Comprendere le prospettive per il 2024 e intraprendere azioni preventive contro i cyber criminali può determinare una fondamentale distinzione tra riconoscere pubblicamente un’insufficiente preparazione aziendale – con conseguente perdita di denaro e reputazione – e mitigare tali rischi.
Il settore manifatturiero, in particolare, deve sempre più fare i conti con la vulnerabilità della tecnologia operativa (OT). Di fatto, ogni macchina, tramite sensori IoT è collegata in rete e fornisce una possibile via per l’intrusione nel sistema IT.
Indice degli argomenti
Gli attacchi cyber in aumento: è necessario prepararsi
La mancanza sia di segmentazione tra ambienti IT e OT sia di consapevolezza dei rischi che questi sistemi comportano, fornisce ai cyber criminali occasioni per sferrare attacchi e causare interruzioni. Ne consegue che, oggigiorno, le organizzazioni devono mitigare il più possibile i rischi concentrandosi su backup di qualità non solo dei dati aziendali, ma anche delle configurazioni OT e dei dati necessari per ripristinare i sistemi, il tutto – ad esempio – con una crittografia sicura.
Inoltre, con la crescente attenzione e l’aumento dei costi e delle sanzioni relative all’utilizzo di energia e alle emissioni di carbonio, le organizzazioni si rivolgeranno a una gestione più intelligente delle loro operazioni, che aumenterà l’implementazione e i controlli dei sensori basati su OT.
Pertanto, assisteremo ad un considerevole incremento di dispositivi IoT e OT negli edifici intelligenti, nella gestione delle fabbriche e nei sistemi di gestione degli edifici che esporranno le organizzazioni a ulteriori rischi, in quanto espanderanno la superficie di attacco e collegheranno sempre più questi ambienti a Internet.
Alla luce delle considerazioni precedenti, numerosi specialisti del settore prevedono che, nel 2024, sia i Chief Financial Officer (CFO) sia i Chief Information Security Officer (CISO) procederanno a una valutazione comparativa dell’efficacia degli investimenti in Information Technology (IT) rispetto a quelli in Operation Technology (OT).
Inoltre, si ritiene che emergerà una preferenza per l’allocazione di risorse nell’ambito dell’OT piuttosto che in quello dell’IT, marcando un’inversione di tendenza rispetto alle attuali priorità. Questa prospettiva si basa sulla convinzione che ogni investimento in OT genererà benefici maggiori in termini di riduzione dei rischi rispetto a un corrispondente investimento in sicurezza IT.
Ma, come afferma Gaetano Sanacore, direttore scientifico dell’Osservatorio Nazionale per la Cyber Security delle reti Energetiche, “altra cosa importante da fare è quella di rivalutare in un’ottica cyber-resiliente il concetto di convergenza IT/OT, tra i vari comparti di produzione aziendale (i.e.: energia, trasporti, catene di produzione di beni e servizi, ecc.) e loro relative architetture produttive; il rischio è quello che al confine dei due ambiti si installino interfacciate tecnologie e/o servizi più con un vero DNA IT anziché OT con l’effetto deleterio di ITizzare l’ambiente OT stesso”.
Risultato? “Si rischia di facilitare il lavoro degli hacker che, una volta entrati dall’infrastruttura IT, riescono a muoversi abbastanza indisturbati (sfruttando i più comuni CVE dell’IT) nell’infrastruttura OT, con maggiori effetti dirompenti sui processi OT bloccabili, come accaduto qualche mese fà con l’attacco ransomware perpetrato ai danni di una società energetica Slovena“.
Le sfide dell’AI vs. OT
L’adozione dell’intelligenza artificiale (IA) nei sistemi di OT porta con sé sia opportunità sia sfide, diventando essenziale, nel 2024, per l’industria manifatturiera assicurare la sicurezza delle crescenti applicazioni IA.
Di fatto, l’IA apre nuovi fronti di vulnerabilità, particolarmente nel contesto dell’OT, dove gli attacchi ai sistemi IA possono estendersi oltre il virtuale, incidendo sul reale. Diventa quindi critico mantenere alta la guardia per proteggere l’integrazione dell’IA nei sistemi OT da un ampio spettro di minacce IA correlate. (i.e. prompt injection, adversarial attack, model inversion ecc.).
