Attacchi informatici. I rischi per le aziende moltiplicati dall’introduzione del lavoro agile?

Attacchi informatici. I rischi per le aziende moltiplicati dal lavoro agile?

Cyber Security e Utility. Indispensabile una visione integrata dei processi. Se parli di digitalizzazione allora sicurezza e affidabilità devono entrare in ogni singolo componente

 

Antonio Ieranò, Security, Data Protection, Privacy Expert

Ha collaborato Emanuele Martinelli, CEO Energia Media

 

Si parla in questo periodo di accelerazione nei processi di digitalizzazione che hanno contraddistinto una serie di comparti, compreso quello delle utility. Si tratta di una considerazione che non mi trova del tutto d’accordo; in realtà ritengo si siano implementate interfacce digitali su processi analogici, siano stati inseriti componenti digitali all’interno di alcuni sistemi a rete ma questo non significa aver mutato paradigma a favore di una reale trasformazione digitale. In questo contesto le questioni legate alla cyber security e quindi all’efficienza delle reti non possono esser affrontate compiutamente; perché non è l’interfaccia o la VPN che caratterizzano la digitalizzazione di un sistema ma la riorganizzazione dei processi. Sempre più ci troviamo di fronte a questo problema; certamente la pandemia ha accelerato l’adozione di componenti digitali ma non accelerato la digitalizzazione.

Si tratta di due peculiarità profondamente diverse. Se vogliamo parlare di digitalizzazione andremo a considerare il processo completo e non l’ultimo step, che magari riguarda solo l’interfaccia per il lavoro da remoto. La digitalizzazione richiede cambi funzionali che prendano in considerazione tutto l’ambito che si sta affrontando. Non basta una VPN che colleghi un framework preesistente, non disegnato né pensato con una visione d’insieme.

Per esempio, l’attacco di hacker entrati nel sistema idrico di Oldsmar in Florida aumentando i livelli di una sostanza usata nel trattamento dell’acqua è frutto del fatto che si siano appunto digitalizzati solo alcuni componenti della rete, replicando nella progettazione un sistema analogico.

Se parli di digitalizzazione allora sicurezza e affidabilità devono entrare in ogni singolo componente. Da questo punto di vista, dato che le utility utilizzano risorse assolutamente indispensabili per la sopravvivenza e lo sviluppo delle comunità, devono iniziare a ragionare sulla digitalizzazione non come mera inserzione di oggetti digitali ma come ridisegno dei processi funzionali che determineranno infrastrutture sicure.

Anche un processo digitale ben costruito avrà sempre dei punti di debolezza ma una corretta analisi di quello che sto costruendo e dell’impatto digitale mi consentirà di individuare e avere consapevolezza delle aree di rischio. Alcune componenti devono fare parte direttamente della cultura della digitalizzazione; la gestione del rischio digitale è diversa dalla gestione del rischio fisico, analogico, perché si parte da assunti diversi che portano a conseguenze diverse secondo metriche e misurazioni diverse; e che portano dunque con sé contromisure diverse. Non potrò utilizzare le metriche di valutazione del rischio derivate da un mondo analogico dopo che ho inserito una serie di componenti digitali; avrò semplicemente cambiato un meter senza comprenderne del tutto le conseguenze, sia in termini positivi che negativi. Vero è che nessuno può pensare di costruire un meccanismo che sia inviolabile ma se l’approccio guarda al disegno complessivo di un progetto, di un flusso, di una procedura, qualunque cosa si andrà a inserire potrà essere soggetto a revisione continua. Cambiano le condizioni al contorno, cambiano le tecnologie e cambiano i tipi di attacco; il grosso vincolo culturale in questo momento – che riguarda non solo le utility – è legato a due aspetti: seguire pedissequamente le regole non basta più, serve prevedere le variabili che sempre più si susseguono (pensiamo al rapporto tra settore idrico e cambiamenti climatici per esempio);  monitoraggio e analisi dei trend, predittività mi consentono di agire in modo proattivo prima che il problema si presenti. Analizzare il processo nel suo divenire e conoscere le conseguenze del cambio di condizioni al contorno con un progetto di reale digitalizzazione è possibile senza stravolgere organizzazioni e con budget sostenibili.

