Se dal punto di vista tecnologico, Industria 4.0 è una realtà già da tempo, sul versante opposto, quello delle aziende utenti, la situazione è ancora tutta da inquadrare.
Spesso infatti, anche solo per carenza di tempo e competenze, è difficile riuscire a spingersi oltre l’interesse. Tra gli ostacoli maggiori, la cybersecurity gioca un ruolo decisivo nel rallentare gli entusiasmi. In questo spazio da colmare, si è collocata da tempo IMQ.
La sfida per la competitività oggi è legata al digitale e dobbiamo prima di tutto capire quanto siano effettivamente pronte le aziende del settore – spiega Maria Antonietta Portaluri, presidente dell’Associazione –. Rappresentiamo un sistema formato dal meglio tra l’industria elettronica ed elettrotecnica nazionale e non possiamo tirarci indietro di fronte al compito di guidare l’evoluzione digitale dei mercati a valle».
In collaborazione con ANIE si rinnova quindi l’appuntamento annuale per un punto sulla situazione, affrontato sotto ogni aspetto grazie al contributi di esperti nei rispettivi settori. Dalla visuale tecnica a quella pratica, con un occhio di riguardo per sicurezza e normative, il quadro si è rivelato esauriente e utile per impostare a dovere le strategie dei prossimi mesi.
«Alla fine è soprattutto una questione di competenza– sottolinea Portaluri -.Bisogna farla ruotare; tutti siamo chiamati a fare sistema per aiutare scuole e università a sviluppare conoscenze in grado di guidare la trasformazione dei prossimi anni».
Dal canto loro, stimolate anche dal Piano Calenda, tante aziende non sono state a guardare. Con il crescere della digitalizzazione però, si manifesta inevitabilmente anche un nuovo fronte della sicurezza IT. Salito ormai ai primi livelli in materia di priorità, in prospettiva dell’ulteriore passaggio dalle persone connesse agli edifici connessi, il problema è farsi trovare preparati. Esattamente uno dei temi portanti per l’appuntamento IMQ, “Cyber Security e Trasformazione Digitale. Rischi e opportunità: l’importanza dell’osservazione e della prospettiva”.
Convergenza a tutto dato
«La tecnologia è ormai arrivata al centro dei processi – esordisce Giulio Iucci, presidente di ANIE Sicurezza -. È una conseguenza del forte sviluppo, dal quale è scaturita anche la convergenza. Siamo arrivati a sistemi integrati, con una somma di informazioni il cui valore è decisamente maggiore rispetto al singolo dato».
Da qui l’ulteriore salto di scala necessario per la difesa delle informazioni, a prescindere dagli aspetti normativi. Senza timore di rivelarsi vulnerabili o diventare un obiettivo dei cyber attacchi, la strada indicata parte da un approccio globale. «Il principio di base è profondamente cambiato – avverte Iutti -. Non si può più agire secondo il principio di azione e reazione. Quando si parla di sicurezza IT, bisogna intervenire non appena emerge un’anomalia».
In un sistema convergente, ogni elemento dell’infrastruttura va considerato critico e pertanto oggetto di attenzione. A guidare il valore delle misure da adottare è l’importanza assegnata al dato. Di fronte a nuove tecnologie, servono nuove procedure. «Bisogna intercettare i dati, anche quelli all’apparenza insignificanti – riflette il presidente ANIE -. Raccoglierli, correlarli e interpretarli grazie ai nuovi software. Quindi, entra in campo la capacità di intervento, dall’anticipare un danno al pronto ripristino. Rimettendo subito dopo in circolo quanto imparato».
Uno scenario destinato presto a cambiare ancora con l’entrata in campo dell’intelligenza artificiale, fondamentale quando la quantità di informazioni prodotte dalla digitalizzazione supererà ogni limite di un possibile controllo manuale. «Si prospetta uno scenario incentrato su riservatezza, integrità e disponibilità dei dati. Vale a dire, difesa contro accessi non autorizzati, controllo sulle modifiche e conoscenza dell’origine. A questi aggiungerei la non ripudiabilità, chi invia e riceve un dato deve essere certo. Fermo restando disponibilità e accesso verificato». Per le aziende, significa anche un importane passaggio a livello concettuale. Superare il principio di firewall interno, per spostare le misure di sicurezza direttamente in Rete.