Inoltre, i cybercriminali stanno sfruttando l’IA per sviluppare strumenti di ransomware, uno dei metodi più comuni impiegati per attaccare i produttori. Basti ricordare che, nel periodo compreso tra agosto 2022 e luglio 2023, si è osservato un raddoppio degli attacchi ransomware che utilizzano IA Generativa contro il settore sanitario, le amministrazioni locali e le istituzioni educative.
È doveroso sottolineare che l’IA ha anche il potenziale per aiutare a proteggere i sistemi OT attraverso la sua integrazione nelle operazioni di sicurezza.
Di fatto, l’IA è in grado di analizzare enormi quantità di dati di sicurezza e isolare gli avvisi ad alta priorità e convertirsi in una leva strategica per aumentare le capacità degli analisti nel monitoraggio dei sistemi, nella conduzione di indagini forensi e nella ricerca proattiva delle minacce.
Inoltre, considerando che la probabilità che il ransomware basato sull’IA avrà un impatto su un numero molto più elevato di organizzazioni, sarà più importante che mai, nel 2024, che le organizzazioni dispongano di un solido piano di cyber resilience.
La sicurezza nel cloud
È importante riconoscere che l’utilizzo del cloud non esenta dalle sfide legate alla cyber security. Infatti, affidare i propri dati a un cloud non equivale a delegare al fornitore di servizi cloud la responsabilità di gestire le questioni di sicurezza correlate.
I cloud, essendo depositari di volumi ingenti di dati di grande interesse per i cybercriminali, continueranno a essere dei bersagli privilegiati. La tendenza non mostra segni di rallentamento, come evidenziato dagli attacchi riusciti nel 2023 contro i server VMware e le infrastrutture del Pentagono.
Di fronte a questa realtà, e con i team IT che intensificano gli sforzi per migrare e per custodire i dati in ambienti cloud, diventa essenziale per le organizzazioni impiegare i prossimi 12-24 mesi per effettuare un’attenta revisione, categorizzazione e archiviazione strategica dei dati, inclusi quelli immagazzinati nel cloud, esplorando di volta in volta le loro interrelazioni e valutandone l’importanza per le attività operative.
In questo contesto, si raccomanda l’elaborazione di politiche di sicurezza specifiche che delineino chiaramente le modalità, i luoghi e i tempi di conservazione dei dati, considerando che, l’implementazione scrupolosa di tali politiche permetterà alle organizzazioni di proteggere i propri dati in maniera più efficace, fronteggiando così le sfide poste dalla crescente minaccia informatica nel panorama del cloud.
AAA Cyber security proattiva cercasi
Nell’ambito dell’evoluzione continua verso un contesto industriale altamente digitalizzato e innovativo – caratteristico dell’evoluzione dall’industria 4.0 a quella 5.0 – diventa essenziale che i team dedicati alla sicurezza lavorino in sinergia con i vertici organizzativi.
L’obiettivo comune deve essere quello di trovare un giusto equilibrio che coniughi sicurezza, usabilità per l’utente finale e avanzamento tecnologico. Questa sinergia strategica è vitale, altresì, per assicurare che l’innovazione avvenga in modo sicuro, migliorando contemporaneamente l’esperienza dell’utente e la tutela dei dati e delle infrastrutture.
Inoltre, è importante riconoscere che, nel settore manifatturiero, la cyber security non dovrebbe essere percepita meramente come una barriera difensiva, bensì come un veicolo proattivo per generare valore aggiunto.
Di fatto, la cyber security – spesso considerata un “necessario male” orientato esclusivamente alla protezione informatica – può, di fatto, essere utilizzata per creare valore tangibile, coinvolgendo una gamma più ampia di portatori di interesse nelle strategie di cyber security.
Inoltre, numerosi settori e impianti di produzione si trovano spesso bloccati nella fase di proof-of-concept perché la cyber security non è stata adeguatamente integrata nei progetti pilota sin dal loro inizio.
Si tratta di comprendere che, dare priorità alla cyber security – considerando le dimensioni “persone, processi e tecnologia” fin dalle fasi iniziali di un’iniziativa di digitalizzazione – non solo facilita l’integrazione tra IT e OT, ma risponde anche all’esigenza crescente di adeguarsi a normative europee sempre più orientate verso un approccio risk-based e resilience-based (il Cyber security Act, il Cyber Resilience Act, l’AI Act e la NIS2).
