Cybersecurity e NIS2: come si muovono i CIO per dormire sonni (un po’) più tranquilli

La cybersecurity toglie il sonno ai CIO? Sicuramente la grande maggioranza dei Chief Information Officer definisce “priorità numero uno” la sicurezza dei sistemi IT aziendali. Questa attenzione massima rispecchia la consapevolezza che le cyber-minacce sono sempre più numerose e preoccupanti. L’ultimo Rapporto Clusit ha contato 2.779 incidenti gravi a livello globale nel 2023 (+12% rispetto al 2022), di cui 310 in Italia, ovvero l’11% del totale mondiale e un incremento addirittura del 65% in un anno. E, come sappiamo, sono solo gli incidenti “riportati”.

Quest’anno, a rafforzare la spinta verso la sicurezza informatica c’è anche la Direttiva NIS2 (“Network and information system security”) dell’UE, che andrà a sostituire la precedente NIS, aggiornando le misure per un elevato livello di cybersicurezza in tutta l’Unione Europea. Il recepimento deve avvenire entro il 17 ottobre 2024 e le imprese sono chiamate, fin da ora, a verificare che i propri sistemi siano “a norma”.

“Sulla cybersecurity non si può transigere”, afferma Fabrizio Alampi, Country Information Officer di Colisée Italia, parte dell’omonimo gruppo francese (società con missione sociale che opera nell’healthcare per la terza età in Europa). “La NIS2 ci riguarda in quanto siamo un servizio essenziale. Assicurare la conformità spetta all’IT, al CISO e al DPO di tutte le country e ci troviamo già nella fase di adeguamento: siamo pronti. Le linee guida emanate dal Garante italiano sono state molto utili per capire come dovevamo procedere e, in generale, che cosa comporta la NIS2 per le imprese”.

“La NIS2 ci impatta come fornitori”, dice, da parte sua, Edoardo Esposito, CIO di inewa | Member of Elevion Group, ESCO certificata attiva nella generazione di biogas e biometano e nell’efficientamento energetico. “Al momento stiamo conducendo una valutazione della resilienza dei nostri sistemi, con una roadmap che ci porterà ad essere pienamente compliant entro giugno. Intanto, proseguiamo nel più ampio progetto di digitalizzazione dell’azienda, che dà sostegno all’obiettivo strategico di espanderci su scala nazionale”.

NIS2, che cosa c’è da sapere

La NIS 2 amplia i settori e le tipologie di entità che rientrano nel campo di applicazione della NIS e rafforza i requisiti di gestione del rischio di sicurezza informatica che le aziende sono tenute a rispettare. Questi requisiti sono suddivisi in tre macroaree: governance, risk management e controllo della catena di fornitura. Il rispetto dei parametri in ambito supply chain amplia ulteriormente il campo di applicazione, perché un’azienda non soggetta alla NIS2 lo diventa (indirettamente) se rifornisce con i suoi prodotti e servizi un’azienda che deve ottemperare alla norma. Il primo passo per adeguarsi è la valutazione delle procedure interne, in particolare per quel che riguarda la sicurezza dei dati, la presenza sistematica dei requisiti minimi di sicurezza, le attività di monitoraggio e supervisione e le procedure di risposta e segnalazione degli incidenti.

“La NIS2 richiede alle imprese più lavoro, ma ha il pregio di forzare chi finora non si è adeguato (per motivi di costo o altro) a essere in linea con i più alti requisiti di cybersicurezza”, tiene a precisare Alampi. “La cybersecurity è il primo tema per tutte le aziende e, per noi che operiamo nella sanità, lo è ancora di più. In tutti i settori i CIO ogni giorno affrontano minacce e tentativi di intrusione o interruzione dell’attività. Anch’io mi ritrovo a lavorare quotidianamente su spam, tentativi di truffa, aggressioni al firewall, e così via”.

