La cybersicurezza dei sistemi industriali

Il documento, predisposto dall’Agenzia Nazionale della Sicurezza dei Sistemi di Informazione (ANSSI), è stato concepito per offrire alle industrie francesi non solo una conoscenza generale del fenomeno di rischio della sicurezza informatica ma, anche, per sviluppare ed adottare una metodologia della prevenzione del rischio per i propri sistemi informatici.
Nel solco di quanto prescritto nel Libro Bianco per la difesa e la sicurezza nazionale redatto nel 2008, il documento sottolinea la necessità, per il sistema industriale nazionale, di adottare una nuova e ben più incisiva politica di prevenzione e di protezione dei propri sistemi informatici, ricordando l’accresciuta dimensione dello spionaggio cibernetico ma anche la diffusa attitudine eversiva delle organizzazioni di hackeraggio.
Secondo l’ANSSI è ancora evidente lo scarso livello di attenzione delle industrie in merito al fattore della sicurezza informatica, e questo atteggiamento espone l’intero sistema industriale nazionale al rischio di attacco da parte della sempre più attiva ed evidente minaccia informatica.
È, quindi, necessario in primo luogo un processo di trasformazione culturale, che evidenzi il fenomeno della cybersicurezza nella sua interezza, se ne comprenda il rischio in termini globali e specifici e si adotti, quindi, una nuova attitudine manageriale della prevenzione dei rischi costruita anche – e soprattutto, oggi – sulle più evolute frontiere della minaccia.
La sicurezza tradizionale – intesa come sicurezza per il personale e per il corretto funzionamento dei macchinari – è stata oggetto di un lungo e sistematico processo di elaborazione nel settore industriale. Con risultati eccezionali che hanno permesso di ridurre drasticamente il verificarsi di incidenti, mitigando in tal modo il rischio.
Questo stesso processo culturale deve necessariamente, secondo l’ANSSI, essere sviluppato con riferimento alle tecnologie informatiche. Transitando da una cultura del rischio, essenzialmente basata su una scarsa percezione delle potenzialità della cybersicurezza, ad una piena e completa consapevolezza di ciò che la minaccia informatica oggi comporta in tema di sicurezza industriale.
La guida predisposta dall’Agenzia Nazionale per la Sicurezza dei Sistemi di Informazione, quindi, è stata predisposta nel solco di questa specifica esigenza. Per illustrare al management delle industrie francesi i criteri generali di questo processo di adeguamento della sicurezza industriale, tracciandone un vero e proprio approccio culturale, oltre a quello prettamente tecnico ed operativo.
Ciò su cui insiste l’Agenzia, quindi, è lo sviluppo di una cultura della sicurezza integrata. Che includa al suo interno la complessità dei sistemi informativi e che interagisca con il sistema della sicurezza tradizionale e della security in senso aziendale. Una completa sinergia, quindi, tra sistema della produzione e sistema della gestione, attribuendo a quest’ultimo un valore ed una collocazione, nel processo di definizione delle procedure di sicurezza, paritaria rispetto al primo.
Il documento sottolinea, anche, in modo chiaro ed evidente come non esista una soluzione univoca ed eguale per tutti nella gestione dello specifico problema, imponendosi al contrario lo sviluppo di una strategia ad hoc e di volta in volta diversa, a seconda del differente contesto produttivo su cui andrà plasmata. Questo, necessariamente, comporterà l’assunzione di nuovi e, spesso, ingenti costi che il sistema industriale deve considerare nella pianificazione economica, considerandoli come essenziali e ricorrenti.


Il manuale

La prima parte del manuale è dedicata essenzialmente ad una introduzione generale al fenomeno, con una interessante parentesi sui ‘miti’ della sicurezza informatica, dove brevemente vengono illustrati alcuni dei più ricorrenti errori concettuali nella considerazione del fenomeno generale.
Viene, poi, illustrata la generalità della casistica degli attacchi e l’insieme dei comportamenti omissivi, sotto il profilo della sicurezza aziendale, che solitamente agevola l’esposizione al rischio da parte di agenti esterni. In questo quadro, quindi, vengono anche a grandi linee evidenziate le principali vulnerabilità informatiche dei moderni sistemi industriali, illustrandone il potenziale di rischio e la dimensione complessiva per la sicurezza aziendale.
La seconda e più consistente parte del manuale è, invece, dedicata alla metodologia per lo sviluppo di una cultura e di una capacità operativa per la sicurezza informatica.
Ampio spazio viene dedicato alla necessità di investimento per la sensibilizzazione del personale, ricordando continuamente come questa costituisca una vera e propria rivoluzione culturale sulla quale è necessario investire in termini economici e di tempo, al fine di determinare una nuova e ben radicata concezione del fenomeno, ad ogni livello della struttura aziendale.
Questa sezione termina poi con una descrizione generale delle procedure e delle metodologie di definizione della strategia di contenimento del rischio informatico e con la necessità di considerare il fenomeno nell’ambito di una visione d’insieme, con il complesso della sicurezza aziendale, sia sotto il profilo della produzione che quello della gestione.
Il documento si completa, inoltre, con quattro allegati dedicati alle vulnerabilità più frequenti, ad una utilissima check-list per la valutazione della propria capacità di gestione della sicurezza, ad un glossario di sigle ed acronimi e ad una bibliografia essenziale per l’ulteriore approfondimento del problema.


I casi pratici

Al manuale principale è abbinato un documento aggiuntivo denominato “I casi pratici”. Questo interessante volume è dedicato all’approfondimento dei temi generali trattati nel manuale principale, focalizzando l’attenzione soprattutto sulla metodologia di sviluppo di una pratica concezione della sicurezza informatica a livello industriale.
Il primo capitolo è dedicato all’illustrazione del contesto generale di applicazione, fornendo al lettore un’utile traccia generale per la comprensione complessiva del problema.
Il secondo capitolo è, invece, dedicato alla fondamentale fase di definizione dell’approccio di sicurezza, con cui l’azienda dovrà misurarsi nel momento in cui dovrà adattare alle proprie specifiche esigenze il piano di gestione della propria infrastruttura di sicurezza.
Il terzo ed il quarto capitolo sono dedicati, infine, alla valutazione dei risultati ed all’implementazione continua dei sistemi di sicurezza, al loro aggiornamento ed alla gestione dei processi di integrazione ed ottimizzazione.
Mentre, nel quinto ed ultimo capitolo, viene trattata la gestione del piano d’azione e delle esigenze di mantenimento dell’operatività delle strutture preposte all’esercizio del controllo della sicurezza informatica industriale.

Uno studio estremamente interessante, in sintesi, oltre che decisamente utile e ben realizzato dall’Agenzia. Che, nell’intento di fornire al proprio complesso industriale nazionale indicazioni di sicurezza attuali e funzionali, rende l’idea di come il problema della cybersecurity abbia assunto una posizione prioritaria nell’esperienza delle Agenzie di Intelligence e della sicurezza della Repubblica Francese.