Ricordando che oggi il cyber crime è una delle fonti principali di redditività per la criminalità organizzata; questo vuol dire che vengono investiti budget importanti da parte di chi delinque perché le ricadute economiche immediate sono enormi.

È dunque necessario reagire sapendo quello che succede quando il nemico è serio e preparato; serve costruire processi virtuosi che abbatteranno i rischi e aumenteranno l’efficienza di scala.

Qualche anno fa scrissi che subire un attacco ransomware era una “fortuna” perché consentiva di comprendere in tempi rapidi il valore dei dati che si avevano in casa; e che una progettazione ben fatta grazie a audit adeguati e cicli di revisione ben fatti, nel medio periodo avrebbe causato un abbattimento dei costi. Era un paradosso certo ma volevo dire che allocare le risorse in maniera coerente con quello che sei in grado di prevedere per i prossimi 3 anni è un obbligo anche in termini di sicurezza, posto il fatto che dovrebbe essere la base di qualsiasi attività amministrativa e imprenditoriale.

Teniamo anche conto che il quadro legislativo sta mutando; gli indirizzi giurisprudenziali, l’approccio dell’apparato rispetto all’esposizione alle problematiche di tipo digitale dice chiaramente che quello che prima era concesso ora non lo è più.

Tutto questo non comporta grandi rivoluzioni all’interno delle organizzazioni aziendali, ma è molto importante che un CEO o un CFO preposti a guidare un’impresa abbiano piena consapevolezza dei problemi; il compito dell’informatico è costruire la struttura ma chi sta a capo di un’azienda deve essere in grado di riequilibrare i processi interni e di valutare il peso politico degli investimenti.

Ci sono settori più evoluti, come quello dell’energy, che ha goduto dell’esperienza e degli investimenti di grandi aziende con dimensione internazionale, come Eni, Enel, Snam o Terna. In Enel per esempio il remote working dovuto alla pandemia non ha stravolto le abitudini dei propri manager o tecnici perché molti dei processi erano già stati ridisegnati per la digitalizzazione, per la smaterializzazione della carta, per ottimizzare i flussi di comunicazione. Anche Enel è stato attaccata di recente ma il punto non è evitare di essere attaccati ma quale sia il grado di resilienza e quali misure si sia in grado di applicare a fronte dell’attacco.

Quando capita conosco esattamente la natura del problema? Metto velocemente in moto una serie di processi che mi aiutino a non perdere competitività?

La capacità strategica delle utility passa anche dalla scelta di costruire interfacce sempre più digitali per dialogare con i cittadini, per erogare servizi avanzati gestendo dati rilevati da smart meter per esempio che forniscano dati certi dei consumi.

Al tempo stesso quando si parla di Smart City o Smart Land, di cui le utility sono gli artefici principali, ragionare sul processo vuol dire darsi delle regole comuni secondo indirizzi politici chiari, per poter affrontare in maniera solida la necessaria in interoperabilità che serve a garantire per esempio livelli di resilienza adeguati. Un sistema ben disegnato che consenta l’acquisizione, la comunicazione e il trasferimento di dati con una necessaria interoperabilità consente di ottimizzare velocemente anche gli investimenti in sicurezza. In un mondo sempre più interconnesso con un continuo scambio tra realtà diverse (energia, mobilità, lighting) pare logico cercare un coordinamento complessivo con gli attori che insistono su un territorio o un tessuto urbano.  Non è lontano il tempo in cui i semafori per esempio, per agire in maniera intelligente parleranno con le autovetture, attraverso sistemi che dovranno a loro volta dialogare tra città a livello nazionale con l’utente. Sviluppare un livello di conoscenze comuni significa ragionare di sicurezza secondo una visione integrata anche per mantenere la qualità del servizio che si sta offrendo durante eventuali mutazioni che inevitabilmente si verificheranno. Se offri accesso alla risorsa idrica integrando le reti di più territori avrai disegnato un sistema virtuoso e sicuro perché progettato secondo criteri che terranno conto di tutte le problematiche, con il forte e decisivo supporto di sistemi digitali sicuri.

 

Articolo ripreso da Servizi&Società 1/2021

Al link la rivista completa: https://www.confservizilombardia.it/wp-content/uploads/2021/03/ServizieSocieta_1_2021_EXE_WEB.pdf

Print Friendly, PDF & Email