Oggi è quasi impossibile, per un’azienda di piccole e medie dimensioni, provvedere da sola alle proprie esigenze di sicurezza informatica. Per due motivi: anzitutto, gli specialisti partoriti dalle università non coprono minimamente la domanda, costano, e in genere cercano lavoro nelle big corporation. In secondo luogo, la cybersecurity è un settore così vasto che un esperto non basta, ne servono almeno sei o sette.
E allora cosa possono fare le Pmi del manifatturiero, che rischiano di vedere la propria produzione bloccata dalle incursioni dei cyber-criminali? Possono affidare la questione in outsourcing. Cybertech, azienda italiana di sicurezza informatica parte del Gruppo Engineering, ha istituito il SOC (Security Operation Center), una struttura in grado di provvedere alla sicurezza delle aziende da remoto. Al SOC lavorano esperti certificati; questi monitorano, anche grazie a sofisticate tecnologie di machine learning, tutto ciò che transita nelle reti OT (Operation Technology) e IT (Information Technology), individuando e congelando le minacce. Il SOC è operativo tutto il giorno e tutti i giorni, assicurando un servizio 24/7.
L’offerta di Cybertech riguarda anche il training; l’assessment delle vulnerabilità; l’OT Security technology system integration; e infine la convergenza tra IT e OT quanto a cybersecurity. Ne abbiamo parlato con il Director industrial Digital Innovation & OT Security e Innovation Manager in Cybertech Maurizio Milazzo.
Perché è così difficile reperire competenze qualificate nella cybersecurity
Vari fattori fanno sì che reperire esperti di cybersecurity sia complicato e costoso. Anzitutto, da qualche anno a questa parte, ma soprattutto negli ultimi due, la domanda ha superato l’offerta. Il sistema scolastico e universitario si è fatto trovare impreparato, e non solo in Italia. O forse perché la tematica della cybersecurity ha raggiunto proporzioni non immaginabili, quando IT e OT vivevano in mondi separati. Comunque, di per sé gli atenei non sono in grado di rilasciare sul mercato un numero bastevole di laureati esperti in materia. Ma, soprattutto, formare un esperto in azienda è un percorso a lungo termine, sul quale l’impresa deve investire pesantemente. Anche gli esperti, infatti, vanno “certificati”. E quanto tempo occorre? Si pensi alla certificazione CISSP, che sta per Certified Information Systems Security Professional, e che è rilasciata dall’ISC, un consorzio internazionale in materia. In tutto il mondo, ne sono in possesso solo 130mila persone, di cui 87mila lavorano negli Stati Uniti. Eppure è importantissima: è approvata dal Dipartimento della Difesa degli Stati Uniti. Riguarda competenze diverse: asset security, security and risk management, communication and network security e tante altre. Occorrono cinque anni di pratica per ottenerla, e va rinnovata ogni tre, sulla scorta di uno specifico programma di educazione professionale continua, che prevede un certo numero di crediti minimi.
Un CISO, Chief Information Security Officer, è poi introvabile sul mercato: l’unica è strapparlo ad un’altra azienda. A costi molto alti. «E da solo non fa niente». Ha bisogno di una struttura, che sovente non esiste. «So di multinazionali italiane, che dispongono di un CISO, di un direttore della sicurezza e di solo quattro o cinque esperti in staff: dovrebbero occuparsi di decine di stabilimenti sparsi in tutto il mondo. La situazione delle Pmi, poi, è ancora più povera e complicata, a causa della mancanza di mezzi». Questa difficoltà di reperire esperti di cybersecurity è confermata da un recente sondaggio ISACA (un’associazione professionale internazionale focalizzata sulla governance IT). Si legge che «il 69% dei rispondenti afferma che i loro Team di cybersecurity sono sotto-staffati, il 58% dei rispondenti afferma che non riescono a individuare e ad assumere gli esperti di cybersecurity che gli necessitano, il 32% dei rispondenti afferma di impiegare almeno sei mesi per assumere la persona giusta».
