Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

sicurezza

Industry 4.0 e Cybersecurity: perché non possiamo permetterci di considerarle separate

di Paolo Prinetto Politecnico di Torino, presidente del CINI: Consorzio Interuniversitario Nazionale per l’Informatica

31 Gen 2017

31 gennaio 2017

L’Italia corre verso l’industry 4.0 ma sottovaluta la sicurezza informatica. Così esponiamo le aziende e il sistema Paese a rischi straordinari. Vediamoli

Due temi sono oggi particolarmente caldi in Italia nel dibattito tra gli addetti ai lavori: Industry 4.0 e Cybersecurity.

Vorrei qui riprendere alcuni concetti emersi sia su queste stesse colonne sia in recenti convegni, da ITASEC17 (Ca’ Foscari a Venezia) al Convegno Industry 4.0 (Camera dei Deputati) organizzato da Digital360, per ribadire con forza la strettissima connessione che deve esserci tra i due ambiti e soprattutto come, senza la Cybersecurity, il piano Industry 4.0 possa rischiare non solo di non portare gli effetti da tutti auspicati, ma addirittura di rivelarsi un boomerang sia per le singole realtà coinvolte sia, purtroppo, per l’intero sistema paese.

È assodato che Industry 4.0 dovrà significare innovazione di processo, di prodotto, di servizi, di gestione, con impatti significativi sugli impianti, sui prodotti, sulle informazioni e ovviamente, non ultimo, sulle persone. Tutto questo sarà incentrato e reso possibile grazie alla pervasività delle tecnologie ICT e a quello che è ormai comunemente chiamato il cyberspazio. Cyberspazio che, come ricordava il Prof. Roberto Baldoni nel suo articolo sul Sole24Ore di domenica scorsa, “è la cosa più complessa e articolata che l’uomo abbia mai concepito, unione di migliaia di reti dati e di stratificazioni di software che interconnettono uomini e cose in giro per il mondo”.

Una delle conseguenze auspicate di Industry 4.0 sarà l’estensione al mondo manifatturiero (e non solo) di quello status di Always-on che ciascuno di noi sta già sperimentando a livello individuale, vale a dire lo status del tutto connesso, sempre. Le tecnologie abilitanti includono, ovviamente Cloud, Banda larga e Ultralarga, Big Data, Robot, Droni, Intelligenza Artificiale, e, specialmente per Industry 4.0, Internet of Things (IoT), ovunque.

Qui il primo warning: tutte queste tecnologie e, in particolare la IoT, hanno già di fatto incrementato a dismisura e incrementeranno sempre di più quella che gli esperti chiamano la superficie attacco, vale a dire le opportunità di sferrare attacchi malevoli e devastanti da parte di cyber criminali, siano essi individui singoli, organizzazioni criminali o stati sovrani più o meno “vicini”.

È importante notare come, dal punto di vista aziendale, i rischi siano di diverso tipo.

Innanzitutto il “tutto connesso, sempre” significa, in pratica, “più porte e più finestre” verso il mondo esterno. La conseguenza diretta è un significativo aumento del rischio che gli attaccanti riescano, a costi ridotti, a sottrarre informazioni, dati e know-how fondamentali per le aziende.

Al riguardo, non commettiamo il tragico errore di pensare che il problema non ci riguardi perché abbiamo installato l’ultimo antivirus su tutti i nostri PC e quindi siamo protetti… Alcune domande, volutamente provocatorie:

Quali strumenti di protezione hai sullo smartphone con cui ti connetti al sistema informativo aziendale?

Chi ti ha scritto il Software, chi ti ha fornito il Sistema Operativo e tutta la tool Chain che usi per sviluppare i tuoi prodotti e le tue applicazioni aziendali?

Dove hai comprato i server che usi in fabbrica e l’hardware (sistemi, schede, componenti, sensori, attuatori) che monti nei tuoi prodotti?

Progetti in casa l’Hardware di cui hai bisogno? Bene, ma chi te lo costruisce? Se usi FPGA, da chi compri gli IP-core che utilizzi? Chi ti ha fornito l’ambiente di supporto al progetto e il sistema di sintesi automatica che impieghi?

Vi è poi un altro rischio indubbiamente meno evidente, ma altrettanto reale e con effetti potenzialmente altrettanto devastanti: che i nostri sistemi informativi e soprattutto i nostri prodotti, se non adeguatamente progettati, vengano utilizzati dagli attaccanti come “basi di appoggio” e “porti” da cui partire per sferrare attacchi devastanti verso altri. Per molte aziende questo sarebbe la fine: il nostro prodotto era “mal progettato”; il suo impiego ha danneggiato in qualche modo i nostri clienti e ora siamo chiamati a pagarne i danni e a subirne le conseguenze in termini di immagine e di quote di mercato.

Il terzo rischio che mi preme qui evidenziare è la mancanza di sensibilità al problema della sicurezza cyber.  Come insegna la Social Engineering, la componente umana, il cosiddetto Man-in-the-middle è l’anello debole della catena e una delle porte di accesso più facili e meno costose da utilizzare da parte di un attaccante malevolo.

Vorrei evidenziare, in chiusura, alcune linee di azione che considero assolutamente ineludibili, in tre ambiti diversi: manifatturiero, accademico e politico-governativo.

A livello manifatturiero occorre agire con urgenza per:

Aumentare significativamente il livello di awareness a tutti i livelli, dai CEO ai membri del CdA, dai CTO ai tecnici e a TUTTI gli addetti;

Valutare nel dettaglio il rischio cyber, anche attraverso l’adozione del Framework Nazionale messo a punto dal Lab. Naz Cybersecurity del CINI sulla base di quello predisposto negli USA dal NIST;

Mettere in atto tutte le azioni e le contromisure necessarie.

A livello del mondo accademico occorre fare ogni sforzo per aumentare la workforce in ambito cyber, in quanto la mancanza di esperti nel settore sarà sempre di più un danno potenziale per il paese. La componente accademica è quindi oggi chiamata a fare la propria parte attraverso azioni diversificate, che vanno dalle cyberchallenge distribuite su tutto il territorio nazionale a master specialistici di primo e secondo livello, ma soprattutto all’attivazione di nuovi corsi di laurea magistrale per esperti cyber, caratterizzati, al contempo, da una approfondita competenza tecnologica e da una spiccata cultura multidisciplinare. Al riguardo è auspicabile la definizione di un Body of knowledge a livello nazionale.

A livello politico e governativo, pur riconoscendo che in ambito cyber in Italia non siamo all’anno zero, per evitare che nel futuro immediato il paese finisca nel novero delle nazioni “non adeguatamente cyber-dotate”, occorre avviare senza indugio una significativa campagna di investimenti. A livello pratico, si devono mettere in atto tutte le azioni necessarie per la creazione di un “ecosistema cyber nazionale”, caratterizzato da alcune organizzazioni di dimensioni adeguate, in termini di personale e competenze, inserite sia nel settore pubblico sia in quello privato, con una stretta collaborazione tra settore della ricerca, settore industriale e settore governativo. Al riguardo continuo a essere personalmente convinto che occorra arrivare quanto prima all’attivazione di un MITRE italiano, con alcune sezioni “for Italian eyes, only”, per la creazione, tra l’altro, e a mero titolo di esempio, di un Cloud nazionale.

A livello generale occorre poi assolutamente alzare, e di molto, il livello di awareness, di sensibilità sul problema cybersecurity presso il grande pubblico: prima avviamo sul tema una seria campagna tipo “Pubblicità Progresso” meglio sarà per il sistema paese.

Articoli correlati