Gestire il rischio nell’era dei cyber-attacchi

by Redazione 0

sicurezza-impianto

Uno dei temi più sottovalutati in ambito industriale è la sicurezza contro gli attacchi via Internet ai sistemi di produzione, i cosiddetti cyber-attacchi. I responsabili di produzione pensano infatti di essere al sicuro, o perché non ritengono la propria azienda un bersaglio potenzialmente sensibile, o perchè credono di essere fuori portata, sopravvalutando i sistemi di sicurezza standard forniti con gli impianti. Alcuni ritengono che non essendo l’IP di pubblico dominio, la connessione verso l’esterno sia intrinsecamente sicura.

Basta però un attacco, spesso non molto difficile da portare a termine per un hacker con un po’ di esperienza, per fermare una linea o l’intero stabilimento, con costi facili da intuire. E se l’impianto è sensibile, il rischio è anche maggiore, come dimostrano gli attacchi informatici lanciati nei mesi scorsi contro tre aziende di servizi in Ucraina, l’Ente nazionale per l’elettricità in Israele e, più di recente, un impianto nucleare tedesco.

CyberSecurityALLIANZ LANCIA L’ALLARME. A mettere sull’avviso responsabili IT e imprenditori è Global Risk Dialogue, la rivista di Allianz Global Corporate & Specialty (AGCS) su assicurazioni e rischi aziendali, che dedica un report sulla nuova criminalità informatica: “Le imprese del comparto energia, dei trasporti, delle telecomunicazioni, e più in generale del manifatturiero, fanno sempre più affidamento all’automazione, alle tecnologie robotiche, alle reti digitali e ai dispositivi connessi, diventando così vulnerabili ai cyber-attacchi – si legge nel report -. In questo caso, non si tratta di un furto di dati: gli attacchi informatici a impianti di produzione e a infrastrutture sensibili mirano ai sistemi industriali di controllo (ICS) per manipolarne o interromperne il funzionamento”.

SISTEMI VULNERABILI. La vulnerabilità dei sistemi industriali di controllo è un problema da non sottovalutare; solo l’anno scorso sono stati registrati negli Stati Uniti ben 295 incidenti informatici, con una crescita del 20% sull’anno precedente.“Un cyber-attacco a un ICS può dar luogo a danni fisici, come incendi o esplosioni, ma anche a interruzioni delle attività – spiega Nigel Pearson, Global Head of Fidelity di AGCS -. Alcuni sistemi di controllo industriale sono stati progettati prima che la sicurezza informatica diventasse un problema rilevante”. Inoltre, “gli ICS sono soggetti a guasti tecnici e a errori degli operatori, che possono essere più frequenti e gravi in termini di conseguenze, e spesso non inseriti nei rapporti informatici”.

SMART FACTORIES. Industria 4.0 può essere allo stesso tempo un fattore di rischio aggiuntivo o una rete di sicurezza. Le “fabbriche intelligenti” dell’era dell’Industria 4.0 si affidano fortemente all’automazione, ai robot e alle supply chain interconnesse. “Il controllo continuo e la manutenzione predittiva delle linee di produzione automatizzate ridurranno la frequenza delle perdite in piccola scala e aumenteranno la vita degli impianti – spiega Michael Bruch, Head of Emerging Trends, AGCS – Le supply chain saranno meglio controllate, più prevedibili e visibili facili da monitorare, con una migliore tracciabilità dei prodotti e conseguente riduzione delle perdite per deterioramento o scadenza”.
“Tuttavia – aggiunge Bruch -, l’interconnessione delle supply chain e dei processi di produzione aumenterà la vulnerabilità informatica, soprattutto perché le falle nella sicurezza, presenti nei software integrati, sono difficili da individuare. Il potenziale complessivo di perdita sta aumentando in modo importante e, con esso, crescono esponenzialmente le potenziali richieste di indennizzo che diventano sempre più consistenti e complesse”. Se un robot viene hackerato o subisce un danno tecnico, una linea di produzione potrebbe rimanere ferma per ore o per giorni, con costi potenziali di decine di milioni di dollari al giorno. Se un algoritmo è errato o un sistema IT si guasta, le supply chain mondiali subiscono interruzioni e le perdite si ripercuotono su molti altri Paesi e settori.
Si pone poi un problema di responsabilità civile. Ad esempio, nel caso in cui si verifichino danni, possono essere presentate richieste di indennizzo contro sviluppatori e venditori di software di manutenzione.

GESTIONE DEL RISCHIO. Lo studio Allianz, come ovvio, si occupa anche dei temi legati alla gestione dei rischi industriali legati al cyber-crime: “Dato che la sicurezza al 100% non esiste, è necessaria una più ampia strategia di controllo dei rischi IT e informatici per combattere il cyber-rischio in modo efficace – nota Jens Krickhahn, esperto in cyber assicurazioni di AGCS nell’Europa Centrale e dell’Est – Elevati standard di sicurezza IT delle reti, software e dispositivi mobili, corsi di formazione del personale, una continua ottimizzazione dei processi, uniti ad una rigida gestione di linee guida e diritti di accesso devono andare di pari passo. Sul fronte rischi residui, per molte imprese l’assicurazione sta diventando un elemento centrale“.

COPERTURA ASSICURATIVA PIÙ AMPIA. La progressiva digitalizzazione delle fabbriche sposterà la natura dei beni aziendali verso un dominio che da fisico diventerà sempre più immateriale. Reputazione e valore del marchio, ma anche proprietà intellettuale, know-how tecnologico e reti di supply chain diventeranno beni sempre più importanti. Bruch aggiunge: “La copertura assicurativa di una fabbrica richiederà sempre di più indennizzi per interruzione di business dovuti a danni immateriali, informatici e di reputazione, così da proteggere in modo adeguato i beni intangibili. Perfezionare e sviluppare servizi nuovi ed esistenti è essenziale sia per gli assicuratori sia per le aziende, per prepararsi insieme alla prossima rivoluzione industriale”.
Secondo gli esperti Allianz, per ridurre i rischi della supply chain, l’assicurazione deve andare oltre la semplice polizza e integrare una serie di servizi che comprendono l’analisi dei rischi, il benchmarking e le consulenze che contribuiscono ad analizzare qualità e flessibilità. “Possiamo garantire valutazioni aziendali specifiche sui singoli fornitori e usarle come riferimento di un dato settore – spiega Volker Muench, AGCS Global Property Practice Group Leader – Più informazioni abbiamo e meglio possiamo modellare e controllare le esposizioni, così da offrire spazi di copertura assicurativa più ampi “.