Con infrastrutture critiche vengono definite organizzazioni o istituzioni il cui malfunzionamento o danneggiamento potrebbe cagionare strozzature durature dell’approvvigionamento, interruzioni dei servizi essenziali al cittadino e/o di sicurezza pubblica o altre drammatiche conseguenze. Dagli stabilimenti di produzione alle strutture sanitarie, dai musei e centri commerciali ai trasporti pubblici, nonostante le ovvie differenze, tutti sono accumunati dall’impiego di sistemi informativi operativi (OT) e informatici che ci permettono di accedere ai servizi più rapidamente, di vivere la nostra vita quotidiana “normalmente”, e possibilmente anche in modo più confortevole e sicuro. Tuttavia, la crescente “smartizzazione” di queste infrastrutture e l’ubiquità delle tecnologie digitali stanno rendendo questi sistemi tradizionalmente isolati più efficienti e agili, ma anche più vulnerabili ai nuovi rischi informatici. Una minaccia ormai talmente palese che oggi si parla in maniera molto specifica di misure di protezione delle infrastrutture critiche informatizzate – CIIP – Critical Information Infrastructure Protection.
In qualità di riferimento europeo per la cybersecurity nel settore dei sistemi IT e OT, delle infrastrutture critiche e dei dati sensibili, noi di Stormshield riteniamo che l’inarrestabile messa in rete delle organizzazioni che rientrano tra le infrastrutture critiche e le relative problematiche di cybersecurity non possano più essere viste come questioni puramente tecniche. Entrambe sono infatti colonne portanti della resilienza di queste organizzazioni e della loro capacità di fornire servizi vitali nonostante potenziali situazioni di crisi di origine informatica, ma non solo. L’adozione di strumenti ancorati al territorio europeo e di conseguenza conformi alle normative vigenti anche in Italia è garanzia di una sovranità digitale richiesta a gran voce in Europa ma ancora purtroppo solo teorica. Di fronte a minacce in rapida evoluzione, attuate a scopo di lucro o nell’ambito di una cyber-warfare globale ben più concreta di quanto si supponga, aumentare la cyber-resilienza delle infrastrutture critiche è più che mai una questione di responsabilità. Ma come farlo?
.
La giusta combinazione
L’obiettivo della cyber-resilienza è riuscire a minimizzare l’impatto di un attacco informatico sul funzionamento dell’organizzazione, affinché la stessa sia in grado di erogare servizi di primaria importanza per lo Stato e i cittadini e di tornare operativa a pieno regime nel minore lasso di tempo possibile. Come nel caso di tutti i processi di gestione delle crisi, anche le misure volte a garantire un buon livello di cyber-resilienza devono essere state già messe in atto, prima che si verifichi un incidente. A tal proposito è importante ricordare che il raggiungimento e quindi il mantenimento della cyber-resilienza non è un processo una tantum, al contrario le misure adottate devono essere testate e adattate regolarmente. L’implementazione di un nuovo servizio, ad esempio, o una situazione inattesa come il ricorso affrettato al telelavoro di ampie parti dell’organico può aumentare la superficie di attacco delle organizzazioni. Se questo rischio non viene identificato per tempo, l’intera strategia è inefficace. La sicurezza informatica svolge un ruolo chiave in questo ambito. La selezione di tecnologie “sovrane” affidabili, un’adeguata segmentazione delle reti e l’adozione di politiche di sicurezza flessibili, che consentano di implementare rapidamente modelli “zero-trust” in caso di necessità hanno la priorità.
Anche la componente umana è fondamentale. Affinché le misure adottate siano davvero efficaci non ci si può affidare esclusivamente a processi automatizzati e al mero aspetto tecnico della sicurezza. Il raggiungimento della cyber-resilienza richiede un’ampia sensibilizzazione dell’intero organico al tema della cyber-security e dell’igiene digitale.
Infine, l’attuazione di questo tipo di misure dovrebbe essere richiesta a tutta la catena di fornitori di organizzazioni critiche, perché una catena è forte solo quanto il suo anello più debole.
