Non è solo una questione di possibili sanzioni: le iniziative del governo sul tema della digitalizzazione e della cyber security, al di là del quadro normativo che si sta formando e degli obblighi previsti dai legislatori, hanno acceso i riflettori su un tema che nel nostro paese è stato troppo spesso sottovalutato. Un particolare impatto è legato alla definizione del perimetro di sicurezza nazionale cibernetico, che mira a fissare standard e procedure per garantire un adeguato livello di sicurezza per le infrastrutture critiche.
Il messaggio, sotto il profilo degli obiettivi, sottolinea in particolar modo la necessità di agire in chiave preventiva e uno degli strumenti fondamentali, in questo senso è la formazione.
“Il nostro ambito operativo rientra certamente all’interno del perimetro di sicurezza nazionale cibernetico” spiega Giovanna Ruggieri, Head of ICT di EP Produzione, società attiva nel settore della produzione energetica. “La formazione nella cyber security, in quest’ottica, è stata immediatamente considerata una priorità”. Un percorso, quello avviato da EP Produzioni con gli specialisti di Cyber Guru, che mette in evidenza obiettivi, strumenti e criticità nella formazione in un settore strategico come quello energetico.
Indice degli argomenti
La commistione tra IT e OT
Quando si fa riferimento all’operatività di infrastrutture strategiche, il pensiero va immediatamente all’ipotesi di un blocco nella produzione degli impianti. Come non si stancano di ripetere gli esperti di cyber security, però, limitare il campo di intervento al solo livello operativo è un errore da non commettere.
Nonostante l’implementazione di accorgimenti tecnici come la segmentazione delle reti e l’introduzione di strumenti di monitoraggio in grado di rilevare eventuali attività sospette nei sistemi di gestione delle linee di produzione, rimane infatti uno stretto legame tra il tradizionale settore IT e le infrastrutture digitali dedicate alla gestione OT.
In particolare, se è vero che sotto un profilo tecnico le minacce informatiche che interessano il settore OT sono qualitativamente diverse da quelle tradizionali, i vettori iniziali di attacco utilizzati dai cyber criminali per ottenere accesso al network, come il phishing, continuano a far leva prevalentemente sul fattore umano. “Il rischio su cui ci siamo concentrati è quello che un errore umano possa spalancare le porte a un attacco in grado di coinvolgere l’intero sistema” conferma Giovanna Ruggieri. “Che si tratti di un vero e proprio atto doloso o di un semplice incidente dovuto a distrazione, quello dell’errore umano rimane uno dei rischi meno prevedibili. La formazione nella cyber security, nonostante non sia prevista specificamente da normative e certificazioni, contribuisce a ridurre il rischio a livello complessivo”.
Un salto culturale per chi lavora nell’OT
Sotto il profilo dell’awareness, le strategie utilizzate nel percorso triennale avviato da EP Produzione con Cyber Guru sfruttano sia l’uso di “pillole” video che affrontano specifici argomenti, sia una tecnica di gamification che punta a creare uno spirito collaborativo tra i dipendenti e utilizzare la competizione come elemento di “traino” per la formazione nella cyber security.
Una formula che, secondo quanto racconta Giovanna Ruggieri, ha permesso di suscitare la curiosità dei lavoratori arrivando a coinvolgere il 90% dei dipendenti dell’azienda. “L’attenzione maggiore nel comunicare l’importanza dell’attività di formazione l’abbiamo dedicata a chi è impiegato nel settore operativo” spiega la responsabile ICT di EP Produzione. “Chi opera in questo settore, infatti, si trova in un punto nevralgico dell’attività aziendale e rischia più di altri di essere preso di mira dagli attacchi dei pirati informatici.”.
Una sottolineatura, questa, che evidenzia bene una delle criticità con cui si devono fare i conti quando si fa formazione nella cyber security in ambito OT. Prima del processo di digitalizzazione che sta interessando tutti i settori produttivi, gli addetti al settore operativo si trovavano in un’area fisicamente separata dal resto dell’azienda e, di conseguenza, non erano “toccati” particolarmente dal tema della cyber security. Oggi, invece, il loro ruolo centrale diventa un fattore di cui bisogna tenere conto a livello di security.
Dalla sfera personale a quella lavorativa
La differenza di percezione appena descritta ha un impatto anche sulla comunicazione di quelle “buone pratiche” che devono essere adottate anche a livello di comportamenti nell’uso degli strumenti digitali nella sfera personale.
Un tema, quello dell’evaporazione del confine tra vita privata e vita lavorativa, che è stato messo in evidenza da molti casi di cronaca relativi ad attacchi informatici che hanno sfruttato, per esempio, il periodo di lavoro remoto imposto dalla pandemia negli ultimi mesi. “Chi lavora con funzioni di amministrazione o marketing è da tempo consapevole di quanto possa incidere la commistione tra attività personali e lavorative a livello di impatto sulla cyber security” conferma Giovanna Ruggieri. “Chi opera in un settore più tecnico come quello OT percepisce invece una netta divisione tra l’ambito personale e quello lavorativo. Con la digitalizzazione delle linee di produzione, però, questo non è più così vero”.
In altre parole, sensibilizzare un tecnico riguardo al rischio che la compromissione di un suo dispositivo personale può rappresentare il primo passo di una catena che porta a un attacco informatico ai sistemi di produzione, non è così banale
I frutti “indiretti” della formazione nella cyber security
Tra le ricadute più generali di un percorso di formazione nella cyber security, c’è anche un (non trascurabile) aumento dell’attenzione per i temi legati alla sicurezza informatica. Qualcosa che molti esperti definiscono “cultura della sicurezza” e che può essere definita come un’attitudine, a tutti i livelli, a considerare la cyber security come un elemento fondante in qualsiasi attività. “In seguito al corso, sono emerse alcune esigenze specifiche del settore OT e legate alle specificità dell’ambiente di lavoro (nello specifico il fatto di lavorare in una rete isolata dall’esterno – ndr) come la necessità di prevedere aggiornamenti puntuali degli antivirus e dei software di gestione” spiega Giovanna Ruggieri. “La maggiore sensibilità generata dal corso ha portato ad adeguare alcune procedure legate alla cyber security che fino a quel momento non erano state considerate una priorità”.
Contributo editoriale sviluppato in collaborazione con Cyber Guru