Con il supporto anche del recente Cybersecurity Act, premesse importanti per rinnovare l’attenzione verso i processi di certificazione. Da quella volontaria alla più impegnativa per qualsiasi servizio adottato in azienda, sarà solo questione di scegliere la più in linea con i propri requisiti organizzativi interni, ma è un argomento da tenere in agenda.
Non solo GDPR
Uno scenario dove le implicazioni legali acquistano ancora maggiore peso. Se lo sforzo richiesto per una conformità delimitata dal perimetro aziendale risultava già impegnativo, è impensabile pensare di affrontare lo scenario attuale mantenendo lo stesso approccio.
«La sicurezza cibernetica oggi è una responsabilità comune, da condividere – conferma l’avvocato Stefano Mele, specializzato in cyber security, di Carnelutti studio legale associato -. Bisogna però capire bene come comportarsi ogni giorno in prima linea. A preparazione e attenzione bisogna infatti affiancare conformità e rispetto delle normative».
Al fianco dell’ormai onnipresente GDPR, nel campo della cyersecurity ci sono anche altri aspetti meno noti da considerare, a partire dalla Direttiva NIS, entrata in vigore a poca distanza. L’intento di innalzare i livelli di sicurezza dei settori legati ai servizi essenziali chiama in causa fornitori e istituzioni per una collaborazione più stretta.
«I Ministeri competenti sono chiamati a erogare misura di sicurezza rivolte alle aziende nei rispetti settori – osserva Mele -. Non sono regole semplici, da capire e da attuare, ma sono giustificate dalla realtà. I livelli di sicurezza attuali sono minimi». Basta infatti un dispositivo solo all’apparenza innocuo ed estraneo al contesto aziendale come una smart TV, per natura totalmente priva di protezioni IT, per introdurre una falla in una rete.
Alla Direttiva NIS, se ne affianca una seconda altrettanto importante, utile a richiamare l’attenzione su aspetti non sempre tenuti in debita.«Il Cybersecurity Act ha introdotto la prima certificazione europea per prodotti e servizi venduti sul mercato digitale in Italia – rammenta l’avvocato -. A breve andrà a certificare il livello di sicurezza integrato in hardware e software, destinati a processi aziendali, PA compresa».
Un segnale importante, dove la posizione dell’Italia viene valutata positivamente per livello di attenzione e avanzamento dei lavori. Non appena individuato un processo considerato critico per la sicurezza su scala nazionale, lo Stato può introdurre una verifica. Per questo, pur se al momento non obbligatoria, la certificazione UE è destinata a diventare fattore di scelta importante per CIO o amministratori delegati.
«Stiamo entrando in una fase dove le certificazioni su hardware e software diventeranno elementi fondamentali, forse ancora più della conformità. In ogni caso, è un’opportunità importante per elevare i livelli di sicurezza, a beneficio dell’intero sistema».
La cybersecurity è un lavoro di squadra
L’impressione collettiva emersa durante il convegno è di un mercato attualmente orientato a dare troppe cose per scontate quando si parla di sicurezza. Serve prima di tutto maggiore conoscenza diffusa sull’argomento, ma deve anche diventare più trasparente. È giusto sapere cosa contiene un’infrastruttura di cybersecurity, ed è importante puntare a prodotti i qualità, quelli dai quali arrivano le maggiori garanzie. Per le aziende prima di tutto, ma anche per la vite private, ormai sempre più legate tra di loro.
La buona notizia, una prima presa di coscienza dei protagonisti non manca. «Il vero problema della sicurezza IT è chi afferma di gestire un’azienda totalmente sicura – interviene Giacomo Stucchi, consulente del Presidente di Regione Lombardia in tema di trasparenza, legalità e cybersecurity -. Dal punto di vista normativo, l’Italia è ben sintonizzata sulla problematica e tutti i giorni incontro soggetti consapevoli dei problemi legati alla tutela dei dati e sulla necessità di individuare le tecniche migliori».
