La Cyber Security è uno dei pilastri della trasformazione digitale, soprattutto nel settore industriale.
Può essere definita come l’insieme delle soluzioni tecnologiche, programmi e tecniche, adottati per proteggere computer e reti informatiche da attacchi esterni.
La protezione da minacce esterne, come ad esempio i ben noti virus, può essere di due tipologie:
- dei dati, quindi dei contenuti privati veri e propri.
- dell’hardware, cioè delle macchine in senso stretto.
Ma non esiste solo questa distinzione.
Tipi di sistemi industriali
Più specificatamente, quando si parla di Cyber Security in ambiente industriale, si fa per lo più riferimento alla protezione delle reti e sistemi di automazione di fabbrica o di controllo dei processi produttivi (DCS, portali, CMMS, Iot…).
Nelle aziende solitamente si possono quindi distinguere due categorie di sistemi:
- IT (Information Technology).
- OT (Operation Technology).
Con la prima espressione ci si riferisce principalmente ai gestionali.
Nei sistemi OT vengono invece inclusi gli strumenti pratici dell’azienda, dai quali dipende il funzionamento della fabbrica e delle linee di produzione.
Essendo profondamente differenti nei caratteri tecnici, anche i sistemi di difesa specifici si distinguono nettamente.
Perciò si può parlare di Cyber Security OT e Cyber Security IT.
La differenza fra Cyber security OT e Cyber Security IT
Sono tre gli elementi che distinguono queste due forme di sicurezza informatica per le aziende:
- Tipologia di minacce.
- Superfici di attacco.
- Priorità.
Per quanto riguarda il primo elemento, nella sicurezza IT il pericolo è legato al furto dei dati privati.
Nella sicurezza OT invece sono a rischio quasi esclusivamente l’assetto produttivo e la continuità operativa.
Le superfici di attacco sono differenti perché i sistemi IT hanno dei limiti più facilmente definibili, cosa che non accade per l’Operation Technology.
I sistemi OT sono solitamente allargati e “spalmati” geograficamente, in più non sono rappresentati esclusivamente da computer e server, genericamente più semplici da proteggere.
Per quanto riguarda il terzo elemento distintivo invece si deve far riferimento ad alcune norme internazionali, tra le quali non si può non citare la serie ISO/IEC 27000.
Questa serie di disposizioni fornisce modelli specifici da seguire nella creazione e mantenimento di un sistema di gestione.
I modelli sono costruiti su delle priorità in un ordine ben preciso, che per l’appunto cambiano se si trattano sistemi aziendali IT o OT.
Nella tutela della sicurezza dei dati informatici (IT) l’ordine di priorità è:
- Tutela della riservatezza dei dati.
- Mantenimento dell’integrità delle informazioni.
- Disponibilità.
La sicurezza informatica OT ha invece un ordine totalmente inverso, tanto che in alcuni casi la tutela della riservatezza viene praticamente trascurata, se non ignorata.
Convergenza fra le due tipologie di sistema
Nell’Ottobre 2018 Daniel Ehrenreich ha affermato nel suo canale Linkedin la ferma convinzione che a causa di queste profonde differenze una convergenza fra Cyber Security OT ed IT sia impossibile.
Per molti la sua opinione è estrema.
Con un cambio di mentalità è possibile tutelare al meglio le priorità sia dell’una che dell’altra.
Il segreto sta nel pianificare i modelli di Cyber Security aziendale pensandoli assieme, e non più applicando un singolo processo di sicurezza ad entrambe le categorie.
Naturalmente, i metodi di gestione che derivano da questa soluzione diventano più complessi, come cambiano le figure manageriali necessarie. Multidisciplinarietà e team ibridi sono le parole d’ordine.
E’ un cambiamento nella visione aziendale radicale, ma per ottenere la massima efficienza, tale metodologia è l’unica possibile.
Per approfondimenti:
- Ricomincio da 4… : il dualismo tra IT ed OT nell’industria manifatturiera 4.0
- Riccini, C. (2018); Next generation pharma: le imprese del farmaco e la trasformazione digitale. Medic 2018; 26(2): 12-18