Conferenza CSE

Cyber security, tema fondamentale ma ancora sottovalutato

130

Marco Conflitti, Head of Cyber Security BDS Italy Atos, ci ha illustrato le soluzioni messe in campo dalla sua azienda per garantire la sicurezza dei dati, un concetto purtroppo non ancora del tutto assimilato e non solo nel mondo energy e utility

di Mauro Bozzola

 

La cyber security è un aspetto ormai pervasivo in tutti i settori e una sempre maggiore sensibilità dovrebbe riguardare il mondo delle infrastrutture. In tal senso estrema attenzione dovrebbe essere rivolta ai temi dell’energia e della pubblica utilità. 

Come sempre quando si parla di cyber security, il panorama è abbastanza variegato. Vi sono aziende, specialmente i grandi players, che sono sensibili e hanno organizzato e indirizzato i temi della sicurezza quasi sempre nella giusta direzione, in alcuni casi addirittura giocando un ruolo di trendsetter nel panorama dell’ICT italiano. Parliamo di grandi brand che da sempre hanno sposato il tema della sicurezza con l’utilizzodelle nuove tecnologie. Per quanto riguarda invece aziende di minori dimensioni, a mio avviso vi sono ancora molti aspetti da mettere a punto, non tanto in termini di consapevolezza dei rischi e delle minacce, ma in relazione alla capacità di affrontare progetti strutturali e innovativi in termini di cyber protezione. Mi rendo conto di come si vada ad affrontare un tema molto complesso, che non si limita a un aspetto puramente tecnologico, ma va a interessare anche un ambito strettamente procedurale che quindi presuppone un cambiamento. Aziende di una certa estrazione non sono pronte a un change management così profondo, mancando molto spesso la capacità di affrontare adeguatamente certe tematiche come quella della sicurezza cibernetica. 

 

Dunque svolgete un ruolo anche di informazione proprio perché il cambiamento che va affrontato ormai è più di natura culturale che tecnologica. Pensi che vada fatta una riflessione anche per quanto riguarda il bilancio costi/benefici di tali innovazioni?

Ovviamente la tematica dell’awareness è molto rilevante, su di essa ormai da tempo ci stiamo attivando con innumerevoli strumenti proprio per riuscire a passare messaggi forti nei confronti dei management riguardo i rischi legati alla sicurezza. Mi piace ricordare un’esperienza realizzata in Francia; un progetto che ha messo in campo un livello di sicurezza importante per un grosso cliente, per la distribuzione del gas su tutto il territorio francese. L’aspetto interessante è che, oltre ad aver raggiunto gli standard di sicurezza richiesti, abbiamo creato un ecosistema virtuoso anche dal punto di vista del business: l’azienda, infatti, aveva la necessità di mettere in sicurezza gli smart meter disseminati presso le utenze più periferiche. Il tema principale era dunque quello della sicurezza nel processo di scambio dei dati fra il contatore e i primi nodi intelligenti della rete, ma anche quello di un’identificazione degli operatori dell’azienda che andavano a configurare questi dispositivi. È stata quindi implementata un’infrastruttura nella quale venivano generate chiavi di sicurezza cablate all’interno dei firmware di smart meter e tablet che gli operatori utilizzavano per queste operazioni, creando una relazione di trust tra la rete e lo stesso contatore. Questa operazione ha consentito a tutti i produttori di smart meter interessati di collaborare e di fornire i propri prodotti, di entrare a far parte di questa community con la possibilità di vedersi assegnare un set di chiavi disponibili per essere cablate all’interno dei dispositivi. Questa esperienza ha creato un ecosistema che ruota all’interno di una catena del valore, con da un lato i fornitori di sensoristica che hanno deciso di aderire a questo programma ed essere di conseguenza selezionati come preferred supplier, dall’altra il cliente che naturalmente si sente più tutelato e vede semplificati i processi di integrazione per quanto attine la sicurezza . 

