Senza gli edifici connessi non si avrebbero efficienza, comfort e sostenibilità; ma senza cybersecurity gli edifici connessi potrebbero smettere di funzionare. Per questo occorre valutare una adeguata strategia per proteggere i propri asset.
Il concetto di sicurezza ci accompagna in ogni posto che frequentiamo e in ogni azione che compiamo.
In casa appositi dispositivi evitano le fughe di gas o di restare fulminati a causa di un elettrodomestico malfunzionante. In auto l’elettronica monitora costantemente i parametri della vettura e interviene (ABS, controllo della stabilità, i recenti ADAS) per evitare incidenti o per limitarne gli effetti sulle persone. In azienda si punta su macchine a sicurezza intrinseca e sull’utilizzo dei dispositivi di protezione individuale.
Una volta messe al sicuro le persone, occorre prevenire possibili problemi o danni anche a quei beni che rappresentano investimenti considerevoli o fonte di guadagno per aziende e privati.
Un fatto emerso con sempre maggiore evidenza vede non tanto i beni materiali, quanto i dati come elemento di maggior valore e da proteggere.
Non è una notizia che dovrebbe sorprendere: realtà come Meta (Facebook), AWS (Amazon Web Services), Alphabet (Google), Microsoft, Apple e molte altre basano gran parte dei propri ricavi proprio sulla gestione dei dati. Non è diverso per altre aziende, gran parte delle quali devono gestire (e proteggere) i propri dati nel modo più opportuno.
La cybersecurity negli edifici civili e commerciali
Una definizione piuttosto semplice di smart building fa riferimento a un edificio nel quale viene utilizzato un sistema di controllo digitale di qualsiasi tipo (hardware e software) per controllare alcuni elementi e parametri dell’edificio stesso.
Uno studio realizzato da IBM segnala come negli edifici degli Stati Uniti siano attivi centinaia di milioni di dispositivi smart, l’84% dei quali connessi a Internet; di questi, in meno di un terzo dei casi il gestore ha in corso un programma di miglioramento della sicurezza informatica. Per alcuni addirittura non è nemmeno un argomento preso in considerazione.
Ma è davvero così pericoloso ignorare la scurezza informatica di un edificio? La risposta è un deciso “sì”: esistono singoli malintenzionati, ma anche associazioni a delinquere organizzate, che lavorano senza sosta per trovare falle attraverso le quali infettare e prendere il controllo dei dispositivi connessi. Il tutto con le motivazioni più disparate: per soldi, per accrescere la propria reputazione nel dark web o anche solo perché rappresenta una sfida sociale.
E con il proliferare di nuovi edifici (ovviamente smart) e della riqualificazione di quelli esistenti per ottenere maggiori comfort, efficienza e, ironia della sorte, sicurezza la situazione è destinata a farsi sempre più critica.
Non si tratta di possibilità remote o della trama di un film di fantascienza: esistono motori di ricerca che scansionano il web alla ricerca di dispositivi connessi (come router, webcam, NAS e sistemi industriali) aperti e pilotabili a distanza senza la necessità di inserire credenziali o con le classiche password decisamente poco sicure (come 12345, password, qwerty ecc.).
Sensibilizzare nei confronti della cybersecurity è indispensabile affinché si lavori per tempo a una soluzione. L’ideale è includerla tra i rischi di impresa, ma non sempre viene percepita come protezione degli asset e il rischio è quello di venire messi di fronte a fatti già compiuti, ai quali talvolta non è possibile rimediare completamente.
Un sistema di controllo accessi compromesso, magari collegato alle informazioni del personale di una azienda, può avere ripercussioni anche sul fronte della privacy e della GDPR. Vengono meno anche le tutele economiche: il gigante delle assicurazioni AXA, ad esempio, sta eliminando i piani assicurativi legati ai ransomware perché insostenibili.
Non solo: occorre inoltre tenere presente che “nuovo” non significa necessariamente “sicuro”. Restando in tema di edifici già costruiti e operativi da anni, è opportuno considerare che non saranno necessariamente quelli più vecchi a essere i più vulnerabili: una vulnerabilità in uno smart building realizzato da un anno o operativo da 10 comporta lo stesso livello di mancanza di sicurezza. Per questo è fondamentale utilizzare prodotti e software aggiornati periodicamente (o quando necessario), oltre ad avere una strategia in tal senso e del personale che la metta in atto. Un recente studio ha segnalato come tra gli edifici gestiti da un unico manager, uno con più di 10 anni e l’altro con meno di 2, in entrambi fossero presenti dispositivi compromessi da virus o trojan.