Prima ancora di combattere gli attacchi, il primo obiettivo è elevare barriere abbastanza alte da scoraggiare i cybercriminali e indurli a provare altrove. A questo servono anche realtà come il Copasir, fino a poco tempo fa guidato dallo stesso Stucchi. «Lo Stato da solo però, può fare ben poco. Serve la collaborazione di tutti, PA, Università, mondo della ricerca, aziende e privati per unire le forze necessarie».
A livello nazionale il limite è infatti una dimensione singola limitata per strutture e risorse. Tuttavia, anche in questo caso la dimensione artigianale e la relativa capacità possono rivelarsi un’arma in più. «Credo sia la sfida più importante al momento – richiama Stucchi -. Riunire tutte queste realtà, superando gelosie. Dobbiamo giocare la partita della sicurezza IT con la maglia della nazionale e credo siamo sulla buona strada».
Nel frattempo, è altrettanto importante avviare un’operazione di sensibilizzazione a partire dal basso. Mettere cioè i singoli nella condizione di conoscere meglio il valore dei dati personali. Quindi, maggiore responsabilità nelle potenziali conseguenze di un approccio troppo disinvolto ai social network, o semplicemente nella protezione dei propri dispositivi.
Ma anche controllare a livello normativo i passaggi rischiosi di informazioni personali. L’esempio più recente, il potenziale destino della banca dati Fitbit, informazioni legate alla salute quindi molto sensibili, una volta assorbita da Google.
«Le dimensioni della sfida rendono necessario affrontarla almeno a livello UE. Sarà una battaglia dura, perché si andrà inevitabilmente contro gli interessi di grandi soggetti molto attivi e pressanti, con enormi profitti in gioco, ma facciamo parte di un sistema e i rischi sono veramente grandi. Quindi, credo valga la pena di combatterla».
Sempre alto il rischio indifferenza
Muovendosi però in direzione dei diretti interessati, lo scenario inevitabilmente cambia. Tre le croniche difficoltà nel dover accettare di cambiare abitudini radicate da anni o la reticenza ad ammettere ogni sorta di problema, per chi deve trasmettere il messaggio alle aziende la vita non è certo facile.
«Rimane l’atteggiamento mentale con cui ancora troppe aziende in Italia affrontano la questione sicurezza – puntualizza Guido Allegrezza, responsabile, compliance, governance & security di Telecom Italia Trust Technologies -. In genere è importante porsi delle domande prima che succeda qualcosa. Soprattutto, capire quali domande porsi, perché la via migliore resta sempre la prevenzione».
Concetti scontati solo per chi non ha mai provato a convincere un’azienda, in genere piccola, ad acquistare servizi di sicurezza IT, mai abbastanza considerati strategici, almeno fino al momento in cui il danno appare evidente e il più delle volte irrimediabile.
«Servono analisi del rischio, analisi tecniche, ma soprattutto molta cultura, anche organizzativa – rilancia Allegrezza -. Prima di pensare a un colpevole, non necessariamente tale, bisogna capire cosa non ha funzionato. La sicurezza IT viene troppo spesso considerata un aspetto negativo, mentre invece significa cultura e valori di un’organizzazione».
L’esperienza maturata sul campo è in grado di dimostrare, dati alla mano, come i costi per interventi immediati e ripristino da soli, in caso di incidente superino il totale dell’investimento richiesto per la prevenzione. Lasciando fuori dal conto le conseguenze di fermi alle attività produttive, danni reputazionali e sanzioni. Per una media azienda, la stima di Telecom Italia Trust Technologies arriva a un milione di euro nei sei mesi successivi al danno.
«Viene da chiedersi quanto ne valga la pena ignorare la questione. Cifre del genere potrebbero essere investite molto meglio, a partire dalle necessarie formazione e sensibilizzazione utili a contenere l’80% degli incidenti riconducibili a errore umano».
