A un rischio cyber che ormai è sistemico e di lungo termine bisogna rispondere con una strategia sistema e di lungo periodo. Enel ha attuato questa idea con un’organigramma aziendale dove le diverse funzioni dialogano e collaborano, con ruoli e responsabilità precise e codificate nella cybersecurity policy.
Un dialogo che sempre più si estenderà anche ai fornitori, per soluzioni che nascano e vivano all’interno di un approccio risk based.
Ce ne parla Yuri Rassega, Ciso (Chief information security officer) di Enel, evidenziando un modello che sarà utile da studiare perché è probabilmente una finestra sul futuro che attende tutte le aziende, a breve.
Indice degli argomenti
Quali sono i principali pericoli cyber che ora gravitano sulle infrastrutture critiche energetiche?
I rischi che ci sono ora, in tempo di guerra, in realtà sono gli stessi che ci sono sempre stati, anche in tempi di pace. E in particolare ci aspettiamo un aumento di attacchi dopo la guerra, quando gli attaccanti filo-russi, saranno più liberi dal supporto cyber alla fase militare e si concentreranno contro gli obiettivi occidentali. Un errore sarebbe quindi pensare che il problema sia solo del momento.
Quale sarebbe l’approccio mentale più corretto quindi?
Approcciare il rischio nel lungo periodo, perché è sistemico. Ed essere consapevoli che ci saranno tanti molti di crisi e di tensioni. La cyber è diventato ormai un elemento di confronto e anche un campo comodo per danneggiare l’avversario senza essere con certezza attribuiti come autori dell’attacco.
Quali sono le minacce per infrastrutture critiche?
Sono molteplici. Cybercriminali interessati allo sfruttamento economico ma anche Stati e attivisti che vogliono attaccare le infrastrutture per mettere pressione su un Paese nemico. Noi siamo aziende con una grossa superficie industriale dove possiamo essere attaccati, quindi nei sistemi OT (operational technology) per creare disturbi e disservizi a impianti. Un mondo molto complesso dove, a differenza del mondo IT, non c’è un singolo elemento che può creare una vulnerabilità con impatto massimo. Sono invece impianti segregati, che vivono di vita propria, molto specializzati.
Ma tra questi elementi sono stati costruiti nel tempo sistemi di comunicazione per lo scambio di informazione. Sono quindi mondi separati ma funzionalmente interconnessi. Al luogo nel quale gli elementi colloquiano dobbiamo prestare molta attenzione. Il problema è grave soprattutto per chi ha sistemi OT molto concentrati, in una fabbrica ad esempio, a differenza di realtà industriali complesse, come Enel, che invece non avendo un single point of failure possono trarre vantaggi di sicurezza dal frazionamento degli impianti.
Teniamo conto di quello che chiamo il peccato originale del mondo OT. Sono impianti la cui “tecnologia primaria”, con aspettativa di vita di alcuni decenni, è governata da computer con un ciclo di vita molto più breve. Nati prima che il pericolo cyber si manifestasse. Questo è il cuore del problema. Ma con la giusta strategia è possibile mettere questo mondo in sicurezza. Una energy quindi non pensa in primo luogo a proteggersi dal ransomware quanto ai sistemi OT. Il ransomware nel mondo industriale ed energetico è difficile che crei un problema irrimediabile, quanto piuttosto psicologico e reputazionale, instilla il dubbio nel pubblico che i sistemi critici italiani siano a rischio. Idem per il DDoS.
Soluzioni? Quale è la vostra strategia
Una cosa comune al mondo IT è una strategia che guarda al problema in modo sistemico, con un’attenzione continua. Un altro punto è che abbiamo una strategia condivisa IT e OT, pensando a una superficie di attacco in comune, da difendere con le stesse persone e con un monitoraggio comune nel nostro Cert.
Dato che il problema è sistemico e di lungo periodo, anche la strategia deve essere sistemica. Non si può lavorare a silos. Con persone specializzate solo in certe aree, lasciando altre quindi aperte a vulnerabilità.
