Due temi sono oggi particolarmente caldi in Italia nel dibattito tra gli addetti ai lavori: Industry 4.0 e Cybersecurity.

Bisogna ribadire con forza la strettissima connessione che deve esserci tra i due ambiti e soprattutto come, senza la Cybersecurity, il piano Industry 4.0 possa rischiare non solo di non portare gli effetti da tutti auspicati, ma addirittura di rivelarsi un boomerang sia per le singole realtà coinvolte sia, purtroppo, per l’intero sistema paese.

Cos’è la cyber security (sicurezza informatica): una definizione

Cybersecurity è un sinonimo di sicurezza informatica, ovvero di tutte quelle tecnologie utili a proteggere un computer o un insieme di computer (sistema informatico) da attacchi che possono portare alla perdita o compromissione di dati ed informazioni.

La cybersecurity, al contrario dell’information security, dipende solo dalla tecnologia informatica. Per capire se un sistema informatico è più o meno sicuro bisogna trovare le minacce e vulnerabilità e proteggerli da eventuali attacchi.

Perché Industry 4.0 porta rischi cybersecurity

È assodato che Industry 4.0 dovrà significare innovazione di processo, di prodotto, di servizi, di gestione, con impatti significativi sugli impianti, sui prodotti, sulle informazioni e ovviamente, non ultimo, sulle persone. Tutto questo sarà incentrato e reso possibile grazie alla pervasività delle tecnologie ICT e a quello che è ormai comunemente chiamato il cyberspazio. Cyberspazio che, come ricordava il Prof. Roberto Baldoni nel suo articolo sul Sole24Ore di domenica scorsa, “è la cosa più complessa e articolata che l’uomo abbia mai concepito, unione di migliaia di reti dati e di stratificazioni di software che interconnettono uomini e cose in giro per il mondo”.

Una delle conseguenze auspicate di Industry 4.0 sarà l’estensione al mondo manifatturiero (e non solo) di quello status di Always-on che ciascuno di noi sta già sperimentando a livello individuale, vale a dire lo status del tutto connesso, sempre. Le tecnologie abilitanti includono, ovviamente Cloud, Banda larga e Ultralarga, Big Data, Robot, Droni, Intelligenza Artificiale, e, specialmente per Industry 4.0, Internet of Things (IoT), ovunque.

1. Primo rischio della cyber security

Qui il primo warning: tutte queste tecnologie e, in particolare la IoT, hanno già di fatto incrementato a dismisura e incrementeranno sempre di più quella che gli esperti chiamano la superficie attacco, vale a dire le opportunità di sferrare attacchi malevoli e devastanti da parte di cyber criminali, siano essi individui singoli, organizzazioni criminali o stati sovrani più o meno “vicini”.

È importante notare come, dal punto di vista aziendale, i rischi siano di diverso tipo.

Innanzitutto il “tutto connesso, sempre” significa, in pratica, “più porte e più finestre” verso il mondo esterno. La conseguenza diretta è un significativo aumento del rischio che gli attaccanti riescano, a costi ridotti, a sottrarre informazioni, dati e know-how fondamentali per le aziende.

Cyber security: quali domande porsi

Al riguardo, non commettiamo il tragico errore di pensare che il problema non ci riguardi perché abbiamo installato l’ultimo antivirus su tutti i nostri PC e quindi siamo protetti… Alcune domande, volutamente provocatorie:

• Quali strumenti di protezione hai sullo smartphone con cui ti connetti al sistema informativo aziendale?
• Chi ti ha scritto il Software, chi ti ha fornito il Sistema Operativo e tutta la tool Chain che usi per sviluppare i tuoi prodotti e le tue applicazioni aziendali?
• Dove hai comprato i server che usi in fabbrica e l’hardware (sistemi, schede, componenti, sensori, attuatori) che monti nei tuoi prodotti?
• Progetti in casa l’Hardware di cui hai bisogno? Bene, ma chi te lo costruisce? Se usi FPGA, da chi compri gli IP-core che utilizzi? Chi ti ha fornito l’ambiente di supporto al progetto e il sistema di sintesi automatica che impieghi?