Eppure i rischi per l’azienda industriale, soprattutto nel manifatturiero ma non solo, si moltiplicano. «La necessità di raccogliere dati dallo shop floor e di analizzarli nella rete IT ha cambiato le dimensioni del campo di battaglia, e anche l’essenza dei pericoli che si corrono». Oggi un criminale può penetrare nel firmware di un PLC e modificarlo; può bloccare la produzione, o alterarne i risultati rovinando la qualità dei manufatti prodotti, con perdite devastanti per l’azienda. Può prelevare le liste dei clienti o rubare la proprietà intellettuale. I danni non sono solo materiali, ma anche reputazionali. «Nel 2014 un hacker ha bloccato un aeroporto in USA e anni fa una multinazionale di pneumatici per trattori si è trovata una fattura da 120 milioni di Euro, ma l’Iban era di un hacker».
Quali competenze cercare
«Bisogna cercare le competenze che servono», in base all’attività, all’esposizione al rischio e al tipo di pericolo. Ma anche qui, non è così semplice. «La cybersecurity delinea uno scenario molto ampio, in termini di skill e conoscenze». E chi si occupa di un aspetto, raramente ne conosce altri. «Chi gestisce le reti IT, e controlla i log e altri elementi per vedere se ci sono minacce, è uno specialista che spesso conosce solo quel mondo» e quindi non affronta le tematiche dell’asset security. In realtà, per coprire buona parte degli ambiti che compongono un universo così diversificato come quello della cyber sicurezza, occorrerebbe disporre di almeno sei o sette specialisti (per lo più, ingegneri informatici) in azienda; il che, come abbiamo visto prima, è alquanto improbabile.
Una proposta di sicurezza in cinque punti
Per sopperire alle difficoltà che le imprese incontrano nel reperire personale adeguato in tema di cybersecurity, Cybertech ha istituito il SOC, una struttura in grado di provvedere alla sicurezza delle aziende da remoto. Ma l’offerta di CyberTech è più completa: il SOC ne costituisce forse l’aspetto più rilevante, che è ancora più funzionale nella misura in cui anche le altre componenti della proposta vengono accolte. Quest’ultima si articola in cinque punti: il training; l’assessment delle vulnerabilità; l’OT security technology system integration; il SOC, security operation center e infine la convergenza tra IT e OT quanto a cybersecurity.
Il primo punto, il training
La sicurezza ha molto a che fare con i comportamenti del personale, sia quelli degli ingegneri e dei tecnici dell’automazione che quelli degli esterni che si collegano da remoto. Si pensi al fenomeno dello spear phishing. Una mail viene inoltrata da un cyber-criminale ad un dipendente dell’azienda, di cui il primo conosce gli interessi. Nel momento in cui il dipendente apre un allegato infetto, scatta il malware (“malicious software”, che significa letteralmente “software malintenzionato”: indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata) che si mette in azione, dirigendosi verso un target definito.
In pratica, lo sfortunato dipendente è il cavallo di Troia del cyber-criminale. Troia, però, non è il conto corrente del dipendente, ma l’azienda. Per incrementare la consapevolezza dei dipendenti di aziende-clienti, Cybertech realizza specifici corsi, «ad esempio sugli standard di riferimento per la cybersecurity industriale, come la ISA/99 IEC 62443». E poi Cybertech si occupa di education tramite phishing e gaming. Nel primo caso, delle email “sospette” vengono inoltrate al personale. «Vediamo chi le ha aperte, chi ha cliccato sui link». Nel secondo, si realizzano dei giochi con domande strutturate in modo da favorire l’apprendimento di nozioni in materia di cybersecurity migliorando il comportamento dei dipendenti.
Il secondo punto, l’assessment delle vulnerabilità
L’assessment viene realizzato sulla scorta di standard fondamentali, come quelli contenuti nella direttiva europea NIS (Network and Information Security) che per la prima volta (due anni fa e a livello continentale) ha affrontato in modo organico e trasversale il tema della cybersecurity, o come quelli definiti dal NIST, l’americano National Institute of Standards and Technology nel framework per la cybersecurity. Cybertech dispone di particolari tool (alcuni di proprietà e altri reperiti sul mercato) in grado di rilevare in automaticamente le vulnerabilità dei sistemi dell’azienda-cliente. In base alle matrici di rischio, le quali indicano con colori diversi il livello di rischio, si procede alla definizione di un piano di sicurezza.