La prima cosa che salta all’occhio osservando i risultati di queste ricerche è come il maggior numero di sistemi accessibili (e quindi vulnerabili) sia basato su protocolli BAC (Building Automation Protocol).
Il mondo dell’industria è più avanti da questo punto di vista, poiché il tema della cybersecurity è spesso all’ordine del giorno delle aziende più avvedute, ma anche qui resta comunque molto da fare.
Se si considera che il 95% dei problemi derivanti dalla cybersecurity è causato da errori umani, non stupisce il fatto che le password di accesso ai dispositivi siano scritte su post-it posizionati sui dispositivi stessi, o che le chiavi fisiche dei locali tecnici vengano lasciate nelle loro serrature. In realtà la soluzione per limitare le intrusioni e gli utilizzi indesiderati è relativamente semplice: è sufficiente fare la giusta formazione e utilizzare un buon antivirus. Occorre però poi pensare a un rimedio affinché il problema non si ripresenti. Ciò implica una strategia di fondo legata alla cybersecurity.
La cybersecurity nell’industria
Come se la cava il mondo dell’industria? Meglio, ma la strada verso una (ragionevole) sicurezza è ancora lunga. Purtroppo ci si concentra solo sui costi dell’implementazione della cybersecurity, e non sui costi da sostenere in caso di blocco di un impianto.
Industria 4.0 e l’IIoT hanno dato una forte spinta alle tecnologie connesse, ma molti impianti e infrastrutture un tempo isolati (e quindi difficilmente accessibili da malintenzionati) sono stati connessi in rete e resi raggiungibili da ogni parte del mondo.
Ecco quindi che si torna a parlare non solo di sicurezza informatica nelle nuove installazioni, ma anche in tutti quei dispositivi che hanno beneficiato di una attività di revamping.
Lavoro e sicurezza
La pandemia ha poi scoperto un nervo che non sapevamo di avere: si è sempre dato per scontato che l’ambiente nel quale i lavoratori passano la maggior parte del proprio tempo – l’ufficio, il negozio ecc. – fosse sano e sicuro.
Oggi il personale vuole lavorare in un ambiente nel quale il valore degli inquinanti in sospensione nell’aria sono sia controllo, con umidità e temperatura ottimali, un livello di illuminazione ideale per svolgere la propria attività.
Le aziende stanno valutando come realizzare questi ambienti: sicuramente sfruttando la tecnologia connessa, i sensori e i software di gestione, il tutto collegato e pilotato da un Building Management System (BMS).
Si torna dunque al tema della cybersecurity, un pilastro indispensabile tanto quanto quelli fisici che sorreggono le strutture. Perché oltre a essere sicuro per gli occupanti, un edificio deve esserlo anche dal punto di vista informatico.
Il giusto approccio e lo standard IEC 62443
Negli edifici i principali sistemi connessi sono quelli HVAC, le luci, gli accessi, la videosorveglianza e la gestione dell’energia.
Un universo eterogeneo di informazioni, protocolli e standard che complicano il lavoro di chi si occupa di cybersecurity. Inoltre, alcuni dispositivi non vengono aggiornati dai gestori o addirittura vengono abbandonati dai produttori, risultando ben presto obsoleti e quindi possibile oggetto di intrusioni e attacchi.
Come mitigare questi rischi e qual è il giusto approccio verso la sicurezza di dispositivi e infrastrutture?
Il consiglio è quello di lavorare su più fronti, ognuno dei quali indispensabile per una corretta organizzazione della propria cybersecurity.
Il primo passo impone la definizione di un programma specifico. In genere ci si appoggia a standard (come IEC 62443), che assicurano un regolare avanzamento anno dopo anno.
Si passa poi alla scelta dei componenti utili per la protezione dei sistemi. Per mitigare o ridurre i rischi è opportuno valutare antivirus, gestione e applicazione periodica delle patch, identificazione di eventuali anomalie e percorsi di backup e restore.
Occorre a questo punto procedere con la manutenzione dei sistemi destinati alla cybersecurity. È bene prevedere delle routine che analizzino i sistemi su base periodica, provvedendo a segnalare eventuali anomalie.
Infine, è importante programmare una risposta proattiva agli incidenti: perché, nonostante tutto, i problemi possono capitare ed è importante stabilire per tempo come affrontarli.
Lo standard IEC 62443 è utilizzato a livello internazionale per la sicurezza dei sistemi di controllo industriale. Non è nuovo in assoluto (è stato sviluppato circa 20 anni fa), ma per come è stato pensato e si è evoluto rappresenta un ottimo punto di partenza per definire un percorso di sicurezza informatica.
