Sicurezza informatica e cicli di rinnovamento

«La fabbrica ha dei cicli di rinnovamento tecnologico lenti e questo è comprensibile, come potremmo fare altrimenti?!»

Chi, come me, gestisce un’azienda che si occupa di sicurezza delle informazioni avrà sentito centinaia di volte questa affermazione e in tutta sincerità è davvero difficile poter affermare il contrario. In molti casi aggiornare un semplice sistema operativo condurrebbe addirittura a dover sostituire il macchinario stesso.

Per molti decisori aziendali risulta quindi ovvio assumersi il rischio di avere sistemi obsoleti se l’alternativa si concretizza nel dover affrontare grandissimi investimenti.

Sostituire un macchinario che, dopotutto, "funziona bene" scoraggia un po’ tutti ed il risultato è che, ve lo posso garantire, è possibile incontrare a capo di alcune macchine colosso della produzione ancora degli Windows XP, i dinosauri tecnologici del nostro tempo… tanto amati ma allo stesso tempo tanto pericolosi.

Penso sia sbagliato spacciarsi per paladini della security schierandosi contro chi sceglie, o deve scegliere (per questioni di budget) questo tipo di approccio. Penso che non ci si debba mai scordare infatti che la sicurezza non deve essere vista come l'obiettivo finale di un percorso. Il vero obiettivo è e rimarrà sempre il consentire alle aziende di fare business. Si tratta di un vero e proprio fattore abilitante. È proprio per questo motivo che, come già anticipato nei precedenti articoli, quello che viene richiesto a chi "non mastica la cybersecurity" è di limitarsi a mostrarsi aperti e recettivi verso chi, questa security, la sa applicare e bilanciare in ogni realtà aziendale.

Non sempre la sostituzione della macchina in produzione o del sistema operativo sono le uniche vie percorribili. Progettare per esempio la rete al fine di isolare le macchine che comportano un elevato livello di rischio porterebbe ad una considerevole mitigazione dello stesso limitando la propagazione di eventuali malware e riducendone quindi l’impatto.

Non vorrei cadere ora troppo nel tecnico, ma vorrei illustrare il concetto di CVE (Common Vulnerabilities and Exposures). Si tratta di una vastissima raccolta pubblica di tutte le problematiche, o meglio, vulnerabilità che sono state riconosciute e certificate a livello software. Questa immensa biblioteca di potenziali minacce è consultabile da chiunque e, che ci crediate o no, ampiamente sfruttata da un altro tipo di industria: quella del cyber crimine. Prima parlavamo di sistemi operativi obsoleti nel mondo fabbrica ed ecco come sia facilmente intuibile che tali sistemi abbiamo una vastissima gamma di vulnerabilità note (CVE) e quindi facilmente sfruttabili. In questi casi il livello di rischio associato sale alle stelle.  

Un’altra considerazione che ci tengo davvero a fare, perché strettamente collegata al tema del rinnovamento tecnologico, è legata al classico approccio "per emergenze" che spesso qui in Italia dimostriamo di adottare. Con approccio per emergenze si intende il vero e proprio "aspettare che sia il fermo produzione causa cryptovirus" a spingermi ad agire al fine di tutelare il mio mondo fabbrica. Questo non dovrebbe mai accadere perché, come spesso mi trovo a sottolineare, i costi di chi agisce per prevenzione sono sempre minori di chi invece "aspetta che il danno sia fatto". (terzo articolo di quattro)

di Giancarlo Gervasoni
VP Sales, Marketing, R&D, Purchasing
Zerouno Informatica spa