Uno standard nazionale di assessment sulla preparazione delle imprese in tema di cybersecurity, con la collaborazione dei Digital innovation hub di Confindustria. E l’implementazione del nuovo Demo Lab a disposizione in particolare delle piccole e medie imprese. «Ha ricevuto anche un endorsement forte da Enisa, l’agenzia Europea per la sicurezza informatica, che lo ha vistato all’inizio di giugno». Ed è una struttura su cui «investiremo ancora perché vorremmo che fosse anche un laboratorio “trasportabile”», un «front-end di demo e tecnologie che vengono eseguite in back end, utilizzabile anche in altri contesti», come le Case delle tecnologie emergenti o gli European innovation hub, anche con diverse sedi fisiche. Matteo Lucchetti, direttore di Cyber 4.0, ci racconta le fondamentali iniziative che il competence center ad alta specializzazione sulla sicurezza informatica sta realizzando con i finanziamenti del Pnrr, 113,4 milioni di euro che stanno per arrivare agli otto centri di trasferimento tecnologico nati con il Piano Industria 4.0.
I finanziamenti sono segmentati su nuovi bandi, catalogo corsi formazione e servizi, e potenziamento della struttura dei competence center. La codificazione del modello di assessment utilizza le risorse per i cataloghi (in tutto, 30 milioni, sempre da dividere fra le otto strutture), il Demo Lab invece utilizza la quota spettante dei 13,4 milioni che vanno al potenziamento delle infrastrutture dei centri di trasferimento tecnologico. E in vista ci sono due nuovi bandi: uno dei 2,5 milioni che verrà lanciato nel mese di luglio, e un altro in partenza nel gennaio 2024 da 2,6 milioni di euro. Nuove iniziative a favore delle imprese, che hanno l’innegabile vantaggio di sfruttare un incentivo statale, ma soprattutto si inseriscono in un contesto di aumento esponenziale dei casi di cybercrime in Italia: +169%, contro l’incremento del 21% a livello globale (dati Clusit presentati alla Cyber Crime Conference di inizio giugno a Roma). Il fattore principale di accelerazione è rappresentato da gang che supportano la guerra in Ucraina.
La stragrande maggioranza degli attacchi informatici che colpiscono le aziende è a scopo estorsivo: si rubano dati aziendali e si chiede il riscatto, «in genere di piccola entità rispetto al fatturato. Quindi tipicamente da parte delle aziende c’è la tentazione di pagare», mentre Lucchetti insiste su un punto: «la raccomandazione è di non pagare mai». E riporta il caso di un’azienda che, dopo aver versato la somma richiesta, non ha ricevuto le chiavi di decrittazione. La gestione di un attacco informatico è uno degli elementi presenti nella cassetta degli attrezzi di cui un’impresa digitalizzata dovrebbe dotarsi. Ma non l’unico. L’aspetto forse più importante è la prevenzione. Le piccole e medie imprese, invece, in oltre il 70% dei casi non hanno adeguata sensibilizzazione in questo senso. Vediamo con precisione come Cyber 4.0 si sta preparando ad utilizzare i nuovi fondi del Pnrr, e quali sono i fondamentali consigli per le imprese del direttore operativo, intervistato da Industria Italiana nel corso di Sps Parma.
D: Partiamo dal nuovo modello di assessment. E’ fondamentalmente uno standard?
R: «Sì, un primo modello di valutazione è stato sviluppato da Cyber 4.0, validato con un numero consistente di Dih e utilizzato per fare assessment cyber in numerosi contesti. E’ basato sul Framework Nazionale di Cyber Security e protezione dati personali, che è un documento di riferimento in questa materia. Ed è ritagliato sul contesto delle Pmi: verifica se ci sono e a che livello sono i controlli di sicurezza, tenendo conto delle differenze fra una grande impresa e una realtà con dimensioni e peculiarità diverse. Stiamo adesso ragionando con tutta la rete dei Dih di Confindustria e con i Pid di Confcommercio, per far sì che questo modello possa poi essere adottato in modo uniforme. Il punto è che ci sono tante tipologie di assessment diversi, sviluppati da differenti soggetti. Quindi, lo sforzo che stiamo facendo è quello di mettere tutto insieme, mantenendo e anzi rafforzando il modello di collaborazione tra Competence Center e punti di contatto con il tessuto imprenditoriale locale, quali per l’appunto i Dih e i Pid.
D: In che modo collaborate con i Dih?
R: «I Dih vengono formati dal competence center per andare a somministrare l’assessment in presenza. I dati, e le informazioni anche qualitative che vengono raccolte, vengono poi inviati al competence center, che in pratica fà da cervello di elaborazione di queste informazioni e compila un reportin cui non viene specificato solo lo stato attuale, ma viene anche delineato un programma di remediation, con priorità legate al contesto aziendale e alle risorse disponibili, impatto economico previsto e Gantt delle attività suggerite. Questo report viene restituito all’azienda dal Dih. È stato definito un processo di mutua collaborazione, che vorremmo cercare di consolidare e adottare su larga scala. Stiamo poi lavorando anche sul modello di assessment per integrare alcune sezioni, in particolare rafforzando, in collaborazione con tutti i partner, la parte OT. A tendere, vorremmo che questa venga riconosciuto come uno standard de facto, da utilizzare sempre di più in questa seconda fase dei competence center».