Lo standard IEC 62443 è diffuso, utilizzato con successo in ambito IT e OT, ed è stato sviluppato anche sulla base di reali esperienze maturate in vari settori.
Include inoltre gran parte degli attori coinvolti in questo scenario: dalla stesura delle policy alla definizione di un programma di intervento, alla scelta delle soluzioni più adatte fino ai system integrator e agli utilizzatori finali (i building manager).
Un percorso indicativo verso il corretto livello di sicurezza prevede quattro distinti step:
valutare e comprendere la propria condizione per stabilire un programma dedicato alla cybersecurity. Si tratta di una attività fondamentale all’inizio, che però deve essere ripetuta a scadenze prestabilite per mantenere la situazione sotto controllo.
prevedere attività di backup e aggiornamento dei dispositivi.
monitorare gli impianti per identificare possibili anomalie.
avere gli strumenti per prevenire possibili incidenti non basta: occorre stabilire piani di intervento qualora capitassero eventi imprevisti.
Connettività, una caratteristica irrinunciabile
C’è chi pensa di risolvere facilmente evitando di connettere con l’esterno i dispositivi presenti in un edificio intelligente o, peggio ancora, di evitare direttamente l’utilizzo di dispositivi di questo tipo.
Non sono scelte valide, tanto quanto non lo sarebbe decidere di pianificare un lungo viaggio andando a piedi per evitare di rischiare di rimanere senza carburante con la propria auto.
I benefici sono troppi e troppo importanti per essere ignorati: gli edifici connessi consentono di risparmiare risorse e denaro, di avere più comfort e sicurezza, di ottimizzare in generale tutti i parametri utili. Occorre solo considerare una opportuna strategia di cybersecurity. Esattamente come daremmo uno sguardo di tanto in tanto al livello del carburante durante un lungo viaggio in automobile.
Un buon punto di partenza: la formazione
Occorre fare i conti con un dato allarmante: in tutto il mondo ci sono circa 4 milioni di posti di lavoro vacanti legati al tema della cybersecurity, e l’Italia non brilla per disponibilità di professionisti del settore.
La formazione del personale può dunque essere un ottimo punto di partenza, in particolare nelle grandi aziende nelle quali la cybersecurity può diventare parte integrante delle direttive.
Poiché è impossibile pensare di “tappare tutte le falle”, un buon punto di partenza può essere quello di concentrarsi sul ripristino dei sistemi. Per quanto ci si sforzi, la sicurezza totale non esiste perciò è bene bilanciare risorse e sforzi per giungere a un ragionevole equilibrio. Prepararsi in anticipo consente di evitare di prendere decisioni in situazioni di emergenza.
L’impegno di Schneider Electric
L’impegno di Schneider Electric nel rafforzare l’ecosistema della cybersecurity e difendere il mondo digitale dai cyberattacchi, è testimoniato dall’adesione al Cybersecurity Tech Accord. Insieme a 144 aziende mondiali, offre un contributo concreto per migliorare la sicurezza, la stabilità e la resilienza del cyberspazio.
Schneider Electric è inoltre un membro attivo della Cybersecurity Coalition e uno dei membri fondatori di ISA Global Cybersecurity Alliance, un’iniziativa nata per far crescere la consapevolezza sulla cybersecurity negli ambienti industriali, nelle facility, nei processi e nelle infrastrutture critiche.
Per l’azienda il modo più efficace per cambiare la cultura informatica globale è incoraggiare un approccio collaborativo, che parta dalla consapevolezza e dall’aggiornamento delle competenze tecnologiche necessarie per affrontare minacce sempre più complesse e diversificate. Si tratta di sviluppare una cultura proattiva del “tutti per uno, uno per tutti”.
In secondo luogo, uno dei modi più sicuri per identificare ed eliminare i rischi informatici è stabilire best practice e processi solidi e basati su standard. È necessario proteggere la catena del valore. Ciò garantirà la gestione e la governance delle leve più critiche che garantiscono la continuità aziendale. Per qualsiasi azienda non basta una difesa perimetrale. Poiché tutti sono costantemente connessi, dalle nostre case ai nostri smartphone e attraverso la rete aziendale distribuita, è essenziale un approccio a più livelli.
Infine, la tecnologia: le offerte digitali, le piattaforme, i prodotti e le apparecchiature industriali consentono la prevenzione, il rilevamento e la risposta su larga scala.
Servizi e soluzioni per tutti i settori
Schneider Electric si impegna a fornire soluzioni in grado di soddisfare i requisiti di protezione informatica di qualunque tipo di azienda e settore. Dalla consulenza ai servizi di progettazione, implementazione, monitoraggio, manutenzione e formazione, l’azienda offre programmi per la sicurezza informatica per assicurare strategie di difesa efficienti negli edifici, nell’industria, nei data center e nell’infrastruttura di rete.