La digitalizzazione non può aspettare, sicuramente
Addentrandosi dal quadro generale al dettaglio, inevitabilmente emergono anche i limiti e i problemi più urgenti da risolvere: certamente, l’attenzione delle aziende nel complesso non manca. Tra gli ostacoli più alti però, la posizione penalizzante di partenza. «Prima di tutto, è fondamentale porre il problema al centro dell’attenzione – riflette Andrea Bianchi, direttore Area Politiche Industriali di Confindustria -. Il problema cresce in parallelo con la spinta verso la digitalizzazione, dove l’arretratezza italiana nella diffusione di cultura digitale rischia di trasformarsi in perdita di competitività. Dobbiamo agire per colmare questo divario».
I dati europei infatti, penalizzano un’Italia tra le ultime posizioni sul tema. A consolare però, la messa in moto del sistema. Assinform stima infatti un volume d’affari di 70 miliardi di euro legato alla cybersecurity, con una crescita annua del 2,5%, destinata ad aumentare al 3,1% fino al 2021.
«Siamo quindi in ritardo, ma in movimento – conferma Bianchi -. Anche come qualità della domanda, come cloud e mobile in salita del 16%, mentre l’ICT tradizionale resta stabile, Importante infine, la rapida ascesa di IoT».
Con le banche e il mondo finance in generale già lanciati da tempo, sulla spinta di Industria 4.0 ora è il momento della manifattura produrre l’accelerata intenzionata a mantenere la competitività. Non mancano però i punti delicati.
«Sul fronte della sicurezza IT, la domanda cresce meno del mercato digitale nel suo insieme – puntualizza Bianchi -. Le nostre imprese spendono l’1,4% dell’investimento complessivo per difendersi, mentre il giusto equilibrio dovrebbe essere intorno al 10%».
Con l’affacciarsi della digitalizzazione, e relativa apertura totale dei sistemi IT, questo significa prima di tutto aumentare la vulnerabilità complessiva della produzione. «Dobbiamo assolutamente bilanciare questa proporzione – avverte Bianchi -. Serve prima di tutto maggiore comunicazione, affinchè la spinta verso Industria 4.0 non si trasformi in una crescita di vulnerabilità del relativo sistema impresa connesso».
Alle istituzioni e alle associazioni il primo posto nel compito di inseguire la missione. Nell’euforia del passaggio al digitale per esempio, troppo spesso gli aspetti legati alla sicurezza sono stati sottovalutati. D’altra parte, l’offerta sembra muoversi nella giusta direzione. A fronte di una carenza per le grandi soluzioni, la filiera è considerata in crescita, soprattutto nei settori di nicchia e nelle attività di personalizzazione. All’altro capo, si punta sull’Unione Europea per un approccio su larga scala.
«Le prime dieci società del settore al mondo sono statunitensi o cinesi. Abbiamo quindi anche un problema di sovranità tecnologica. Per affrontare con efficacia gli aspetti legati alla sicurezza, dobbiamo iniziare a parlare anche di sovranità digitale europea, di regole antitrust necessarie a far crescere le nostre realtà».
Prima ancora di regole, questa è la via indicata da Confindustria per garantire sicurezza e successo dell’economia comunitaria. Altrimenti, si rischia di scrivere regole senza poterle imporre. O, peggio ancora, di trovarsi con un’infrastruttura cruciale come il cloud, vaga per definizione, senza poter realmente stabilirne la paternità.
«Credo che la sovranità tecnologica sia ancora più importante delle regole. Dobbiamo recuperare capacità per investire nell’Unione Europea e reggere il confronto. Al fianco, devono arrivare le regole, utili a guidare anche l’offerta nazionale. Un passo importante, è il contributo di una certificazione per i servizi nella sicurezza IT»,
Per un’Europa più sicura, servono anche le certificazioni
Un contesto dal quale alla fine scaturiscono in modo spontaneo utilità e necessità di certificazioni. Nel complesso però, un evento sviluppatosi in modo costruttivo intorno al soggetto, senza paura di affrontare ogni aspetto dello scenario italiano. «Di fianco a una auspicabile digitalizzazione resta la necessità di proteggere il dato – conclude Maria Antonietta Portaluri di IMQ -. Il ruolo della certificazione hardware e software appare quindi auspicabile. Non può essere però un procedura solo nazionale. Come associazione, ci muoviamo verso l’obiettivo di una certificazione europea».