La situazione delle minacce nello spazio cibernetico rimane tesa. Con la crescente digitalizzazione delle aziende, gli attacchi non sono solo un rischio per i sistemi IT: anche l’Operational Technology (OT) è sempre più nel mirino degli aggressori.
Fra i rischi che le aziende corrono, quello di un attacco informatico e di una conseguente interruzione dell’attività è fra i più impattanti al mondo. In risposta al crescente numero di attacchi, l'Unione Europea ha rafforzato i requisiti normativi per la sicurezza informatica e ha adottato la direttiva NIS2 a dicembre 2022.
Questo quadro normativo è pensato con particolare riferimento alle aziende che appartengono a settori critici e prevede un approccio rigoroso a tutela contro gli attacchi informatici. Il management è esplicitamente coinvolto nel processo.
Gli Stati membri sono obbligati a convertire la direttiva in legge entro ottobre 2024: un tempo che le aziende dovrebbero sfruttare per allinearsi ai numerosi requisiti stringenti della direttiva.
Un approccio organico e integrato alla sicurezza
La prima versione della direttiva NIS risale al 2016, quando il focus principale era la sicurezza informatica. Nel frattempo, il concetto proprio di cybersecurity è cambiato in maniera significativa. Il processo di digitalizzazione ha permesso di collegare attraverso la rete apparati industriali che non solo non erano mai stati messi in rete, ma non erano nemmeno stati pensati per farlo.
La rete ha permesso a sistemi OT di comunicare tra loro e con le tecnologie in cloud. Ogni interfaccia o componente abilitato al collegamento a internet tuttavia diventa una potenziale porta di accesso per attacchi dalla rete.
L'Unione Europea ha sviluppato la nuova NIS2 tenendo conto di questa evoluzione che prevede logiche di sicurezza che coinvolgono l'intera azienda.
La sicurezza informatica come priorità assoluta
L’obiettivo di creare le basi per una maggiore sicurezza informatica si basa su una serie di misure tecniche: la NIS2 richiede ad esempio, come misure minime la crittografia di dati e informazioni, la gestione delle vulnerabilità e un controllo sistematico degli accessi.
Non è tuttavia comunque sufficiente per raggiungere un livello di sicurezza adeguato, poiché anche metodologie e strumenti di attacco stanno diventando sempre più sofisticati. Il chatbot ChatGPT, per esempio, è in grado di comporre testi che non differiscono quasi per nulla da quelli scritti da un essere umano e questo rende ancora più difficile rilevare le e-mail di phishing con un allegato infetto da malware.
È importante perciò monitorare costantemente il traffico per individuare qualsiasi evento che si discosti dalla condizione di normalità. Se un attacco è riuscito a superare il firewall, il sistema di rilevamento delle intrusioni (IDS) può segnalare eventuali irregolarità, come un maggiore trasferimento di dati, mentre il sistema di prevenzione delle intrusioni (IPS) può bloccare l'attacco. Anche la Deep Packet Inspection (DPI) sta acquisendo sempre più importanza: questo strumento analizza i pacchetti di dati inviati in rete, fino al livello dell'utente, per individuare e classificare protocolli e applicazioni.
Oltre ai provvedimenti tecnici, diventeranno obbligatorie tutta una serie di misure organizzative: innanzitutto predisporre una gestione del rischio cyber, predisporre piani di emergenza e formare regolarmente i propri dipendenti in materia di sicurezza informatica. Ciò significa che il management non potrà più assegnare la responsabilità della cybersecurity esclusivamente al reparto IT, ma sarà chiamato a risponderne in prima persona.
Un altro fattore che sta diventando chiave nell’analisi e nella prevenzione del rischio è la supply chain: un attacco anche grave in termini di conseguenze può passare attraverso i fornitori o i sistemi di altre aziende. In questo contesto, le certificazioni che attestino l'affidabilità di sistemi e componenti, saranno particolarmente rilevanti e per questa ragione l'UE ha invitato gli Stati membri a definire standard industriali adeguati per la certificazione.
Gli standard sono ancora tuttavia da definire: nel settore dell'automazione, viene già utilizzata con successo la norma IEC 62443 da parte di sviluppatori di componenti ed integratori. È quindi probabile che questa servirà da guida per definite gli standard per la sicurezza delle reti di comunicazione industriale.
I vantaggi della tecnologia open source
La nuova normativa riguarda un numero significativamente maggiore di aziende, molte delle quali non hanno in passato attuato nessuna politica specifica di cybersecurity e si trovano per la prima volta a dover adeguare i sistemi industriali esistenti. Molte attività industriali dispongono di infrastrutture particolarmente eterogenee in quanto i cicli di vita dei sistemi OT sono molto più lunghi rispetto a quelli dell'IT; questo aspetto complica ulteriormente i processi per mettere tutto in rete e in sicurezza.