2. Un secondo rischio della cyber security

Vi è poi un altro rischio indubbiamente meno evidente, ma altrettanto reale e con effetti potenzialmente altrettanto devastanti: che i nostri sistemi informativi e soprattutto i nostri prodotti, se non adeguatamente progettati, vengano utilizzati dagli attaccanti come “basi di appoggio” e “porti” da cui partire per sferrare attacchi devastanti verso altri. Per molte aziende questo sarebbe la fine: il nostro prodotto era “mal progettato”; il suo impiego ha danneggiato in qualche modo i nostri clienti e ora siamo chiamati a pagarne i danni e a subirne le conseguenze in termini di immagine e di quote di mercato.

3. il terzo rischio della cyber security

Il terzo rischio della cyber security che mi preme qui evidenziare è la mancanza di sensibilità al problema della sicurezza cyber.  Come insegna la Social Engineering, la componente umana, il cosiddetto Man-in-the-middle è l’anello debole della catena e una delle porte di accesso più facili e meno costose da utilizzare da parte di un attaccante malevolo.

Vorrei evidenziare, in chiusura, alcune linee di azione che considero assolutamente ineludibili, in tre ambiti diversi: manifatturiero, accademico e politico-governativo.

Che bisogna fare per la sicurezza 4.0

LEGGI SEI CONSIGLI CYBERSECURITY PER AZIENDE 4.0

La cyber security per le aziende

A livello manifatturiero occorre agire con urgenza per:

Aumentare significativamente il livello di awareness a tutti i livelli, dai CEO ai membri del CdA, dai CTO ai tecnici e a TUTTI gli addetti;

Valutare nel dettaglio il rischio cyber, anche attraverso l’adozione del Framework Nazionale messo a punto dal Lab. Naz Cybersecurity del CINI sulla base di quello predisposto negli USA dal NIST;

Mettere in atto tutte le azioni e le contromisure necessarie.

A livello del mondo accademico occorre fare ogni sforzo per aumentare la workforce in ambito cyber, in quanto la mancanza di esperti nel settore sarà sempre di più un danno potenziale per il paese. La componente accademica è quindi oggi chiamata a fare la propria parte attraverso azioni diversificate, che vanno dalle cyberchallenge distribuite su tutto il territorio nazionale a master specialistici di primo e secondo livello, ma soprattutto all’attivazione di nuovi corsi di laurea magistrale per esperti cyber, caratterizzati, al contempo, da una approfondita competenza tecnologica e da una spiccata cultura multidisciplinare. Al riguardo è auspicabile la definizione di un Body of knowledge a livello nazionale.

La cyber security a livello politico e governativo

A livello politico e governativo, pur riconoscendo che in ambito cyber in Italia non siamo all’anno zero, per evitare che nel futuro immediato il paese finisca nel novero delle nazioni “non adeguatamente cyber-dotate”, occorre avviare senza indugio una significativa campagna di investimenti. A livello pratico, si devono mettere in atto tutte le azioni necessarie per la creazione di un “ecosistema cyber nazionale”, caratterizzato da alcune organizzazioni di dimensioni adeguate, in termini di personale e competenze, inserite sia nel settore pubblico sia in quello privato, con una stretta collaborazione tra settore della ricerca, settore industriale e settore governativo. Al riguardo continuo a essere personalmente convinto che occorra arrivare quanto prima all’attivazione di un MITRE italiano, con alcune sezioni “for Italian eyes, only”, per la creazione, tra l’altro, e a mero titolo di esempio, di un Cloud nazionale.

A livello generale occorre poi assolutamente alzare, e di molto, il livello di awareness, di sensibilità sul problema cybersecurity presso il grande pubblico: prima avviamo sul tema una seria campagna tipo “Pubblicità Progresso” meglio sarà per il sistema paese.

Fonte: https://www.agendadigitale.eu/infrastrutture/industry-40-e-cybersecurity-perche-non-possiamo-permetterci-di-considerarle-separate/

Lo scorso 17 aprile alcune tra le più importanti aziende ICT del mondo (tra queste Microsoft, Cisco, HP, Oracle, Nokia e Facebook, con la notevole eccezione di Google ed Apple) hanno presentato ufficialmente il “Cybersecurity Tech Accord”.

Questa presa di posizione collettiva, forte, netta e, almeno formalmente, inedita sui temi della cyber security da parte di aziende di questa importanza ha generato molto entusiasmo, inducendo molti commentatori a parlare dell’avvento di una “nuova era” per l’ICT.