Da tutto questo si evince che per Schneider Electric la cybersecurity non è semplicemente una proposta tecnologica. È necessario traghettare infrastrutture, aziende e privati nella nuova era della trasformazione digitale in modo efficace. In questo percorso Schneider Electric si fa portavoce con l’obiettivo di aiutare a rafforzare la sicurezza dell’economia digitale mondiale.
Il concetto di sicurezza ci accompagna in ogni posto che frequentiamo e in ogni azione che compiamo.
In casa appositi dispositivi evitano le fughe di gas o di restare fulminati a causa di un elettrodomestico malfunzionante. In auto l’elettronica monitora costantemente i parametri della vettura e interviene (ABS, controllo della stabilità, i recenti ADAS) per evitare incidenti o per limitarne gli effetti sulle persone. In azienda si punta su macchine a sicurezza intrinseca e sull’utilizzo dei dispositivi di protezione individuale.
Una volta messe al sicuro le persone, occorre prevenire possibili problemi o danni anche a quei beni che rappresentano investimenti considerevoli o fonte di guadagno per aziende e privati.
Un fatto emerso con sempre maggiore evidenza vede non tanto i beni materiali, quanto i dati come elemento di maggior valore e da proteggere.
Non è una notizia che dovrebbe sorprendere: realtà come Meta (Facebook), AWS (Amazon Web Services), Alphabet (Google), Microsoft, Apple e molte altre basano gran parte dei propri ricavi proprio sulla gestione dei dati. Non è diverso per altre aziende, gran parte delle quali devono gestire (e proteggere) i propri dati nel modo più opportuno.
Come mitigare questi rischi e qual è il giusto approccio verso la sicurezza di dispositivi e infrastrutture?
Il consiglio è quello di lavorare su più fronti, ognuno dei quali indispensabile per una corretta organizzazione della propria cybersecurity.
Il primo passo impone la definizione di un programma specifico. In genere ci si appoggia a standard (come IEC 62443), che assicurano un regolare avanzamento anno dopo anno.
Si passa poi alla scelta dei componenti utili per la protezione dei sistemi. Per mitigare o ridurre i rischi è opportuno valutare antivirus, gestione e applicazione periodica delle patch, identificazione di eventuali anomalie e percorsi di backup e restore.
Occorre a questo punto procedere con la manutenzione dei sistemi destinati alla cybersecurity. È bene prevedere delle routine che analizzino i sistemi su base periodica, provvedendo a segnalare eventuali anomalie.
Infine, è importante programmare una risposta proattiva agli incidenti: perché, nonostante tutto, i problemi possono capitare ed è importante stabilire per tempo come affrontarli.
Lo standard IEC 62443 è utilizzato a livello internazionale per la sicurezza dei sistemi di controllo industriale. Non è nuovo in assoluto (è stato sviluppato circa 20 anni fa), ma per come è stato pensato e si è evoluto rappresenta un ottimo punto di partenza per definire un percorso di sicurezza informatica.
Lo standard IEC 62443 è diffuso, utilizzato con successo in ambito IT e OT, ed è stato sviluppato anche sulla base di reali esperienze maturate in vari settori.
Include inoltre gran parte degli attori coinvolti in questo scenario: dalla stesura delle policy alla definizione di un programma di intervento, alla scelta delle soluzioni più adatte fino ai system integrator e agli utilizzatori finali (i building manager).
Un percorso indicativo verso il corretto livello di sicurezza prevede quattro distinti step:
Per l’azienda il modo più efficace per cambiare la cultura informatica globale è incoraggiare un approccio collaborativo, che parta dalla consapevolezza e dall’aggiornamento delle competenze tecnologiche necessarie per affrontare minacce sempre più complesse e diversificate. Si tratta di sviluppare una cultura proattiva del “tutti per uno, uno per tutti”.
In secondo luogo, uno dei modi più sicuri per identificare ed eliminare i rischi informatici è stabilire best practice e processi solidi e basati su standard. È necessario proteggere la catena del valore. Ciò garantirà la gestione e la governance delle leve più critiche che garantiscono la continuità aziendale. Per qualsiasi azienda non basta una difesa perimetrale. Poiché tutti sono costantemente connessi, dalle nostre case ai nostri smartphone e attraverso la rete aziendale distribuita, è essenziale un approccio a più livelli.
Infine, la tecnologia: le offerte digitali, le piattaforme, i prodotti e le apparecchiature industriali consentono la prevenzione, il rilevamento e la risposta su larga scala.
Aggiungi un commento