D: State anche facendo un investimento sulla struttura di Cyber 4.0, come funziona il Demo Lab?
R: «Stiamo per inaugurare il nostro laboratorio Demo, e poi continueremo a rafforzarlo perché vorremmo che fosse il punto in cui presentare un po’ tutti i risultati dei progetti di ricerca, ma anche tutte le tecnologie innovative che i nostri soci possono mettere a disposizione. E’ orientato in particolare alle piccole medie imprese, ha ricevuto anche un endorsement forte da Enisa, l’agenzia Europea per la sicurezza informatica, che lo ha vistato all’inizio di giugno. Continueremo a investire perché comunque vorremmo che fosse un laboratorio replicabile e trasportabile, front-end di demo e tecnologie eseguite in cloud. In questo modo, possiamo andare a utilizzare il Demo Lab anche in altri contesti, per esempio quello delle Case delle tecnologie emergenti di cui noi siamo partner, o gli European digital innovation lab, in cui creeremo probabilmente nuove strutture. Quindi, avremo anche diverse sedi fisiche in cui potremo riprodurre parti di questo laboratorio. Potremo quindi avere anche diverse sedi fisiche in cui presentare un opportuno sottoinsieme di applicazioni».
D: Che dati avete sugli attacchi informatici alle imprese?
R: «In oltre l’80% per cento dei casi, l’83% se non ricordo male, gli attacchi che vengono portati e hanno successo entrano in azienda attraverso tecniche di Social Engineering: si riceve la classica e-mail , si clicca sul link e da lì in poi si apre una vulnerabilità sulla macchina, in cui il criminale si inserisce per installare il payload del ransomware. A questo punto la situazione degenera (il ransomware è un software che cripta il file, chiedendo un riscatto per ripristinarlo). Questa è decisamente la minaccia più frequente, direi che in nove casi su dieci nelle Pmi gli attacchi avvengono attraverso questi virus. Nel corso di un recente incontro in una delle Regioni con il nostro roadshow, c’era un’azienda che ha portato il suo caso: tre giorni prima aveva ricevuto il ransomware, e quel giorno stesso aveva deciso di pagare il riscatto. Chiariamo che la somma richiesta in genere è di piccola entità rispetto al fatturato. Sempre più spesso viene calcolata come una percentuale del fatturato. L’azienda ha la tentazione di pagare, ma può ben succedere di non ricevere comunque la chiave di decriptazione, con tutti i problemi che questo comporta. È sempre opportuno insistere su un concetto: davanti a un attacco basato su un ransomware, la raccomandazione è di non pagare. E’ chiaro però che, a fronte dei tempi tecnici necessari per risolvere il problema, ogni azienda deve poter capire qual è l’impatto e agire sulla prevenzione»
D: La risposta a questi rischi è tecnologica o non solo tecnologica?
R: «La risposta a questo tipo di minacce è decisamente la prevenzione. Più che investire su reazione e gestione degli incidenti, interventi chiaramente molto efficaci ma anche piuttosto costosi soprattutto per un’impresa di piccole o medie dimensioni, la prevenzione è sicuramente la chiave su cui bisogna insistere maggiormente. Sia in termini di soluzioni tecnologiche, quindi backup, piuttosto che presidi di sicurezza di monitoraggio, sia lavorando sulla awareness, consapevolezza, di tutti i dipendenti che hanno accesso ai sistemi informatici. Infine, sulla gestione corretta dei processi anche dal punto di vista di gestione, perché bisogna per esempio lavorare in questo senso anche con i fornitori. Io posso essere strasicuro della preparazione dei miei dipendenti, ma è possibile che poi un fornitore mi metta in difficoltà. Quindi, la cybersecurity deve diventare uno strato della gestione di tutto di tutto il processo produttivo, in modo trasversale, un po’ come i processi di marketing, o quelli commerciali».
D: Si può dire che deve anche andare di pari passo con la digitalizzazione degli impianti produttivi?
R: «Certamente, non c’è digitalizzazione senza cybersecurity. Non può esserci una transizione verso qualsiasi tipo di tecnologia digitale senza che io non sappia come vengono trattati questi dati, chi li gestisce, quanto sono critici, dove sono, chi può accedere. Quindi c’è tutto un discorso gestionale. Una survey dell’Agenzia europea di cybersicurezza chiede quali sono le contro misure più frequentemente adottate dalle Pmi. E il 70%, anzi più del 70%, rispondono di sentirsi adeguatamente protette perché hanno il firewall, l’antivirus, il backup, e aggiornano i sistemi. Queste sono le quattro misure che tipicamente le imprese assimilano al concetto di sicurezza. Manca tutta la parte gestionale, relativa all’intero processo. E anche alla gestione di un incidente: per esempio, bisogna stabilire chi fa cosa, quando, come, e in che tempi, pensare alla segmentazione della rete, e infine alla gestione di fornitori, device esterni che entrano nel perimetro. Tutti elementi che invece nella stessa survey sono utilizzati da meno del 30% delle Pmi.