Personalmente ho un’opinione piuttosto scettica in merito all’iniziativa, che discende da una valutazione spassionata delle sue reali motivazioni e dal convincimento che, per una serie di ragioni che accennerò più sotto, al di là degli innegabili effetti positivi dal punto di vista marketing nel breve termine, essa non potrà avere ricadute particolarmente significative in termini di sicurezza per cittadini, imprese, pubbliche amministrazioni e Stati. Anzi credo che questo annuncio, esaurito il suo effetto mediatico iniziale, potrebbe rivelarsi un pericoloso boomerang per l’industria ICT nel suo complesso, dal momento che genera aspettative infondate e fa promesse assai difficili, se non impossibili, da mantenere. Di cosa si tratta dunque?

Che cos’è il Cybersecurity Tech Accord

Brad Smith, presidente di Microsoft e tra i principali promotori dell’accordo, durante la presentazione ha dichiarato “gli attacchi devastanti dello scorso anno dimostrano che la sicurezza informatica non riguarda solo ciò che una singola azienda può fare, ma anche ciò che possiamo fare tutti insieme”, per poi concludere dicendo che “questo accordo tra aziende del settore tecnologico ci aiuterà a intraprendere un percorso ispirato da principi condivisi verso la realizzazione di iniziative più efficaci per collaborare, al fine di difendere i clienti in tutto il mondo.”

Concetti senz’altro condivisibili, a prima vista. Quali sono le ragioni del mio scetticismo? Innanzitutto, una critica di carattere generale: come dicono gli anglosassoni, la definizione migliore di questo accordo è “too little, too late”, giunge infatti troppo tardi, e con contenuti del tutto insufficienti. Invece di promuovere improbabili alleanze di settore, queste aziende dovrebbero ammettere di aver sottovalutato i rischi, le conseguenze socioeconomiche e gli impatti geopolitici derivanti dalla diffusione su larghissima scala di prodotti ICT insicuri by design avvenuta negli ultimi 20 anni, e fare pubblica ammenda, assumendosene la responsabilità e pagando, almeno in parte, per i danni subiti dagli utenti finali. Ciò naturalmente non accade, ed anzi questo annuncio sembra proprio voler evitare che qualcuno chieda loro conto del pregresso nel momento in cui le problematiche “cyber” diventano mainstream e non è più possibile ignorarle, anche volendo.

I quattro principi di massima

Entrando nel dettaglio, l’accordo copre quattro aree, o meglio esprime quattro principi di massima, ai quali le aziende firmatarie si impegnano ad aderire. Vediamoli uno per uno e commentiamoli brevemente, per quanto sarebbe necessario molto più spazio per farne un’analisi approfondita.

1. Difesa più efficace: “riconoscendo che tutti meritano protezione, le aziende si impegnano a proteggere tutti i clienti a livello globale, indipendentemente dalla motivazione degli attacchi online” (ovvero, traducendo: hacktivism, cybercrime, cyber espionage e information warfare).

Questa affermazione, per quanto politically correct e rassicurante, nella pratica è inapplicabile, oltre ad essere legalmente inconsistente, quantomeno per quanto riguarda la parte relativa a cyber espionage e information warfare. Sicuramente tutti gli utenti dovrebbero essere protetti da hacktivism e cybercrime, a prescindere da dove siano geograficamente (ci mancherebbe!), ma è estremamente pericoloso mescolare a questo principio (del tutto scontato) quello della difesa da attività condotte da Stati nazionali per ragioni geopolitiche, perché si tratta di fenomeni completamente diversi, nei quali imprese private, per quanto grandi, non possono e non devono incidere né hanno, nella pratica, alcun potere decisionale (che spetta agli Esecutivi nazionali e ai Parlamenti, e va eventualmente regolata da trattati internazionali o, in loro assenza, nelle sedi internazionali opportune). È certamente vero che molti Paesi hanno, al di là dei proclami, sostanzialmente (e colpevolmente) latitato su queste questioni, e che la diplomazia internazionale è in gravissimo ritardo su questi temi, ma ciò non significa che imprese private possano sostituirsi ai soggetti istituzionali preposti, anche considerato che, di fatto, non possono opporsi a richieste puntuali da parte dei propri governi in caso di conflitto o per la difesa del così detto “interesse nazionale”. Questa confusione tra motivazioni degli attacchi, livelli e ruoli denota una notevole superficialità di pensiero, e non depone a favore della serietà dell’iniziativa.