In questo modo non solo si garantirà la resilienza necessaria, ma si stabiliranno anche le basi culturali indispensabili per scalare le tecnologie digitali. Ciò è particolarmente importante nell’ambito della crescita esponenziale dei casi d’uso dell’AI, che potrebbe ampliare ulteriormente il divario digitale esistente a cui stiamo assistendo all’interno dell’industria manifatturiera.
Sicurezza informatica IoT: le normative
Il 2024 rappresenta un momento cruciale nell’evoluzione della cyber security relativa ai dispositivi IoT, testimoniando progressi notevoli nell’ambito legislativo e regolamentare in Europa e negli Stati Uniti.
Di fatto, le vulnerabilità intrinseche ai dispositivi IoT, sempre più diffusi, costituiscono una seria minaccia sia per le infrastrutture critiche sia per la privacy degli individui. Nonostante si assista ad un impegno considerevole nella ricerca e nello sviluppo di dispositivi progettati con criteri di sicurezza integrata (security by design), la concretizzazione di tali principi in applicazioni reali rimane una sfida.
Inoltre, negli ultimi anni si è assistito a un consolidamento del quadro normativo riguardante l’IoT, con i responsabili delle politiche che hanno perseguito principalmente due finalità: potenziare la cybersecurity dei dispositivi IoT, al fine di aumentarne la resilienza contro le minacce cyber; proteggere la privacy dei dati personali nell’ambiente IoT.
Di seguito una panoramica schematica dei quadri normativi più recenti che hanno un impatto sull’IoT in Europa e negli Stati Uniti.
Area Geografica | Regolamento Dati | Cyber security Regulation |
EU | GDPR – entrato in vigore il 2018 |
|
USA | Non esiste ancora una legge federale completa che regoli la raccolta e l’utilizzo delle informazioni personali. Leggi specifiche:
|
|
Cyber security Act e Cyber Resilience Act: cosa ci attende
Sia il Cyber security Act sia il Cyber Resilience Act mirano entrambi a migliorare la cybersecurity nell’UE. In particolare, il Cyber security Act si concentra principalmente sulla creazione di un quadro di certificazione e sul rafforzamento dell’ENISA. Al contrario, il Cyber Resilience Act introduce obblighi specifici per i prodotti con elementi digitali, con l’obiettivo di integrare la cyber security nell’intero ciclo di vita. Vediamo più in dettaglio i due regolamenti.
- Cyber security Act – Il Cyber security Act (Regolamento UE 2019/881 del 17 aprile 2019) è entrato in vigore il 27 giugno 2019 ed è diventato legge nell’UE. Si concentra principalmente sul rafforzamento del quadro di cybersecurity dell’UE. Stabilisce un mandato permanente per ENISA (Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione) e introduce un quadro di certificazione della cyber security a livello dell’UE per prodotti, servizi e processi digitali. Inoltre, il Cyber security Act si rivolge a una gamma più ampia di prodotti e servizi digitali, concentrandosi sulle infrastrutture critiche e sui servizi essenziali.
È doveroso evidenziare che il Cyber security Act introduce un quadro per i sistemi volontari di certificazione della cyber security, consentendo alle aziende di certificare i propri prodotti, servizi e processi ICT secondo gli standard dell’UE.
- Cyber Resilience Act – Questa legge, proposta nel 2022 ed in approvazione per il 2024, mira a garantire un elevato livello comune di cyber security in tutta l’UE. Si concentra su prodotti con elementi digitali e cerca di migliorarne la sicurezza durante tutto il loro ciclo di vita. Ciò include tutto, dalla progettazione e sviluppo alla manutenzione e allo smaltimento. Inoltre, si rivolge specificamente ai prodotti con elementi digitali – tra cui software, hardware e dispositivi IoT – con l’obiettivo di affrontare la cyber security fin dalla fase di progettazione (security by design), oltre ad introdurre requisiti obbligatori per i produttori e i fornitori di questi prodotti per garantire la conformità agli standard di cyber security fin dall’inizio (security by design e security by default). Senza dimenticare l’introduzione di obblighi specifici per produttori, distributori e importatori, tra cui la segnalazione di vulnerabilità e incidenti, la garanzia di aggiornamenti software e la conformità ai requisiti essenziali.