Gli strumenti di cybersicurezza basati su tecnologia open source hanno un chiaro vantaggio in questa situazione. Letteralmente, la direttiva NIS2 afferma: "Gli strumenti e le applicazioni di cybersecurity open-source possono contribuire a un maggior grado di apertura e possono avere un impatto positivo sull'efficienza dell'innovazione industriale. Gli standard open facilitano l'interoperabilità tra gli strumenti di sicurezza, a vantaggio della sicurezza degli attori industriali".
La tecnologia open source consente di utilizzare standard di comunicazione aperti e offre quindi una buona soluzione per il collegamento in rete e la protezione di infrastrutture eterogenee. Ciò offre alle aziende la flessibilità necessaria anche per accogliere innovazioni future, senza dipendere da un singolo produttore o provider.
Inoltre, la NIS2 afferma che: "Le politiche che promuovono l'introduzione e l'uso sostenibile di strumenti di cybersecurity open-source sono di particolare importanza per le piccole e medie imprese che devono affrontare costi significativi per l'implementazione, riducendo al minimo la necessità di applicazioni o strumenti specifici".
Il processo di digitalizzazione e il networking hanno richiesto alle aziende di acquistare nuovi hardware, e, una sostituzione completa a causa delle norme di sicurezza NIS2, rappresenterebbe un enorme onere finanziario. La tecnologia open source può essere d'aiuto anche in questo caso: Endian, ad esempio, offre un gateway di sicurezza IoT in versione software. Con il software Endian 4i, qualsiasi PC industriale e qualsiasi gateway IoT (x86) possono essere trasformati in una soluzione di sicurezza completa, e questo permette alle aziende di continuare a utilizzare le macchine già acquistate.
L'open source offre altri vantaggi, che vanno ben oltre la sicurezza informatica: tramite la tecnologia dei container Docker è possibile utilizzare singole applicazioni aziendali o integrare applicazioni di terze parti, e quindi monitorare i dispositivi e le macchine e analizzarne i dati per ottimizzare i processi.
Una normativa ad ampio raggio
Non solo si moltiplicano le norme, ma rispetto alla prima edizione, la direttiva colpisce un numero maggiore di aziende includendole nell'ambito dei servizi critici. In totale, la direttiva NIS2 copre 18 settori e distingue tra "Enti essenziali" ed "Enti importanti". L'elenco completo è disponibile qui: https://ec.europa.eu/newsroom/dae/redirection/document/72155
Gli Enti Essenziali comprendono grandi aziende dei settori dell'energia, dei trasporti, bancari, finanziari, del settore della sanità, della gestione delle acque (potabili e reflue) delle infrastrutture digitali, della gestione dei servizi ICT nel settore B2B, aerospaziale e della pubblica amministrazione.
I settori economici importanti ("Enti importanti") sono composti da sette aree, che sono le poste e i corrieri, i rifiuti, i prodotti chimici, gli alimenti, la manifattura, i servizi digitali e gli istituti di ricerca.
La normativa introduce una novità anche per quanto concerne le dimensioni delle imprese interessate: le medie e grandi aziende con 50 o più dipendenti o 10 milioni di euro di fatturato, indipendentemente dalle prestazioni e dalla struttura aziendale. In alcuni casi, nemmeno le dimensioni dell’azienda sono più una caratteristica differenziante, come nel caso di parti dell'infrastruttura digitale o della pubblica amministrazione.
Il dato rilevante è che la NIS2 include un numero significativamente maggiore di aziende rispetto alle attuali regole della NIS: secondo le stime, solo in Germania il numero di aziende aggiuntive arriva a 40.000.
Sanzioni severe
Eventuali violazioni delle linee guida e degli obblighi di rendicontazione, sono soggette a severe sanzioni. In caso di mancato adeguamento, le sanzioni previste arrivano fino a 10 milioni di euro o al 2% del fatturato globale. Questo dato ci dice l'UE attribuisce alla sicurezza informatica la stessa importanza che attribuisce alla protezione dei dati.
Nonostante le sanzioni severe e gli obblighi estesi, la NIS2 rappresenta nel complesso un deciso passo in avanti: se le aziende metteranno effettivamente al centro la sicurezza informatica, sarà possibile contenere le minacce che arrivano dalla rete, e, in ultima analisi, saranno le stesse aziende a trarne vantaggio.