ATTUALITÀ nostante si parli di un problema che ormai si ripresenta regolarmente a ogni svolta della tecnologia . « Si registra ancora un divario significativo tra consapevolezza e competenze pratiche nel settore OT - osserva Di Costanzo - Lo scorso anno abbiamo osservato un forte aumento degli attacchi verso il settore industriale : sintomo di maggiore interesse per i criminali informatici , ma anche di maggiore esposizione alla compromissione ». Difficile , oltre a non essere necessariamente utile , provare a ricavare un ’ impressione generale . Più interessante sicuramente entrare nel merito . « Le grandi aziende sono più avanti nella presa di coscienza della pericolosità degli attacchi - riflette Pirovano - non più visti solo come rischio tecnologico in sé , ma come possibile veicolo di compromissione del business della produzione e della stessa continuità aziendale , mentre le PMI sono ancora un po ’ in ritardo nel percorso verso la digitalizzazione ». Tutto sommato , non c ’ è niente di nuovo . Nelle realtà più piccole si ragiona ancora spesso a compartimenti stagni e il rischio è a volte percepito come esclusivamente tecnico , non come un impatto pericoloso sul business complessivo . Inoltre , non bisogna trascurare il problema ormai cronico sofferto dall ’ Italia di una mancanza di competenze digitali , in particolare di quelle specialistiche in sicurezza IT . Ancora una volta , un contributo decisivo è atteso dal legislatore . Le nuove normative NIS2 e DORA dovrebbero promuovere una cultura della sicurezza informatica più forte tra tutte le imprese , comprese le piccole , riconoscendo il ruolo critico ricoperto nell ’ e- conomia e nell ’ ecosistema digitale . La situazione in sostanza non sarà ancora allarmante , ma sicuramente inizia a essere delicata . « La protezione IoT non ha ancora raggiunto una maturità sufficiente perché le aziende ci mettano mano seriamente - avverte Gubiani - Anche se IDC prevede , per il 2025 , 41,6 miliardi di dispositivi IoT connessi che genereranno 79,4 zettabyte di dati , ovvero 79,4 triliardi di byte ».
LA STRADA GIUSTA A prescindere dall ’ obiettivo finale di aggiungere questo nuovo tassello alla sicurezza IT aziendale , diverse sono le possibili strade da seguire . A seconda di esigenze e obiettivi , all ’ occorrenza da combinare tra loro . Prima però , nell ’ interesse di tutti è utile marciare anche su percorsi paralleli . « È necessario uno sforzo da parte di tutti i soggetti coinvolti , compresi noi produttori di dispositivi industriali , le autorità di regolamentazione del settore e la comunità della sicurezza informatica in generale - invita Di Costanzo - È essenziale creare una solida cultura della sicurezza con una regolare sensibilizzazione e formazione di tutti i dipendenti ». Il problema è sicuramente complesso e un gioco di squadra è nell ’ interesse di tutti . Un buon punto di partenza è organizzarsi in modo da potere affrontare un punto per volta . « Il mio consiglio è suddividere la rete IoT in segmenti logici separati - suggerisce Gubiani - In questo modo , un eventuale attacco in un ’ area non può compromettere l ’ intera infrastruttura . La segmentazione permette di isolare e proteggere meglio i dispositivi , limitando la propagazione di un ’ eventuale violazione ». Più in generale , si può applicare anche un approccio sempre valido quando si parla di cybersecurity , quello di non dare niente per scontato . « Il modello Zero Trust , l ’ eliminazione della fiducia implicita e la convalida continua di ogni passaggio di un ’ interazione digitale non sono più una novità per gli esperti del settore - ricorda Pirovano - Secondo una nostra ricerca , in Italia il 32 % identifica Zero Trust come il modo migliore
A sinistra : David Gubiani , Regional Director Security Engineering , EMEA Southern di Check Point Software Technologies
A destra : Christopher Budd , Director Threat Research di Sophos
per garantire alti livelli di sicurezza , il 28 % per proteggere le iniziative di trasformazione digitale e il 24 % per soddisfare i requisiti di conformità o le normative governative ». Ferma restando la libertà nella scelta di una strategia e relativi strumenti , non bisogna dimenticare come si tratti di argomenti per i quali è comunque necessario anche allinearsi a normative rigorose . « Serve un approccio basato su standard o framework di riferimento , come per esempio IEC 62443 o NIST - puntualizza Madoglio - Questo può fornire una guida chiara e strutturata per proteggere e difendere i sistemi OT dalle minacce cyber ». In particolare , lo standard IEC 62443 mira a garantire la sicurezza delle infrastrutture di rete industriali coprendo tutte le fasi del loro ciclo di vita , partendo da un ’ analisi iniziale delle vulnerabilità tramite risk assessment , procedendo successivamente all ’ implementazione delle tecnologie e dei processi interni necessari ad aumentare il livello di difesa e monitoraggio , fino al mantenimento continuo nel tempo delle prestazioni di sicurezza . Resta infine da definire un aspetto sempre delicato , quello dei costi . Sicuramente , la sicurezza dei sistemi IoT comporta spese importanti , di fronte alle quali però si conferma sempre valido essere lungimiranti , guardando alle potenziali conseguenze . « Si potrebbe concludere come il vantaggio non valga il costo e il rischio - conclude Budd - Tuttavia , questo tipo di valutazione va effettuata per ogni singolo dispositivo IoT che l ’ azienda penserà di integrare nella propria rete e andrà fatto prima di procedere all ’ acquisto e installazione ».
| Industria 4.0 | Tecnologie Innovative | Automazione | www . thenextfactory . it 29