Una statistica interessante citata da Andrea Zapparoli Manzoni, uno dei maggiori esperti di Cyber Security in Italia, e un paragone con lo stato dell’arte delle tecnologie odierne: l’85% di chi ha comprato un’automobile tra il 1900 e il 1910 è deceduto in un incidente stradale.
Questo perché, pur avendo già potenti motori a scoppio, i sistemi frenanti erano ancora i medesimi usati per le carrozze, i cerchioni erano in legno, le strade non asfaltate e “last but not least” non esisteva un codice della strada (non esistevano nemmeno cinture e specchietti retrovisori, ma non vorrei dilungarmi).
L’IoT (o industry4.0 o industrial internet, come volete chiamarlo) è l’automobile del 1900: ci sono già motori potentissimi, ma i sistemi frenanti, le infrastrutture e soprattutto la cultura sono notevolmente arretrati.
Torniamo alle automobili, ma parliamo di quelle di oggi: chi compra un’utilitaria nel 2016 non sta certo a sindacare se dei 10.000 euro di spesa totale, circa 5.000 sono relativi alla security.
Chiedereste al concessionario di smontarvi le cinture di sicurezza o il sistema ABS per risparmiare? Ovviamente no, ma anche fosse possibile le normative nazionali e internazionali ve lo impedirebbero.
I continui e sempre più sfacciati attacchi informatici degli ultimi mesi (San Francisco, Germania, Inghilterra, etc…) erano impensabili o almeno improbabili fino a quando non sono stati messi in atto: ecco, queste sono le vittime degli incidenti sulla nuova rete stradale, ovvero INTERNET.
Fino a quando i vari enti statali e internazionali non trasformeranno direttive e normative in norme giuridiche, gli unici che si salveranno saranno gli early adopter, ovvero coloro che prima degli altri non ne faranno una questione legale ma di buonsenso.
L’automazione del cyber crime ha portato alla creazione di sistemi che sniffando la rete trovano punti di accesso ai sistemi, punti di accesso che l’internet delle cose hanno reso infiniti e connessi direttamente o indirettamente ad intere architetture aziendali: il telefonino del figlio del CEO è un potenziale punto di accesso, per il semplice motivo che padre e figlio a casa si connettono tramite il medesimo WiFi.
Il concetto di “security by product” non è più sufficiente: non esiste un sistema frenante che vada bene per tutte le automobili. Molto più efficiente invece la “security by design”.
Come bisogna agire dunque? Innanzi tutto bisogna essere certi di conoscere la propria architettura nel profondo, rilevando tutti i potenziali punti di accesso al sistema e le modalità con cui i dati vengono raccolti, storicizzati e distribuiti.
Chi vende soluzioni software difficilmente rilascia una certificazione di sicurezza del proprio prodotto: un po per assenza di leggi a riguardo, un po perché la singola piattaforma è solo un mattoncino del grande muro che compone l’architettura di sistema.
Esistono però modalità per testare il proprio sistema e certificarlo: la certificazione più autorevole al momento è l’Achilles Test, nato nel mondo oil&gas e che sta trovando interlocutori in tutti settori dove c’è processo.
Vuoi approfondire la tua conoscenza sull’Achilles Test? Vuoi capire meglio come proteggere i tuoi impianti e la tua architettura? Segui i link sottostanti.