Il mondo delle imprese produttive e dei servizi ad esse collegato
Il mondo delle imprese produttive e dei servizi ad esse collegato, compreso quello della consulenza legale, è, senza ombra di dubbio tra quelli maggiormente coinvolti dall’ingresso delle tecnologie digitali, che imporranno, volenti o nolenti, profonde trasformazioni.
L’industria 4.0, che ha portato le prime radicali trasformazioni nel settore manifatturiero e dei servizi connessi, puo’ ormai essere considerata come qualcosa di assodato, quasi passato, perché ormai si va affacciando il 5.0, che, con l’uso dei software di AI, che diventerà sempre più massivo, porterà a trasformazioni e relativi problemi ancora più diversi e nuovi rispetto al passato.
E’ inevitabile, anche in ragione della alta redditività che questo settore genera ed andrà a generare, che esso attiri le attenzioni dei cybercriminali, fatto di per sé assai preoccupante se consideriamo che nel settore industriale e dei servizi ad elevato contenuto tecnologico rientrano asset altamente critici in ottica di sicurezza nazionale. Pensiamo alle industrie biomedicali del distretto modenese, a quelle del settore automotive, spesso coinvolte anche nel settore difesa, a quelle che forniscono i servizi informatici alle prime.
Proprio in ragione della sua elevata criticità, il settore industriale è da tempo oggetto di prescrizioni e linee guida che stabiliscono – ai vari livelli internazionali, comunitari o statali – regole condivise a garanzia della sicurezza fisica dei prodotti. Negli anni recenti sempre più fonti in materia includono standard o divieti mirati anche alla tutela di informazioni e dati coinvolti, di volta in volta concentrandosi su criteri generali come quelli previsti dalla normativa ISO 27001 nel sue varie incarnazioni oppure su particolari campi di attività, come la seconda Direttiva NIS (Network and Information Security) sulla scia dell’omonimo atto del 2016, che in Italia aveva avuto applicazione tramite il decreto legislativo n. 65/2018, e che ha esteso l’ambito applicativo delle norme comunitarie in materia di sicurezza informatica, alla filiera alimentare (dalla produzione alla grande distribuzione organizzata – GDO) in campo sanitario (dagli ospedali alla fornitura di servizi o dispositivi medicali e alle aziende farmaceutiche), ai fornitori di energie e gestori di servizi di smaltimento rifiuti, alla PA, alle infrastrutture digitali.
Il legislatore comunitario, per l’ennesima volta, ha avuto la vista munga per cosi’ dire.
La crescente integrazione e connessione uomo-macchina/dispositivo fisico-dispositivo digitale, l’automazione di numerosi processi e servizi anche grazie all’impiego dell’Intelligenza Artificiale da un lato hanno reso più vulnerabili i contesti preesistenti, dall’altro hanno generato numerosi ecosistemi ibridi che necessitano di protezione su molteplici fronti: fra questi, i più importanti sono l’ Industrial Internet of Things, ,una sottocategoria dell’IoT, che include app e oggetti rivolte ai consumatori, quali dispositivi indossabili, tecnologia domotica e automobili senza conducente, gestiti da software integrati e lo Smart Manufacturing, cioè i sistemi di produzione collaborativi integrati, che rispondono in tempo reale agli input che vengono loro dati o che acquisiscono da soli, al fine di soddisfare le esigenze e le condizioni che si verificano in una fabbrica, nella rete di fornitura e nelle necessità dei clienti
Vista la loro rilevanza ,è normale che questi ecosistemi siano il bersaglio ideale di specifiche e insidiose categorie di minacce. Il rapporto Clusit, rilasciato dall’Associazione Italiana per la Sicurezza Informatica, una delle più importanti del settore, ha messo in evidenza un significativo e progressivo aumento delle minacce informatiche rivolte settore industriale, che nel 2022 è al terzo posto quelli oggetto di attacchi cyber, con 68 incidenti di sicurezza segnalati solo nel primo semestre dell’anno. Se consideriamo che molti di questi attacchi non vengono denunciati, il numero reale è almeno quadruplo.
Rimangono numericamente prevalenti i ransomware , che vanno a colpire singoli “anelli” delle catene di approvvigionamento coinvolte nella produzione di beni o servizi complessi), ma cominciano a diventare importanti i numeri degli attacchi volti a sabotare singole componenti dei macchinari o ad assumerne il controllo da remoto. Un capitolo a parte è costituito dallo spionaggio informatico finalizzato al furto di proprietà industriale.
In ragione della pericolosità e capacità di infliggere danni rilevanti di questo genere di attacchi, è evidente la necessità, per le aziende, di pianificare piani di sicurezza adeguati che comportano l’uso di strumenti in grado di proteggere sistemi e dati senza compromettere la continuità operativa e senza trascurare anche la possibilità di attacchi provenienti dal perimetro interno, garantendo continuità nel controllo e aggiornamento dei relativi ambienti (fisici o digitali).
Ed è anche evidente come le buone pratiche di sicurezza informatica e la compliance alle normative, siano fondamentali e che i Risk Assesment debbano essere scritti non più a quattro mani, dal consulente legale dell’azienda , dall’amministratore di sistema, ma a sei, con l’intervento necessario del soggetto che gestisce fisicamente l’infrastruttura informatica. Quindi se da un lato abbiamo l’integrazione tecnologica tra uomo-macchina e software, nelle sue varie declinazioni, oggetto di attacchi sempre più sofisticati e mirati, dall’altro abbiamo quello delle competenze legali, tecniche ed informatiche.
La domanda che bisogna porsi a questo punto è: basta? È sufficiente?
A mio modo di vedere NO e per due motivi:
l’adeguamento delle misure di difesa diventa possibile se, e solo se, all’integrazione delle competenze di cui ho parlato poc’anzi, si aggiunge quella tra gruppi di industrie, organizzazioni di categoria, istituzioni ed enti di ricerca che abbiano ben chiaro che la cybersecurity è un fattore necessario per lo sviluppo di prodotti e servizi sicuri;
la difesa diventa possibile se, e solo se, dei processi d’integrazione sovradescritti fa parte integrante la fase d’intelligence, cioè di studio della e, quando possibile, d’intercettazione delle minacce in via preventiva. “Conosci il nemico, conosci te stesso, mai sarà in dubbio il risultato di cento battaglie.” scriveva il generale Sun Tzu qualche migliaio di anni fa. Mai come oggi e in questo settore questa massima è attuale, ma ne parlero’ in un prossimo articolo.
Avv. Raffaele Mantovani, diritto delle nuove tecnologie, Mantova