La cybersicurezza poggia sull’unificazione dei sistemi

La cybersicurezza è al centro delle attività anche per EAV – Ente Autonomo Volturno (in-house di Regione Campania, seconda maggiore azienda di trasporto in Italia con attività su ferro e gomma, 300 km di linea ferroviaria, 170 stazioni, 51 milioni di passeggeri l’anno) e per il suo Direttore IT, Luciano Ragazzi, a capo della Direzione dei Sistemi Informativi. Nella strategia per la protezione cyber rientrano un SOC (Security Operations Center), due data center proprietari che garantiscono la business continuity e il progetto, in corso di realizzazione, di un sito di disaster recovery presso il CED di Regione Campania.

La base su cui poggia l’intera “fortezza” è l’unificazione dei sistemi che gestiscono i processi: permettere a tutti i dipartimenti aziendali di lavorare su un dato unico e coerente è il prerequisito. Ora la Direzione IT si delinea come “una funzione strategica al servizio delle altre direzioni con il compito chiave di svolgere la governance”, ovvero “mantenere il dato univoco, utilizzabile da tutti gli utenti aziendali e sicuro”, evidenzia Ragazzi. “Per noi vale il principio secondo cui la data ownership è di chi produce il dato, ma è l’IT che ne gestisce la distribuzione e ne garantisce la sicurezza”.

Per la messa in sicurezza dei dati e nell’ottica della continuità operativa, Ragazzi ha favorito la definizione di un processo di backup secondo la logica del “3-2-1”, al quale aggiungere come ulteriore elemento una copia di riserva dei dati di tipo immutabile.

“Per me è la strategia migliore”, sottolinea Ragazzi: “effettuiamo il backup nelle macchine virtuali e lo consolidiamo comprimendolo in un’area immutabile dove l’IT definisce a priori tempi e modi di conservazione. Tale approccio aumenta la nostra capacità di resilienza nei confronti di attacchi di tipo ransomware”.

La sicurezza del dato è il presupposto per implementare i sistemi di trasporto intelligenti: EAV sta investendo 5 miliardi di euro tra fondi del PNRR, FESR, FSC e di altri programmi, di cui 120 milioni di euro per realizzare un sistema ITS (Intelligent Transport System) basato su fibra ottica proprietaria, sulla centralizzazione del dato mediante un data hub e su sistemi di monitoraggio in tempo reale.

Il collegamento sicuro tra OT e IT

Un altro tassello essenziale della sicurezza per EAV è il collegamento tra l’OT (Operational Technology) e l’IT.

“Il primo passo è seguire tutte le norme rilevanti e avere sistemi di sicurezza che facciano da filtro nelle comunicazioni tra OT e IT”, precisa Ragazzi. “La futura rete che controlla il traffico ferroviario non deve essere intaccata, ci deve essere un isolamento logico totale”, chiarisce il manager. “Attualmente l’isolamento è fisico e a basso contenuto tecnologico, e il gioco è semplice. Realizzare reti fisicamente isolate è, oggi, antieconomico in quanto bisogna duplicare i sistemi: bisognerà optare per gli isolamenti logici, ma stando sempre attenti agli operatori umani, che devono restare molto concentrati sulla sicurezza”.

In passato, talvolta i CIO hanno trascurato la sicurezza Operational, poiché i dispositivi operativi non erano collegati alla rete esterna. Ma la connettività pervasiva, il cloud, l’Internet of Things (IoT) e l’Internet of Things industriale (IIoT) portano in rete i dispositivi OT e li rendono un potenziale bersaglio degli hacker, ha scritto in una recente nota la società Analysys Mason. “I sistemi di produzione rappresentano spesso le risorse più critiche in un’azienda”, affermano gli analisti. “Mentre i sistemi IT possono essere ripristinati o sostituiti in modo relativamente rapido, supponendo che sia stata messa in atto una corretta gestione della business continuity, i sistemi di produzione sono spesso unici e, a seconda dell’entità del danno, il recupero può essere un processo molto più oneroso”.