Il terzo punto, l’integrazione dei sistemi di sicurezza nell’OT
Una volta evidenziate le vulnerabilità, si tratta di integrare l’ambiente OT con software in grado di mitigare il rischio. Si tratta di rendere visibili, classificare e tracciare tutti gli asset. Si utilizzano motori basati sul machine learning in grado di rilevare in modo passivo ciò che accade nella rete industriale, individuando le anomalie e tutelando gli endpoint. Si realizzano delle dashboard per centralizzare il controllo.
Il quarto punto, il SOC
Eccoci, dunque, al SOC. Abbiamo visto che si può realizzare una dashboard per la visibilità e il controllo in tempo reale degli allarmi di sicurezza relativi alle infrastrutture aziendali. Resta però il problema: chi, nell’azienda cliente, dispone delle competenze per monitorare la situazione e gestire gli incidenti? Chi, anche tenendo presenti le tematiche affrontate all’inizio di questo articolo? Ecco che il servizio di monitoraggio può essere dato in outsourcing a Cybertech, sollevando il cliente dai relativi impegni economici e di risorse umane. Il SOC opera a tre livelli. Al primo livello, gli esperti di Cybertech identificano gli eventi di sicurezza, li classificano, evidenziano quali asset sono stati attaccati e compiono le prime investigazioni. Al secondo, si svolgono inchieste più profonde, con tool diversi. Si realizza un report per il cliente. Al terzo, si sviluppano attività di forensic (applicazione di metodologie scientifiche per l’accertamento di un reato), vagliando in modo scientifico i sistemi infetti e realizzando assessment di vulnerabilità per profili avanzati. Nel SOC operano decine di esperti di cybersecurity con il giusto mix di competenze per poter rispondere velocemente a tutte le potenziali vulnerabilità. Il servizio SOC Cybertech è sempre attivo 24/7 per osservare di continuo tutto ciò che passa sulla rete OT, e distinguere le minacce dai falsi positivi. Nel caso in cui si verifichi una anomalia, questa è riconosciuta e isolata dal motore di machine learning.
Il quinto punto, la convergenza IT/OT
Obiettivo di Cybertech è quello di offrire le proprie competenze per supportare una digital transformation sicura delle aziende. Significa assicurare la continuità operativa del business, ridurre i rischi causati da eventi di cybersecurity o da violazioni; per evitare il fermo macchina o il fermo impianto, e successive perdite di qualità, immagine e profitti.
Cybertech nel gruppo Engineering
Cybertech è un importante player nell’ambito della sicurezza informatica. Ha sede legale a Roma, e altre due sedi operative, a Verona e a Milano. Ha sei filiali in Europa: in Norvegia, Svezia, Svizzera, Germania, Serbia e Spagna. Da oltre 10 anni gestisce progetti di cybersecurity in più di 20 paesi dell’area EMEA. Occupa più di 300 specialisti in sicurezza IT e OT; e dispone di più di 550 certificazioni tecniche. In breve, si occupa del governo delle identità digitali, del blocco degli attacchi cyber e della salvaguardia dei dati e delle infrastrutture Industriali. Dal gennaio del 2019 Cybertech, entra a far parte del Gruppo Engineering, – società italiana costituita nel 1980 nel settore del software e servizi IT, la più grande azienda italiana specializzata nella trasformazione digitale diventandone il centro di eccellenza per la cybersecurity. L’intesa tra i due Gruppi ha rafforzato la già importante leadership di Engineering che da sempre vede nelle soluzioni di Cybersecurity una parte cruciale e trasversale della propria offerta, pensata per affiancare i clienti nell’implementazione dei sistemi informatici, nell’integrazione delle tecnologie emergenti, nonché nella conseguente ridefinizione dei processi di gestione delle loro organizzazioni. Il Gruppo, con 12mila dipendenti, sede legale a Roma e altre 65 sedi nel mondo, ha un fatturato di 1,2 miliardi di euro e spende 40 milioni in ricerca e innovazione.