 

Hai toccato uno dei temi a noi molto cari, ovvero quello degli smart meter trasversale a più ambiti, pensiamo all’energia, all’acqua, al gas. Altro tema a cui è stato fatto cenno è quello della vendita di energia; assieme al prodotto, potrà essere venduta anche la componentistica intelligente che ovviamente dovrà essere caratterizzata da un elevato grado di sicurezza. Per quanto riguarda i protocolli di comunicazione di questi apparecchi il vostro contributo legato alla cyber security è in continua evoluzione e va a calarsi su frequenze e linguaggi che non sono ancora perfettamente definiti…

Il vero problema è che, da quando si è cominciato a parlare di ICT applicata al mondo dell’IoT, si sono aperte diverse possibilità anche se va detto che in questi ambiti le aziende si sono sempre rivelate molto ermetiche e resistenti ai cambiamenti. Molto spesso l’obsolescenza di alcuni sistemi utilizzati da diverse realtà aziendali ha reso molto difficile effettuare interventi di manutenzione ordinaria. Questo per dire che non è semplice inserirsi in ambiti caratterizzati dalla coesistenza di molteplici linguaggi e protocolli, in continua evoluzione. Le tecnologie sul mercato ci sono; la messa in sicurezza delle reti dipende poi dalla volontà e dalla capacità, soprattutto economica, delle aziende. E sarà quella la principale discriminante in tal senso. 

 

Ritieni che sussista allo stato attuale il rischio di un attacco ai dati nel settore idrico. Credi che si debba tenere la soglia d’attenzione alta?

Penso proprio di sì. Posso affermare che, in generale, la percezione del rischio c’è, ma non si assesta assolutamente a un livello adeguato. Senza scadere in semplici allarmismi, mi pare chiaro come un acquedotto, piuttosto che un elettrodotto, siano strutture di per sé facilmente attaccabili – con le gravi conseguenze che ne deriverebbero – in quanto ritengo che al momento non siano dotate delle strumentazioni di sicurezza adeguate. A questo proposito sono stati istituiti dei programmi a livello europeo, proprio per istruire le aziende sui potenziali rischi a cui queste strutture strategiche sono attualmente esposte. 

La nostra azienda è in grado di proporre un tipo di offerta fortemente indirizzata alla sicurezza nel mondo istituzionale e lavoriamo da anni con soggetti preposti alla sicurezza nazionale: solo per fare un esempio, forniamo tutta la tecnologia necessaria per la gestione delle emergenze, dalla gestione della chiamata in cui si segnala un problema, alla chiusura dell’emergenza. Un altro esempio riguarda la nostra tecnologia per il controllo dei documenti elettronici di viaggio, adottata da alcuni Paesi EU. 

In ambito cyber security forniamo sia prodotti che servizi. In particolare, per quanto riguarda i servizi professionali adottiamo un modello misto in cui alcuni  servizi vengono erogati con decisa prevalenza di risorse locali, mentre altri servizi vengono realizzati con il coinvolgimento di risorse appartenenti ai nostri team Globali,secondo un modello che noi chiamiamo near shore. Nella prima famiglia rientrano tutti i servizi relativi alla sicurezza consulenziale, quindi parliamo di Governance della sicurezza, di tematiche di compliance verso quadri normativi, direttive o framework specifici (es gpdr) e tutte le tematiche legate al risk management, insieme ai servizi di sicurezza più classici che forniamo ai nostri clienti; l’altra famiglia di servizi, a cui tengo molto, è quella dei Manager Security Service (MSS) ovvero dei servizi che vengono erogati con il supporto dei nostri super esperti dislocati presso I Global Delivery Center di AtosSi tratta tipicamente di servizi legati al monitoraggio del perimetro di sicurezza dei nostri clienti. A questi agganciamo anche servizi di Security Intelligence, mediante i quali raccogliamo e analizziamo i feed e le minacce provenienti da varie fonti e che si manifestano su scala mondiale, aiutati in ciò dalla collaborazione con provider internazionali. Filtrando queste segnalazioni in funzione  dei settori operativi del nostro cliente e applichiamo successivamente dei filtri in base alle esigenze e ai. Riusciamo ad essere efficaci nella predicibilità di potenziali minacce e a reagire agli attacchi in modalità automatizzata, se del caso ovviamente.

 

Lascia una risposta

L'indirizzo email non verrà pubblicato.