Lo stesso staff si preoccupa di entrambi i mondi in tutte le geografie e business, pensando alla soluzione più adatta in base alla priorità, che nell’IT può essere l’integrità e la riservatezza del dato mentre nell’OT è la disponibilità del servizio. Nell’IT si lavorerà molto nell’upgrade tecnologico, nell’OT nell’hardening eliminando i difetti dei sistemi senza sostituirli necessariamente.
Per gestire tutto questo, in Enel c’è un modello organizzativo particolare. Abbiamo unità cyber con cinque sotto unità in contatto continuo con le business line e le aree di sviluppo e gestione sistemi. In questo modo veramente i servizi che vengono dal business sono risk-based, in origine. Ne deriva anche la possibilità di gestire il rischio in modo continuativo. In caso di attacco ad esempio, c’è un dialogo tra i tecnici e il business per prendere le scelte migliori e capire ad esempio cosa fermare per contenere i danni. Sono colleghi che lavorano costantemente assieme e quindi sviluppano fiducia reciproca.
Tutto questo è strutturato dal cybersecurity framework di Enel, una trentina di pagine, che definisce end to end tutti gli otto processi che compongono la gestione del cyber risk. Sono la definizione di una strategia, a valutazione e trattamento del rischio, la scelta delle soluzioni, gestione accessi, incidenti, formazione, assurance (i penetration test, ne facciamo 1500 all’anno, e le attività di controllo su adozione soluzioni).
All’interno di ogni processo ci sono sotto-processi (come monitoraggio, reporting, deployment…) con unica regia ma con ruoli e responsabilità diversi, attribuiti in modo granulare a tutti i soggetti in azienda, non soli tecnici. I ruoli sono responsabile operativo di un certo task, chi è accountable (chi ne risponde e il decisore finale), chi deve essere consultato e chi essere informato.
Il World Economic forum nel 2019 ha indicato il nostro modello come innovativo per la strategia cyber.
Nello specifico cosa fate nel mondo OT?
Si scelgono soluzioni che garantiscano la continuità. E posso permettermi di usarne anche molto invasive, di hardening, perché a differenza dell’IT non devo preoccuparmi tanto della “user experience”. Ad esempio impedire di installare applicazioni che non siano in una white list. E disabilitare tutte le funzioni che non servono.
Si consideri anche che nell’OT sono macchine specialistiche che fanno operazioni monotone. Posso inoltre spingere molto sul machine learning per cogliere le anomalie di comportamenti conseguenza di possibili intrusioni. È quindi un mondo con sistemi legacy dove però, per le sue caratteristiche, possiamo spingere di più su soluzioni innovative di difesa. Già otto anni fa abbiamo sperimentato, tra i primi al mondo, sonde di deep packet inspection con capacità di machine learning nel mondo OT. Abbiamo una direzione Innovation molto attiva con hub nel mondo, il primo fu a Tel Aviv.
In prospettiva cosa intendete fare per migliorare ancora?
Bisogna propagare questa igiene cyber alla supply chain, le cui vulnerabilità sono sempre più sfruttate.
È cruciale il dialogo e la collaborazione con tutti le parti. Bisogna lavorare assieme con i fornitori perché le soluzioni sia sicure; non basta stabilire criteri di sicurezza a livello contrattuale e poi verificare ex post se sono stati rispettati. Se compriamo una turbina che dura trent’anni, ad esempio chiediamo garanzia di base sulla sicurezza per i primi anni, con aggiornamenti; nel lungo periodo ci facciamo carico dell’innovazione supportandone lo sviluppo.
Ora nel mondo OT occorre mettere in sicurezza anche oggetti a volte datati, mettendoci gusci; sarebbe più logico istituire un ciclo di vita improntato alla sicurezza continua collaborando con i produttori.
Del mondo più in generale della fornitura, dobbiamo ricordare che le grandi aziende hanno come fornitori piccole e medie aziende, che vanno spinte per evolvere nel senso cyber, diventando consapevoli che si è parte di un sistema. Altrimenti nell’immediato le loro vulnerabilità saranno propagate ai propri clienti – con impatti sistemici sul Paese – e poi, dopo ma non dopo molto tempo, il rischio è che queste aziende siano scalzate nel mercato da concorrenti stranieri più pronti ad aggiornarsi.
Presto avere postura cyber non sarà più solo un fattore preferenziale nei nostri contratti ma diventerà obbligatorio.