Anche Esposito di inewa (che ha impianti di produzione di energia) sta lavorando sul collegamento sicuro OT-IT come parte essenziale della digitalizzazione aziendale. Il CIO sta disegnando i processi e la governance dell’IT, strutturando tutta la parte OT e collegandola in modo sicuro con quella dell’Information Technology (sistemi, automazione e dati).

Esposito inizia conducendo dei Proof-of-Concept (PoC) o pilota, perché – spiega – nei progetti più strutturati aiutano nella standardizzazione. Per esempio, “i PoC aiutano a definire i parametri in base ai quali organizzare i data lake o i criteri per la digitalizzazione dei workflow. Nella cybersicurezza sto procedendo in questo modo, con i test per la control room”, rivela il manager.

Ma tutti gli elementi dell’IT concorrono a costruire una robusta cybersecurity, perché sono collegati tra loro. Infatti, Esposito sta lavorando sulla protezione dei vari impianti produttivi con una rete sicura per trasportare i dati verso il data warehouse centralizzato che li integra e che abilita la control room. Questa, al momento, è un “pilota custom”, ma in una seconda fase il progetto sarà esteso con un prodotto standardizzato.

“Per noi questo passo è essenziale, perché la gestione degli impianti di produzione è il nostro core business e dobbiamo garantire la business continuity e il disaster recovery”, sottolinea Esposito.

Il fattore umano e la formazione

Parte integrante della governance dell’IT è l’attività di formazione e sensibilizzazione del personale. Molti CIO lamentano la mancanza di consapevolezza in merito alle questioni della cybersecurity.

“La compliance con la NIS 2 e, in generale, la cybersicurezza delle aziende, non presentano una difficoltà a livello tecnico: il vero allineamento è nelle competenze e nel comportamento degli utenti aziendali”, dichiara Esposito.

Anche in aziende più grandi il fattore umano è, a volte, l’anello debole della catena.

“La cultura aziendale è fondamentale, noi abbiamo rilevato attacchi partiti da una semplice chiavetta USB”, riferisce Ragazzi.

Per questo EAV svolge regolarmente corsi di formazione per i dipendenti, sensibilizzando tutti sui rischi cyber (specialmente dopo l’attacco hacker subito nel 2022). In questa attività di awareness rientra il “bollettino cyber” che la Direzione IT diffonde ogni mese a tutti i dipendenti e nel quale vengono riportati i principali attacchi rilevati in azienda e nel mondo.

“L’elemento che conta è il fattore umano e stiamo facendo tantissima formazione e sensibilizzazione: è un’attività su cui vale sempre la pena investire”, concorda Alampi di Colisée Italia. “In tanti casi, sulle procedure di sicurezza mi sono imposto, pur cercando sempre di comunicare con le persone e spiegare che queste procedure sono necessarie – come nei tanti phishing test che conduciamo – e fanno parte della complessiva cultura aziendale, anzi personale. Un elemento che funziona, per me, è avere un fornitore che ci aiuta, non solo progettando le attività di formazione, ma erogandole in modo coinvolgente, con la gamification. Abbiamo organizzato gare tra le RSA con tanto di premio finale e questo aiuta molto a motivare e a formare le persone”.

Alampi aggiunge che è importante anche avere procedure interne ben definite in caso di attacco, con priorità chiare su come e su quali sistemi agire (quali, per esempio, devono ripartire subito) e poter contare su fornitori che rispondono subito in caso di crisi.

Per Esposito, che dirige l’IT di un’azienda non grande, il supporto dei fornitori è ancora più importante.

“Sia a livello business che IT stiamo cercando di comprare l’infrastruttura applicativa da un big provider e ciò include anche ciò che concerne la cybersicurezza”, riferisce il CIO. “Penso al telecontrollo delle centrali in tempo quasi reale, alle applicazioni che catturano e analizzano i fattori di rischio o ai sistemi per la manutenzione predittiva. Per questo sto puntando sulla piattaforma dati: è la base su cui costruire i processi IT e fare cybersecurity in modo efficace. A tutto uniremo un percorso di aggiornamento delle competenze del personale sulla sicurezza nella digitalizzazione”.