2. No offense (potremmo tradurlo con “rifiuto ad essere complici di attacchi informatici”): le aziende non aiuteranno i governi a lanciare attacchi informatici contro cittadini e imprese innocenti e li proteggeranno contro la manomissione o lo sfruttamento dei loro prodotti e servizi in ogni fase dello sviluppo, della progettazione e della distribuzione della loro tecnologia.

Di nuovo, questo secondo principio denota grande confusione e una scarsa comprensione dei problemi. Innanzitutto, non sono queste aziende a poter decidere se “cittadini e imprese” siano “innocenti” (di cosa? di fronte a chi?), compito che spetta alla magistratura e agli enti preposti (agenzie di Intelligence, e in ultima analisi di nuovo l’Esecutivo), nell’ambito delle garanzie costituzionali di ciascun Paese e del diritto internazionale, a meno di non voler banalmente affermare l’ovvio, ovvero che tutti sono innocenti fino a prova contraria. Detto questo, sorge spontanea una domanda: perché fare ora questa dichiarazione, ci stanno forse dicendo che fino ad ora non li hanno protetti? Francamente nella migliore delle ipotesi siamo nel campo del wishful thinking: che si impegnino a proteggere i propri utenti contro la manomissione e lo sfruttamento (delle falle dei) loro prodotti è un’affermazione fortissima oltre che spericolata, perché richiederebbe di cambiare completamente il loro modello di business, rifare da zero la maggior parte dei sistemi che fanno funzionare il nostro mondo digitale, e investire cifre impensabili per riuscirci. Tutte cose che, dichiarazioni di principio a parte, non sembrano all’orizzonte.

3. Diffusione di capacità e strumenti difensivi tra gli end-user: “le aziende faranno di più per fornire strumenti adatti agli sviluppatori, ai singoli e alle imprese che utilizzano la loro tecnologia, aiutandoli a migliorare la propria capacità di protezione. Ciò può includere attività congiunte su nuove pratiche di sicurezza e nuove funzionalità che le aziende possono implementare nei loro singoli prodotti e servizi”.

Principio teoricamente encomiabile, anche qui però va ribadito che sarebbe stato meglio evitare di creare la situazione di insicurezza che si è determinata, intervenendo prima. Sarebbe costato molto meno, e ci sarebbero state molte più probabilità di riuscita, se avessero cominciato anni fa, quando c’erano già tutte le avvisaglie e i problemi avevano ancora una dimensione trattabile. Qui va fatta una considerazione scomoda, che farà storcere il naso a molti: in quale altro settore il produttore, sapendo di offrire merci intrinsecamente difettose, può farla franca dicendo che aiuterà i suoi utenti a proteggersi da tali difetti? Immaginiamo una casa automobilistica o un’industria farmaceutica che dicano “per utilizzare i nostri prodotti ci impegniamo a farvi fare (a vostre spese) un corso di guida sicura e di pronto soccorso / rianimazione, così vi proteggete da soli se qualcosa va storto”… Sarebbe considerato accettabile?

4. Azione collettiva: “le aziende faranno leva sulle relazioni esistenti e stabiliranno insieme nuove partnership formali e informali con ricercatori dell’industria, della società civile e della sicurezza per migliorare la collaborazione tecnica, coordinare la divulgazione delle vulnerabilità, condividere informazioni sulle minacce e ridurre al minimo la possibilità che codice dannoso possa essere introdotto nel cyberspazio”.

Questo quarto principio è il più vago, se non il più velleitario. Da un lato queste collaborazioni, certamente utili, sono già in atto, d’altra parte va detto che pur producendo risultati non sono in grado di risolvere i problemi alla base, ma solo di mitigarli parzialmente. Certamente è possibile migliorare la collaborazione tra aziende e ricercatori e tra pubblico e privato, ed anzi a questo fine andrebbero investiti molti più soldi, ma bisogna capire che questi sono solo palliativi, perché purtroppo i “cattivi” sono molto più veloci, efficienti e determinati dei “buoni”, e di conseguenza la difesa passiva, realizzata post-hoc, tende ad avere un ROI negativo nel medio-lungo termine. Questa è un’altra verità “scomoda”, che è giunto il momento di affrontare. Cercare di “star dietro” agli attaccanti, considerato che sono più veloci dei difensori e che hanno il vantaggio della sorpresa, potendo scegliere il tempo, il modo e il luogo in cui colpire, per quanto sia una componente indispensabile di una più ampia strategia di cyber-defense, di per sé non può apportare benefici sostanziali, ma solo ridurre il tasso di crescita dei danni, che però continua a crescere ugualmente (+ 500% negli ultimi 5 anni). Non è certo in questo modo che si può concretamente “ridurre al minimo la possibilità che codice dannoso possa essere introdotto nel cyberspazio”. Non a sufficienza, comunque.

