Responsabile della ricerca e sviluppo e del reparto tecnico per InTheCyber, società di consulenza che si occupa di difesa e sicurezza informatica
Si occupa di penetration test e di ricerca, in particolare sulla cyber intelligence
Relatore nelle ultime Conferenze Nazionali sulla Cyber Warfare
Ethical Hacker certificato
Con industria 4.0 la spinta verso la digitalizzazione delle aziende è notevole ed occorre pertanto prendere in considerazione la questione legata alla cyber security.
E’ fondamentale un’attenzione specifica alla cyber securuty è fondamentale per evitare che accadano dei disastri poichè con l’industria 4.0 la sinergia tra in modo industriale l’informatica diventa realmente molto elevata.
A regime avremo che ogni macchina di produzione, ma anche ogni meccanismo di controllo saranno gestiti completamente a livello informatico in modo centralizzato.
E spesso e volentieri peraltro saranno anche connessi direttamente a internet.
C’è sicuramente da un lato un problema gestionale, ovvero chi può e deve intervenire su questi dispositivi (i tecnici e gli ingegneri che li hanno sempre gestiti fino ad oggi o deve passare tutto sotto il dipartimento IT)
C’è poi il problema delle competenze che in entrambi i casi sono da acquisire (gli “informatici” non hanno le competenze “di fabbrica” e gli ingegneri e i tecnici “di fabbrica” non hanno le competenze informatiche sufficienti)
E’ quindi necessaria una nuova figura professionale?
Direi più che altro un rinnovamento di professioni già esistenti: chi è già attivo nel modo del lavoro dovrà acquisire nuove competenze, mentre chi uscirà nei prossimi anni dalle scuole, ci si aspetta che avrà già queste competenze (anche attraverso nuovi percorsi di studio)
Quindi è più un problema di evoluzione generazionale?
Certamente ma anche un problema di transizione e cambiamento che comporterà qualche complicazione perché c’è uno stacco abbastanza forte tra il passato e il futuro e l’evoluzione sta avvenendo in modo molto veloce.
Spesso si sente parlare dei problemi legati agli elettrodomestici smart. Sembra quasi che la parola smart sia sinonimo di poco sicuro.
In realtà che le cose “smart” siano meno sicuro è da un certo punto di vista è vero, ma è vero semplicemente perché fino ad ora non c’è stata sufficiente attenzione.
La situazione banalmente cambierà quando gli utenti se ne lamenteranno.
Peraltro questo fenomeno coinvolge anche i grandi marchi!
Il problema probabilmente è la “rincorsa” ad essere il primo sul mercato con queste tecnologie. Già essere sul mercato con qualche cosa che “funziona”, dal punto di vista del produttore è già un passo avanti. Purtroppo è anche una questione di “mercato” e di competizione su chi arriva prima.
Per quanto riguarda la gestione dei dati oggi si sta facendo strada la gestione “in cloud”. Ma è un approccio sufficientemente attento alla sicurezza?
Non è semplice rispondere a questa domanda perché ci sono dei vantaggi e svantaggi.
Il cloud da grossi vantaggi in termini di risparmi economici e di tempistiche perché non ci si deve preoccupare di progettare e realizzare e poi manutenere l’infrastruttura interna.
Il cloud, poi, è più facilmente scalabile perché per aumentarne le capacità basta rivedere un accordo contrattuale e non occorre riprogettare il tutto.
Dal punto di vista della security i servizi in cloud, almeno quelli più noti, offrono policy di sicurezza piuttosto elevati e superiori a quanto l’azienda probabilmente non avrebbe internamente.
Ci sono però un paio di controindicazioni.
La prima è relativa alla business continuity poichè il “funzionamento” dell’azienda si trova a dipendente da fattori esterni e se si blocca qualche cosa non c’è possibilità di intervento. Il problema comunque c’è anche con le infrastrutture proprietarie ed è probabilmente una questione di percezione.
La questione invece più importante è quella relativa alla confidenzialità e alla riservatezza dei dati e alla fiducia che si ha nel gestore del servizio.
Anche il cloud, va utilizzato tenendo conto dei vantaggi e svantaggi e ragionando di volta in volta sull’obiettivo e le implicazioni.
Cosa ne pensi dei software open surce con riguardo alla sicurezza?
Da un punto di vista è squisitamente scientifico l’Open forse dovrebbe essere molto più sicuro del software proprietario visto che il codice può essere sottoposto a più review da parte di specialisti in tutto il mondo.
Quindi ogni vulnerabilità dovrebbe essere identificata in tempo abbastanza breve.
In realtà nel mondo non funziona proprio così!
Il mondo non è pieno di ricercatori che non hanno nulla di meglio da fare che ricercare vulnerabilità nei progetti open surce. E poi non è nemmeno detto che queste vulnerabilità individuate vengano divulgate!
Per il software proprietario occorre invece sperare che l’azienda che lo produce abbia una “visione illuminata” ed una certa propensione per la sicurezza.
La domanda in definitiva rimane aperta e senza una vera risposta!
Nell’applicazione diffusa dell’industria 4.0 vedi qualche tipo di rischio particolare?
Credo che ci sia un grosso problema di approccio. Purtroppo finora in ambito industriale si è ragionato in termini di safety (controllo che tutto funzioni a dovere) e non di security (che tiene in considerazione la possibilità che qualcuno tenti di sabotare il sistema)
E’ chiaro che nel momento in cui connetto “la fabbrica” alla rete il problema diventa estremamente rilevante. Sia per la dilatazione del numero di “attacanti” sia per la rilevanza delle cose che possono essere attaccate.
Pensate ad esempio ai sensori di sicurezza.
Ci indichi un “percorso” a misura di PMI?
Occorre farsi affiancare da specialisti del settore già in fase di progettazione. In questa fase è infatti più semplice e meno oneroso affrontare la questione.
L’intervento fatto a posteriori, oltre che più difficoltoso, non sempre riesce a garantire i risultati sperati.
Per contattare Lino Antonio Buono:
Linkedin : https://www.linkedin.com/in/linobuono/
Music: Dub Step – Bensound.com