D: La digitalizzazione dell’impianto produttivo crea una nuova vulnerabilità o invece la fabbrica è maggiormente protetta?
R: «E’ una nuova vulnerabilità perché nell’impianto produttivo digitalizzato le tecnologie operative, cosiddette OT, vanno in rete e quindi aumentano la superficie di attacco. E non sono dei computer, nel senso che non posso mettere un antivirus su ogni oggetto dell’impianto collegato a internet. Non è tecnicamente possibile. Quindi, dovrò proteggere l’impianto in un altro modo. C’è poi un secondo problema: spesso le linee di produzione non sono state nativamente progettate per avere un livello di Cyber Security. E’ la connessione a Internet che li ha esposti a nuove vulnerabilità. L’esempio classico che si fa è quello della rete di telecamere connesse. A un’impresa fa comodo avere il monitoraggio degli impianti con le telecamere, però deve sapere che sono potenzialmente dei punti di ingresso. Se la rete non è segmentata possono consentire un passetto alla volta di arrivare alle risorse più strategiche e preziose. D’altro canto, anche la segmentazione della rete non impedisce per esempio il fatto che queste telecamere possano essere usate a loro volta come dei Bot per lanciare attacchi a terzi. Ci sono degli esempi molto famosi di attacchi condotti con centinaia e migliaia di telecamere, che sono state in qualche modo prese sotto il controllo di una rete controllo e di comando di un malware e poi sono state usate per lanciare attacchi di tipo DDoS, distributed denial-of-service, verso un’infrastruttura terza. In quel caso io come azienda divento responsabile di un attacco del quale non sono neanche a conoscenza. Quindi c’è un ulteriore punto di attenzione nella definizione di un’adeguata protezione degli impianti».
Le altre attività finanziate con i fondi del Pnrr: servizi e bandi
Infine, come detto, stanno per partire due nuovi bandi destinati allo sviluppo di progetti ad alto livello di maturità tecnologica (Technology readiness level). Il primo, in luglio, per un valore complessivo di 2,5 milioni di euro, il secondo in gennaio 2024 (valore 2,6 milioni di euro). Ciascun avviso di gara resterà aperto per 45 giorni e ogni progetto successivamente ammesso al cofinanziamento potrà ricevere un importo massimo di 400mila euro (il valore preciso preciso di determina in base a una serie di variabili, come le dimensioni dell’aziende e la natura del progetto, ricerca industriale o sviluppo sperimentale). La durata dei progetti va da 12 a 18 mesi, con chiusura entro settembre 2025 (queste sono in realtà le regole generali previste per tutti i nuovi bandi dei competence center). Il catalogo dei servizi, che come detto ora riceve finanziamenti pubblici del Pnrr per cui le imprese hanno prezzi molto scontati rispetto a quelli di mercato, copre le seguenti aree: cyber risk, protezione dati, protezione sistemi, monitoraggio e rilevamento minacce, gestione incidenti, certificazioni di sicurezza, formazione, consulenza.
Qualche dato su Cyber 4.0
Il cybersecurity competence center ha come soci pubblici gli atenei romani La Sapienza, Luiss, Tor Vergata, Roma Tre, Università degli studi di Cassino e del Lazio meridionale, Unitus (università degli studi della Tuscia), università degli studi dell’Aquila, Cnr, Inail, Ucbm (università campus bio-medico di Roma), Clusit (associazione italiana per la sicurezza informatica). Quattro gli ambiti di intervento fondamentali:
-
cybersecurity core: assessment, monitoring, consulenza, formazione, certificazioni, awarness, e valutazione degli aspetti di cybersecurity rispetto ai nuovi paradigmi tecnologici della trasformazione industriale (intelligenza artificiale e machine learning, Iot, big data, crittografia quantistica, biometria, cybersecurity by design, blockchain e smart contract):
-
aerospazio: comunicazioni satellitari, tecniche crittografiche, rischio cyber delle missioni spaziali; automotive: fra le altre cose, sicurezza delle comunicazioni tra veicolo e veicolo , o tra veicolo e infrastruttura, o sul sistema di localizzazione satellitare di bordo ai fini del dirottamento, e gli attacchi all’Automated Valet Parking (parcheggio a guida autonoma);
-
e-health: rischio di spionaggio industriale, sicurezza dati sanitari sensibili conservati nelle piattaforme cloud o legati all’utilizzo di dispositivi medici indossati dal paziente, telemedicina.
I bandi del biennio 2021-2022, per un valore totale di 2,2 milioni di euro, hanno finanziato 15 progetti per un budget totale di circa 7 milioni, che hanno coinvolto 29 aziende, di cui l’80% Pmi innovative e startup, nelle quattro aree di riferimento sopra descritte.
