Sebbene inevitabile ed essenziale, la trasformazione digitale delle imprese solleva preoccupazioni sulla sicurezza informatica. Tuttavia, il pericolo reale non è necessariamente dove ce lo aspettiamo e un’eccessiva sicurezza può rivelarsi controproducente. Peggio ancora: la sicurezza informatica a volte è una scusa per abbandonare alcuni progetti ritenuti troppo pericolosi. In ogni caso, questo è il punto di vista di Jean-Philippe LORINQUER, partner di OSS Ventures. Ci ha dato alcune idee per controllare meglio il rischio informatico senza bloccare tutto!
OSS Ventures è uno studio start-up fondato nel 2019 da Renan Devillières. La sua missione è sostenere l’industria francese nella transizione tecnologica, ambientale e sociale.
OSS Ventures desidera anche evangelizzare il mondo industriale sulle questioni digitali e di sicurezza informatica.
Tecniche di ingegneria: Secondo te a che livello si colloca il rischio cyber?
Jean-Philippe Lorinquer : Sfortunatamente, il rischio reale non è dove pensiamo che sia. I produttori a volte mi dicono che le soluzioni SAAS sono pericolose e io rispondo loro: “Mostrami esempi di attacchi informatici riusciti contro i data center Microsoft o Amazon”. Al contrario, ho numerosi esempi di aziende industriali che hanno subito attacchi informatici con gravi conseguenze, il cui punto di ingresso era la casella di posta o il software HR e non i prodotti SAAS.
Numerose sono anche le chiavi USB in circolazione nelle aziende o inserite nelle macchine dai manutentori per gli aggiornamenti delle apparecchiature.
E c’è anche tutta una serie di rischi a bassa tecnologia, in particolare le truffe contro il presidente che stanno diventando sempre più elaborate, grazie ai deepfake (imitazione dell’immagine e della voce), tutto questo con strumenti di mercato!
Ma ho un aneddoto ancora più sorprendente: qualche tempo fa abbiamo lavorato a un progetto di start-up nel cyber. Abbiamo deciso di effettuare dei penetration test¹ (Pen test) inviando un hacker in una fabbrica, dotato dei diritti di accesso di un tirocinante e di un indirizzo email. I risultati sono stati spaventosi: alle 12 ha potuto spegnere le luci in fabbrica, alle 18 era a livello della directory attiva del gruppo (LDAP) e alle 20 ha potuto spegnere tutte le apparecchiature. produzione del gruppo. Possono quindi bastare appena dodici ore per mettere in ginocchio un gruppo industriale.
Da dove deriva questa mancanza di controllo del rischio cyber?
È un dato di fatto: il rischio c’è, è enorme, non è controllato e le cause sono molteplici, la prima è la mancanza di accesso ai talenti della cybersecurity. Questi profili infatti preferiscono guadagnare molti soldi andando in settori ben pagati, piuttosto che recarsi in fabbriche che non valutano la sicurezza informatica come una priorità e quindi pagano meno.
Cosa diresti ai produttori che sarebbero tentati di chiudere tutto per motivi di sicurezza?
Bloccare tutto per motivi di sicurezza non è una soluzione, per due motivi. Da un lato, le fabbriche sono il mondo degli ingegneri, ed è nel DNA degli ingegneri cercare ostinatamente di risolvere i problemi. Se impediamo loro di risolvere questi problemi chiudendo l’accesso, è certo che cercheranno di aggirare questi ostacoli. Questo fenomeno genera quello che viene definito “Shadow IT”, una pratica consistente nell’utilizzo di sistemi e software non autorizzati dai responsabili della sicurezza informatica dell’azienda.
Ho personalmente constatato, nei grandi gruppi automobilistici internazionali, la presenza di server acquistati sotto il nome di PLC. L’obiettivo ? Creare una mini-rete interna per connettere apparecchiature e risolvere problemi tecnici. Lo Shadow IT può quindi arrivare molto lontano!
D’altra parte, è del tutto aberrante, in un mondo in cui la tecnologia digitale permette di aumentare le prestazioni aziendali o sviluppare nuovi prodotti, “tornare all’età della pietra” dell’IT nella speranza di sopravvivere. Perché è proprio una questione di sopravvivenza: se tutto è bloccato non c’è più nulla da attaccare, ma tra qualche anno, senza digitale, semplicemente non c’è più business.
Le aziende sono abituate a gestire i rischi. Perché è diverso con il cyber?
Le aziende hanno infatti una forte esperienza nei loro rischi operativi (chimici, sicurezza, ambiente, ecc.). Questa conoscenza ha il vantaggio di essere ben condivisa all’interno delle organizzazioni, a differenza del rischio informatico. In generale, il cyber è affidato a una sola persona, l’esperto DSI o CISO, spesso con potere di “vita o di morte” sui progetti. Ci sono stati purtroppo degli eccessi, con la sensazione, da parte degli operatori, che il rischio cyber sia talvolta pretesto per l’abbandono, per mancanza di volontà.
Ma questa sensazione del personale operativo deriva, in parte, anche da una mancanza di comunicazione e comprensione dei rischi sul campo, perché non è possibile lasciare che gli ingegneri facciano quello che vogliono.
Dobbiamo quindi sviluppare una cultura cyber all’interno delle aziende!
Manca infatti un’acculturazione complessiva al rischio cyber e quindi una formazione. È essenziale che la sicurezza informatica diventi affare di tutti. Così come la qualità non è di dominio esclusivo del Direttore Qualità, le questioni di sicurezza informatica non riguardano solo il CIO o il CISO!
Alcune organizzazioni hanno anche deciso di mettere la sicurezza informatica sotto la guida del direttore dello stabilimento. Poiché anche gli Stati, gli ospedali o i servizi pubblici vengono hackerati, non vi è ovviamente alcun obbligo di risultato, ma un obbligo di mezzi. Questo empowerment il più vicino possibile al campo ci permette di andare avanti.
Nella sicurezza informatica si dice che “il problema spesso è tra la tastiera e lo schienale della sedia”. Errare è umano, è quindi sistemico. Sappiamo che il rischio esiste e che prima o poi ci sarà un attentato. Ma per “far crollare” una fabbrica ci vuole un insieme di cause, l’importante è fare tutto il possibile per tutelarsi al meglio ed evitare il peggio;
Come garantire la sicurezza senza bloccare?
Così come un eccesso di qualità è sinonimo di costi aggiuntivi, un eccesso di sicurezza non è prova di controllo del rischio, anzi. L’importante è proteggere al giusto livello. Ad esempio, che un individuo possa inviare messaggi sulla rete interna di un’azienda è fastidioso, ma non necessariamente grave se non ha accesso a informazioni sensibili.
C’è una strategia da adottare, che chiamiamo “strategia della cipolla”. Consiste nel proteggere fortemente il nucleo, ma meno nel proteggere gli strati esterni. Al contrario, voler proteggere l’intero sistema allo stesso modo rischia di portare a una rigidità insopportabile per le squadre sul campo.
Infine, è importante ricordare che non è possibile garantire un’organizzazione senza sforzi o risorse umane o di bilancio. Le aziende devono concentrarsi anche sul sostegno al cambiamento. Perché un grande progetto abbia successo, il 25% del budget dovrebbe essere destinato a questo sostegno (formazione, comunicazione, ecc.). Questo accade raramente e molto spesso le aziende se ne pentono.
¹ Esercizio di sicurezza in cui un esperto di sicurezza informatica tenta di individuare e sfruttare le vulnerabilità in un sistema informatico
Credito video di uno: rawpixel.com