NIS2: sfide all’orizzonte
Anche la Direttiva NIS2 è destinata ad impattare pesantemente sulle organizzazioni. Essa estende il campo di applicazione della precedente direttiva NIS, coprendo un maggior numero di settori e tipologie di enti, e richiede a un più ampio spettro di aziende di aderire a criteri più stringenti in termini di cyber security. Gli stati membri dell’UE devono implementare le disposizioni della direttiva nel proprio ordinamento giuridico entro il prossimo 17 ottobre 2024.
La NIS2, a differenza della direttiva NIS originale, che lasciava agli stati membri una certa flessibilità nell’applicazione dei requisiti di sicurezza e di notifica degli incidenti, punta a standardizzare queste misure per minimizzare le differenze tra i Paesi e assicurare un alto livello di cybersecurity in tutta l’Unione Europea.
Inoltre, la Direttiva NIS2 impone norme obbligatorie di cyber security per un’ampia varietà di settori, inclusi quelli considerati essenziali, che devono rispettare criteri severi di sicurezza. Ciò porta a un quadro di conformità più armonizzato all’interno dell’UE, oltre a stabilire infrastrutture e procedure per affrontare in modo più proattivo e coordinato le crisi informatiche a livello europeo.
Di fatto, come ribadisce Gaetano Sanacore: “La NIS2 introduce requisiti di sicurezza informatica e gestione del rischio più rigorosi imponendo agli Stati membri di garantire che i soggetti Essenziali e i soggetti Importanti gestiscano il rischio mediante l’attuazione di sistemi, di politiche e di migliori pratiche attuative, che coprano una più ampia gamma di misure e discipline di sicurezza informatica, comprendendo:
- Analisi dei rischi e sicurezza dei sistemi informatici
- Gestione e segnalazione degli incidenti più rigorosi rispetto alla NIS1
- Continuità del Servizio aziendale, come la gestione dei backup e del ripristino di emergenza
- Gestione della crisi
- Più puntuale sicurezza della catena di fornitura
- Acquisizione, sviluppo e manutenzione dei sistemi di sicurezza
- Pratiche di base di cyber-igiene con formazione e awareness sulla sicurezza informatica-fisica
- Crittografia e tecnologie per l’attuazione di tecniche crittografiche
- Sicurezza verso le risorse umane con politiche di controllo degli accessi e gestione degli asset
- Accesso Zero Trust (i.e.: autenticazione multi-fattore, autenticazione continua)
A differenza della direttiva NIS1, i requisiti di sicurezza informatica NIS2 si applicano non solo alle organizzazioni che operano al suo interno, per definizione “soggetti critici” e “soggetti importanti” ma anche ai loro dipendenti diretti, come anche ai subappaltatori e ai fornitori di servizi, sostenendoli e valutando i loro processi per renderli più sicuri possibile.
Tra l’altro, la NIS2 inserisce degli obblighi più severi di segnalazione incidenti verso i soggetti critici-importanti che adesso dovranno:
- Fornire una notifica iniziale di un incidente di sicurezza significativo entro le 24 ore dal rilevamento.
- Fornire una valutazione iniziale dell’incidente entro 72 ore dal rilevamento.
- Presentare un rapporto finale dettagliato dell’incidente entro un mese dal rilevamento.
La nuova direttiva promette sanzioni costose per i soggetti non rispettosi, infatti, gli Stati membri possono imporre sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo (entrate) per determinate violazioni. Inoltre, gli organi di gestione dei soggetti critici-Importanti e loro relativi team operativi possono essere ritenuti personalmente responsabili di determinate infrazioni”.
AI ACT: quali impatti sul manifatturiero
L’impiego dell’IA sta trasformando radicalmente il campo della manifattura, con investimenti orientati a incrementare l’efficienza, la produttività e la qualità dei processi e dei prodotti, oltre a favorire l’introduzione di innovazioni in termini di prodotti e servizi.