I costi della cybersicurezza per i CIO sono un problema

In un’azienda come EAV, di grandi dimensioni, pubblica e legata al servizio fondamentale del trasporto, la cybersicurezza è un compito ad ampio raggio, che include gli investimenti nell’infrastruttura di telecomunicazioni, funzionale alla resilienza dei servizi aziendali. Ragazzi spiega come, in caso di furti di rame, cavi tranciati e altri eventi che possono interrompere il servizio, l’utilizzo della tecnologia SD-WAN (Software Defined – Wide Area Network) consenta “la continuità operativa dei servizi critici di stazione spostando automaticamente (sulla base di policy predefinite) i flussi di traffico da un percorso a un altro (per esempio, dall’infrastruttura in fibra proprietaria alla rete 5G)”. Ciò garantisce che le informazioni al pubblico siano sempre fornite ed aggiornate, che i sistemi di bigliettazione continuino ad erogare il servizio, e così via.

C’è poi l’area dell’asset management: Ragazzi si è occupato della definizione del processo e dell’attivazione e implementazione di software specifici e di una control room IT che dà una visione unica di tutta l’infrastruttura, dalla rete ai server, dalle telecamere agli switch, dai PC ai tornelli. Infine, per rafforzare ulteriormente la sicurezza, Ragazzi ha affiancato al team del SOC una war room interna che interviene in caso di attacchi e minacce gravi.

Tutto questo ha un prezzo, evidenzia il Direttore IT di EAV.

“Per le aziende, la cybersecurity è troppo costosa e, a mio parere, lo Stato dovrebbe contribuire a garantire la sicurezza delle infrastrutture, così come gli operatori che offrono servizi di connettività dovrebbe garantire la sicurezza di quanto transita sulla propria rete”, osserva il manager. “Persino il Polo Strategico Nazionale, dove EAV sta portando alcuni servizi non core, non offre di default la sicurezza dell’infrastruttura: le aziende la devono comprare”, evidenzia ancora Ragazzi. “Oggi per EAV un terzo del budget IT è dedicato alla cybersicurezza ed è una spesa insostenibile. Nel 2028 prevedo di dover moltiplicare per 7 il budget IT e la spesa per la sicurezza aumenterà di conseguenza. Per me non c’è modo di evitarlo, perché è essenziale per la business continuity: un rischio cyber è una minaccia alla capacità di far circolare i treni ed erogare il servizio. Ma è sempre una spesa da giustificare davanti al top management”.

Infatti, un CIO del manufacturing ci ha raccontato di aver chiesto un aumento di budget per effettuare procedure di ridondanza edisaster recovery in cloud, ma “il messaggio non è stato raccolto”. Non è così in tutti i settori e in tutte le imprese: per esempio, nel finance e nelle utility l’attenzione dei dirigenti tende ad essere alta e, di conseguenza, lo è il budget. In altri ambiti finora meno bersagliati dagli hacker o in società piccole, invece, si tende a ridurre al minimo la spesa, col rischio, però, che un incidente cyber abbia gravi ripercussioni. 

“Lo scenario generale è fortemente cambiato, l’attenzione oggi è molto più alta e il tema della sicurezza informatica è molto più sentito anche nei board”, evidenzia Alampi. “Da noi in azienda il budget è più che adeguato, ma in passato ho vissuto diverse realtà dove per adeguarlo bisognava far capire al management che non era un mero costo, ma un investimento”.

In questi casi, il CIO deve cercare di far uscire i dirigenti dal circolo vizioso rappresentato da due approcci complementari: “Inutile spendere tanto se non ci hanno mai attaccato” e “Spendiamo tanto ma siamo stati attaccati ugualmente”. L’investimento in cybersecurity resta in ogni caso vitale, perché, senza difese attive e proattive, gli incidenti che vanno a segno e i danni prodotti sono molto più alti (anche reputazionali). È un messaggio importante da trasmettere al board.