Non solo un adempimento normativo: l’adeguamento alla direttiva NIS2 rappresenta un vero cambio di passo che consentirà alle aziende di approcciare la cyber security con una prospettiva nuova e più efficace. Ne sono convinti gli esperti del settore che hanno animato, lo scorso 25 settembre, una Demo Experience che si è svolta presso MADE Competence Center Industria 4.0 di Milano.
Dalla dimensione strategica a quella legata all’implementazione dell’AI nei processi di sicurezza informatica, l’incontro ha messo a fuoco le criticità nell’aggiornamento alla normativa e le buone pratiche che permetteranno alle aziende manifatturiere di mantenere competitività nel nuovo quadro che si sta delineando.
Indice degli argomenti
La sfida della sicurezza per il board
Tra le novità introdotte dalla normativa NIS2, spiccano aspetti che coinvolgono direttamente le figure apicali dell’azienda. “La direttiva prevede una responsabilità diretta per il board aziendale” spiega Daniela Mazzarone, Head of Cybersecurity Strategy & Governance di NTT Data. “L’adeguamento del livello di cyber security, di conseguenza, non può essere considerato un semplice adempimento burocratico ma un aspetto che può impattare direttamente sui vertici dell’azienda”.
Ancora più importante, secondo Mazzarone, è il fatto che NIS2 richiede un’evoluzione sotto il profilo culturale. “L’obiettivo posto dalla direttiva può essere raggiunto solo attraverso l’implementazione di una serie di attività che coprono sia i sistemi per il rilevamento e il contrasto delle minacce, sia aspetti proattivi, come la formazione dei dipendenti”.
Il tema toccato, ben conosciuto dagli esperti di cyber security, è quello di disinnescare il famigerato “fattore umano” che sempre più spesso rappresenta la vulnerabilità su cui i cyber criminali fanno leva per violare i sistemi aziendali. Sotto questo profilo, Mazzarone sottolinea come l’ambito della formazione si sia evoluto attraverso strumenti orientati alle simulazioni e logiche di gamification che la rendono più efficace e attrattiva.
Proprio da un paragone con il gaming emerge il ruolo di primo piano dell’intelligenza artificiale nel complesso processo di adeguamento a un’interpretazione “evoluta” della cyber security. A farlo è Vincenzo Iucci, Head of Cybersecurity Architectures di NTT Data, che paragona l’AI a una sorta di “cheat” in ambito videoludico.
“Gli strumenti di intelligenza artificiale consentono di migliorare le capacità di raccolta dei dati e della loro analisi” spiega Iucci. “È come se in un videogioco avessimo la possibilità di dilatare il tempo e avere così la possibilità di prendere decisioni migliori”.
In quest’ottica, l’AI si integra in quello che il manager di NTT Data definisce come un percorso che permette di trasformare la compliance a NIS2 da un obbligo a un valore. “Per raggiungere l’obiettivo è necessario governare questo passaggio con processi chiari e affrontarlo con tecnologie che lo rendano sostenibile” conclude.
Allargare la protezione al settore OT
Tra le opportunità offerte dal nuovo quadro normativo, c’è quella di poter fare riferimento a un framework ben definito che consente di fissare gli obiettivi di cyber security per l’azienda. “Il contesto della NIS2 consente di individuare puntualmente le criticità presenti nell’infrastruttura” spiega Alessandro Barlocco di Spike Reply, illustrando uno use case relativo alla “messa in sicurezza” di una grande realtà produttiva con stabilimenti sparsi su tre continenti.
“La complessità delle infrastrutture digitali in ambito Operation Technology richiedono un approccio estremamente selettivo e un’individuazione puntuale degli aspetti critici” sottolinea il manager. “Il quadro normativo delineato a livello comunitario permette di avere una roadmap precisa e intervenire prioritariamente sui nodi più importanti”.
Tra questi, Barlocco mette l’accento sul tema della messa in sicurezza della catena di approvvigionamento, che rappresenta uno degli anelli deboli nella sicurezza dei sistemi informatici in ambito produttivo e che la NIS2 indica come uno degli elementi prioritari per la compliance. “Troppo spesso i collegamenti con soggetti terzi sono gestiti senza le precauzioni necessarie” prosegue. “Questo porta a un aumento considerevole della superficie di attacco a disposizione dei cyber criminali e a un conseguente indebolimento degli strumenti di difesa”.
Nel suo intervento, inoltre, Barlocco si focalizza sulle peculiarità del settore OT, sottolineando una serie di aspetti che hanno una rilevanza particolare nel mantenimento della continuità operativa. Tra questi, la necessità di prevedere una segmentazione realmente efficace tra la dimensione IT e quella di operation. “Troppo spesso le imprese trascurano questo aspetto o sottovalutano il livello di interazione che esiste tra le varie applicazioni. Si tratta di un aspetto fondamentale, soprattutto all’interno di gruppi molto strutturati. Il rischio è che una singola falla di sicurezza avvii un ‘effetto domino’ che rischia di travolgere l’intero gruppo”.
Pur sottolineando l’importanza di NIS2 nell’evoluzione della cyber security, Barlocco evidenzia come fare sicurezza non significhi solo essere compliant con una normativa. “Serve tempo e la costruzione di un percorso composto da tappe che vanno prioritizzate, misurate e migliorate costantemente”. Spiega.
L’importanza dei dati e il ruolo dell’AI
Se l’applicazione dell’AI in ambito di rilevazione delle potenziali minacce consente di elevare il livello di resilienza delle infrastrutture manifatturiere con un’efficacia inedita rispetto al passato, secondo Massimo Centofanti, Direttore Cybersecurity Division di Aizoon, l’uso dell’intelligenza artificiale rappresenta anche un prezioso strumento per garantire la compliance con NIS2.
Un ragionamento, quello di Centofanti, che parte dalla fase di assessment. “Utilizzare l’AI permette di fotografare lo stato dell’infrastruttura partendo da dati oggettivi” esordisce il manager. “Gli algoritmi permettono infatti di analizzare tutte le interazioni a livello applicativo e creare una mappatura estremamente precisa e puntuale, individuando immediatamente eventuali problemi e margini di miglioramento”.
Un approccio, quello proposto da Aizoon, che permetterebbe di superare i limiti legati alle classiche procedure basate sulle interviste dei responsabili IT/OT. “Le informazioni che riceviamo da un’azienda in fase di assessment sono spesso incomplete o errate” spiega Centofanti. “Non si tratta di omertà o di limiti a livello di competenze: semplicemente gli addetti ai lavori oggi si trovano a dover gestire sistemi che hanno un livello di complessità troppo elevato”.
In altre parole, oggi le imprese si muovono in quadro in cui è fin troppo facile “perdere pezzi” dell’infrastruttura tecnologica, con ricadute sul livello di sicurezza. Tra gli esempi portati nel corso del suo intervento, Centofanti sottolinea la valutazione del livello di segregazione tra le applicazioni. “Basta l’introduzione di un’API per stravolgere l’architettura originale dei sistemi” sottolinea. “In un’ipotesi del genere, un approccio basato sull’analisi dei dati permette di individuare anche quello che potrebbe facilmente sfuggire a un occhio umano”.
L’implementazione di un sistema del genere, inoltre, permette di monitorare costantemente i sistemi e adeguare le policy in maniera dinamica. “Un elemento fondamentale è quello di passare dal concetto di ‘fotografia’ a quello di ‘film’, aggiornando progressivamente le informazioni per capire come si stanno evolvendo i sistemi e come è necessario intervenire per mantenere una buona postura di sicurezza” conclude.