Il regolamento sull’IA dell’Unione Europea, denominato AI Act, riveste un’importanza fondamentale per l’industria manifatturiera poiché introduce regole specifiche per l’adozione dell’IA, considerando i diversi livelli di rischio ad essa associati. Questo regolamento suddivide i sistemi IA in tre categorie di rischio: elevato, moderato e basso – stabilendo un quadro normativo mirato per il loro impiego. E, precisamente:
- Sistemi di IA ad alto rischio – Si tratta di sistemi che possono rappresentare una minaccia significativa per la sicurezza pubblica o la salute dei lavoratori. Tali sistemi devono soddisfare requisiti rigorosi, inclusi la valutazione dell’impatto sui diritti umani fondamentali, la designazione di un responsabile IA, e potenzialmente, possono essere soggetti a restrizioni o divieti da parte delle autorità. Nell’ambito manifatturiero, rientrano in questa categoria i sistemi usati per automatizzare compiti rischiosi, come la manutenzione preventiva attraverso l’analisi di dati di efficienza degli impianti, o per decisioni che influenzano la salute e la sicurezza dei lavoratori, come la prevenzione degli infortuni o la gestione dell’assegnazione di compiti.
- Sistemi di IA di rischio moderato – Si tratta sistemi che presentano un potenziale pericolo per la sicurezza pubblica o la salute dei lavoratori e devono rispettare requisiti specifici, quali trasparenza e responsabilità. Nel settore manifatturiero, questi sistemi comprendono quelli impiegati per l’analisi dei dati di produzione, come la qualità o il consumo energetico, o per la personalizzazione di prodotti e servizi, come le raccomandazioni di prodotti o le campagne di marketing su misura. È importante che questi sistemi siano trasparenti, permettendo agli utenti di comprendere il loro funzionamento, e che vi sia responsabilità per le decisioni prese.
- Sistemi di IA a basso rischio – Si tratta di sistemi che non costituiscono un pericolo significativo per la sicurezza pubblica o la salute dei lavoratori, non sono soggetti a ulteriori requisiti. In ambito manifatturiero, questi includono sistemi usati per automatizzare compiti monotoni, come l’imballaggio, o per migliorare l’efficienza dei processi produttivi, come la pianificazione della produzione o la gestione delle scorte.
Di fatto, l’AI Act stabilisce che i sistemi di IA considerati ad alto rischio debbano essere sviluppati e implementati garantendo sicurezza, mentre quelli classificati come a rischio moderato dovrebbero essere caratterizzati da trasparenza e responsabilità.
Inoltre, è cruciale sottolineare che il regolamento è pensato per essere un framework regolativo versatile, capace di adattarsi alle specificità di ciascun settore industriale. Ancora, affrontare la concorrenza di paesi dove l’IA non è soggetta a regolamentazione rappresenta un’ulteriore sfida nel contesto dell’applicazione di questa normativa.
Analogamente, è fondamentale considerare le preoccupazioni relative al possibile freno all’innovazione che l’introduzione di tali regolamenti potrebbe comportare. Pertanto, le imprese manifatturiere dovranno essere in grado di comprendere a fondo i requisiti imposti dall’AI Act europeo e adottare le misure appropriate per allinearsi a tali norme.
Si auspica che, nel futuro prossimo, ci sia una maggiore collaborazione tra le organizzazioni e le istituzioni regolatrici per trovare soluzioni che bilancino efficacemente innovazione, sicurezza e responsabilità nell’ambito dell’IA.
Conclusioni
Il contesto in cui si trova ad operare il settore manifatturiero – che si basa sempre più sull’IoT e l’IA – evidenzia l’importanza sia dell’adozione di un approccio flessibile che preveda il coinvolgimento di molteplici attori sia dell’implementazione di paradigma di sicurezza olistico che copra l’intera catena del valore: dalla fornitura al consumatore finale – oltre a considerare e definizioni in continua evoluzione di resilienza durante il processo di transizione verso il cloud.
Sebbene ci troviamo soltanto agli albori nel comprendere come navigare efficacemente nell’attuale panorama della cyber security e risultare conformi al panorama regolamentare che si sta definendo, si rende necessario affrontare le sfide in costante evoluzione che ci attendono adottando sempre più un approccio risk based e resilience-based al fine di garantire la tanto necessaria cyber resilience, quale intersezione dei principi di risk management, business continuity e cyber security.