Per concludere: quando Smith esordisce dicendo “gli attacchi devastanti dello scorso anno…” non posso fare a meno di ricordare che gli “attacchi devastanti” sono ormai la norma da ben più di un anno. Quando nel gennaio 2012, per la prima edizione del Rapporto Clusit (ben 7 anni fa, un’enormità in questo settore) scrivevo che il 2011 era stato l’Annus horribilis della sicurezza informatica, un punto di svolta, e che l’insicurezza endemica, se non corretta in tempo, avrebbe avuto drammatici impatti sistemici e messo a rischio lo sviluppo della società digitale e il benessere di cittadini e organizzazioni, intendevo proprio questo. Ma a quei tempi, per quanto se ne sia già persa memoria, a queste affermazioni i big della tecnologia rispondevano con un’alzata di spalle e un imbarazzato silenzio, minimizzando. Non diffondiamo inutili allarmismi, dicevano.

Tutto il tempo perso, e tutti i danni che già sono stati subiti (oltre un trilione di dollari di perdite causate dal solo cybercrime nel mondo negli ultimi 5 anni) a chi devono essere attribuiti? In qualsiasi altra industria, il produttore è responsabile dei difetti dei propri prodotti, e paga sanzioni salatissime (rischiando il ritiro dal mercato) quando un suo prodotto causa danni ai consumatori. Il fatto che questo non accada in campo informatico, ed anzi che queste aziende difendano strenuamente questa condizione di eccezionalità (come se fossimo ancora nel ’95, agli albori dell’industria), sostenendo che qualsiasi regolamentazione rappresenterebbe un freno all’innovazione, è la principale causa dell’attuale disastro.

Verso una maggiore responsabilità di chi fa software

Dovremmo forse ammettere finalmente che, finché questi soggetti potranno esternalizzare impunemente il costo dell’insicurezza dei loro prodotti e servizi sugli utenti finali, la sicurezza di tali prodotti non migliorerà in modo significativo, e trarne le debite conseguenze, introducendo standard e test di sicurezza obbligatori (prerequisito alla messa in vendita di un prodotto o servizio ICT), sanzioni appropriate e una regolamentazione complessivamente adeguata all’importanza assunta dal settore ICT. Senza voler essere malizioso, per pura deduzione logica devo interpretare questo Tech Accord come un goffo tentativo di mettere le mani avanti e di sottrarsi a questa inevitabile assunzione di responsabilità, come se una forma blanda, spontanea e non vincolante di self-regulation potesse impedire (anche alla luce degli ultimi “scandali”) il processo di normalizzazione del settore.

Basti vedere quanti servizi online, alcuni esistenti anche da più di 10-15 anni, stanno chiudendo i battenti o escludendo la clientela europea perché essenzialmente incompatibili con la GDPR. Il che significa che, nel momento in cui queste aziende devono pagare di tasca propria per garantire la sicurezza dei propri utenti-clienti, il loro modello di business salta, perché non l’hanno mai veramente considerata né messa a budget, oppure, peggio, l’hanno scientemente ignorata pur di acquisire quote di mercato.

Questo stato di cose deve cambiare al più presto, e dovremmo essere più incisivi nel pretenderlo, come cittadini e come consumatori (considerata anche l’incredibile inerzia e disinteresse della politica in merito), dato che l’esistenza stessa della nostra società digitale è messa seriamente in discussione dalla cyber insicurezza endemica che affligge ormai ogni suo aspetto. Non è (più) un gioco e non basta l’enunciazione di quattro “buoni principi” per riparare ai danni già causati, né tantomeno per impedirne di maggiori in futuro. Nei prossimi mesi e anni ci aspettiamo molto, molto di più dall’industria ICT in termini di un impegno concreto nel fornire agli utenti garanzie di cyber security adeguate al contesto. Il tempo per il “security theatre” è passato da un pezzo.