiic, l’Associazione Italiana Ingegneri Clinici. «Però sempre più viene chiesto che queste apparecchiature portino dati e informazioni a diversi livelli, per diversi scopi. I dati devono uscire dalle apparecchiature ed entrare in una rete, una rete non solo medicale, ma verso altri sistemi, per molteplici usi. Ed è qui che nascono i problemi di sicurezza». Secondo Lugli è importante che si ampli il discorso di sicurezza di questi macchinari non solo nei confronti del paziente (intesa come sicurezza fisica), ma anche dei suoi dati personali.
Perché le informazioni dei pazienti alla fine vengono maneggiate da diversi strumenti, come piattaforme di analytics e di intelligenza artificiale. «Il dato viene impacchettato, chiuso e inviato all’esterno, e questo apre a vulnerabilità ancora più pericolose», afferma Andrea Provini, presidente di Aused. Che sottolinea anche un altro problema: i medici sono persone che hanno a che fare direttamente con i cittadini, e utilizzano tecnologie “semplici” per scambiare dati, chiavette Usb incluse. Fatto che rende più difficile proteggersi dal malware rispetto a chi opera all’interno di aziende. Un tema che non va sottovalutato, soprattutto in ottica futura: si stanno facendo passi avanti verso la telemedicina, ma questo aumenterà la complessità e i pericoli in quanto il perimetro di sicurezza si amplierà a dismisura.
La gestione del rischio nel settore sanitario
«Al contrario del mondo dell’industria, la sanità è per sua natura aperta. Dobbiamo fidarci del paziente. E questo ci espone agli attacchi», dice Alberto Ronchi dell’Istituto Auxologico Italiano e presidente di Aisis. Un tema non secondario: se nel mondo dell’industria in generale, ma anche in altri ambiti, le imprese sono estremamente gelose dei loro dati, nel mondo sanitario è fondamentale che questi circolino, arrivino al paziente, ma anche ad altri ricercatori del settore. E, di conseguenza, è estremamente più difficile mantenerne il controllo.
Secondo Ronchi, è anche per questo motivo che negli Usa il settore sanitario è più colpito: da una parte, come già detto, per gli obblighi di disclosure in vigore da più tempo, ma anche perché la sanità statunitense è molto più digitalizzata rispetto a quella di altri Paesi. Ronchi apre anche un tema chiave per il settore: quando si parla di sanità, è naturale che l’attenzione sia incentrata sul paziente e, di conseguenza «se un dirigente sanitario ha un budget da mezzo milione, è più probabile che lo investa su una nuova macchina per la Tac, sceglierà quest’ultima».
Questo è un tipico problema di risk management: come trovare un bilanciamento fra le esigenze del paziente e quelle di sicurezza informatica? Per questo, secondo Alberino Battagliola, Tesoriere di Anra, l’Associazione nazionale dei risk manager e responsabili assicurazioni aziendali, «è necessario diffondere una cultura della gestione del rischio anche nell’ambito sanitario».
Dobbiamo “chiudere” i sistemi informatici sanitari?
Il quadro che emerge dal rapporto e dalle testimonianze dei professionisti del settore è chiaro: i sistemi informatici devono essere sempre più aperti, per facilitare la condivisione, ma allo stesso tempo questa maggiore apertura apre a maggiori rischi. E risulta anche molto difficile decidere come allocare il budget, perché dover scegliere fra un nuovo macchinario medicale e una soluzione di sicurezza è un dilemma non banale per un responsabile sanitario, soprattutto dal punto di vista etico.
Come uscirne? Una provocazione, ma nemmeno troppo, arriva da Provini: «se c’è la consapevolezza che alcuni dati sono veramente critici, l’isolamento è l’unica via». Niente dati in rete, niente condivisioni, insomma, ma dati solo accessibili alle persone autorizzate, che devono essere fisicamente presenti. Come, del resto, si fa coi backup: per evitare che possano essere colpiti da ransomware, le aziende che mettono la sicurezza al primo posto hanno sempre almeno una copia offline, su nastro, accessibile solo fisicamente. Che è quello che Provini fa al Centro diagnostico italiano. Proprio per un tema di risk management: dove non si può garantire la sicurezza, per problemi di budget o altri motivi, questa è la soluzione più sicura.
