AO_436

Attualità AUTOMAZIONE OGGI 40 | MARZO 2022 AUTOMAZIONE OGGI 436 L’arma della virtualizzazione Dall’energetico all’idrico, facciamo tesoro dell’esperienza Umbria Digitale, l’azienda di servizi informatici della Regione Umbria, che ha da poco cambiato nome di PuntoZero, gestisce svariati servizi per la Pub- blica Amministrazione, oltre a una rete proprietaria di 800 km in fibra ottica nel territorio regionale, che collega circa 400 sedi della PA. A lei fa capo inoltre il data center regionale, nonché i sistemi CED di alcune amministra- zioni più piccole. Nel complesso, si tratta di una realtà articolata e difficile da gestire, che include 1.500 sistemi e tratta quotidianamente almeno mezzo Peta di dati. In questo contesto la cybersecurity costituisce una sfida impor- tante: “Avere sistemi non di diretta emanazione della struttura IT, ma a lei conferiti da altri enti, sebbene sempre facenti parte del gruppo, comporta un primo problema relativo all’aggiornamento dei sistemi” ha spiegato Giancarlo Cecchetti , responsabile cybersecurity di PuntoZero . “Abbiamo sistemi di generazione diversa e questo porta già a una prima difficoltò di aggiornamento del software, che è inoltre condizionato dalla presenza di applicativi connessi ai servizi di base che la PA deve garantire ai cittadini. A questa difficoltà tecnica si aggiunge quella legata alla security awareness, il livello di consapevolezza che troviamo nella PA dell’importanza del tema, soprattutto considerando la tipologia di dati che vengono trattati, di cui molti riservati. Il fattore umano è un aspetto cruciale a livello sia dell’ope- ratore, che con clic apre la ‘porta’ a un attacco, sia di chi decide e destina i budget. Abbiamo avuto situazione di attacchi contro aziende sanitarie e Comuni che si sono risolti con interruzioni di servizio e una ripartenza fa- ticosa, pagando dei riscatti senza la certezza di tornare poi realmente in possesso dei dati e a fronte della minaccia di una pubblicazione dei dati se l’ultimatum non fosse stato rispettato. Pagare significa inoltre essere inseriti in un’eventuale ‘lista’ di enti ‘deboli’, il che non è troppo bello in quanto si può diventare un bersaglio preferenziale”. Ha proseguito Cecchetti: “Abbiamo da subito sposato il tema della virtualiz- zazione e oggi abbiamo un data center e una rete completamente software defined. Questo ci aiuta nella gestione dell’infrastruttura e nell’affrontare eventuali situazione di difficoltà. Con la parcellizzazione dei livelli abbiamo sviluppato delle best practice con linee di difesa strutturate per livelli suc- cessivi. Abbiamo poca ‘libertà di manovra’ sull’aggiornamento dei sistemi di vecchia generazione, ma mitighiamo il problema con gli strumenti di Trend Micro che ci aiutano a fare virtual patching. Un obiettivo che quest’anno ci siamo dati è puntare sull’integrazione delle linee di difesa. Un altro tema poi è legato alle competenze di chi si occupa di security nella PA, anche questa una sfida che resta da affrontare”. Operatore preminente sul mercato nazionale con oltre il 22% delle quote (il secondo operatore detiene circa il 2%) per la distruzione di acqua, Acea si occupa anche del mondo elettrico gestendo l’infrastruttura di distribu- zione e in parte generazione di energia per tutta l’area romana, incluso lo Stato del Vaticano. “Da un punto di vista di security vuol dire gestire un ecosistema molto vario” ha sottolineato Massimo Ravenna , Ciso di Acea . “Dobbiamo gestire e sviluppare tre mondi, IT, IoT e OT, che hanno esigenze diverse, sempre tenendo presente la visione d’insieme, che è fondamentale ai fini della security. Ciascuno dei tre ambiti ha proprie peculiarità opera- tive e quindi di messa in sicurezza, il che rischia di portare allo sviluppo di sistemi, processi e competenze verticali che faticano a interloquire fra loro. La prima sfida per noi, dunque, è avere una visione d’insieme senza dimenticare le peculiarità di ciascun ambito, cercando di trovare il giusto bilanciamento, inserendo livelli di sicurezza il più possibile a contatto con i processi operativi. Parlo di ‘security by field’, con una sicurezza ‘by design’ che si inserisce nel flusso operativo della gestione dell’idrico e dell’energe- tico, cercando una sintesi a più alto livello, dove sia possibile invece ottimiz- zare le risorse, condividere esperienze, avere capacità predittiva. Il mondo elettrico, del resto, è più ‘avanti’ dal punto di vista della tecnologia rispetto all’idrico e ha raggiunto una maturità che ci può consentire di affrontare lo sviluppo della security nell’idrico con una maggiore efficacia. Vogliamo dunque restare ancorati alle esigenze operative dei singoli ambienti, tro- vando però una sintesi al giusto livello tecnico e nella comunicazione verso i vertici aziendali, dove occorre una visione unitaria”. Ha poi ribadito Ravenna: “Telecontrollo e teleservice sono già oggi ampia- mente impiegati nel mondo elettrico. Qui la virtualizzazione è già realtà, in modo massivo, e ci aiuta a sviluppare soluzioni anche per l’idrico, che sconta lo sviluppo ritardato dei servizi di telecontrollo anche a causa delle caratteristiche intrinseche dell’infrastruttura, più datata e più restia al con- trollo da remoto e alla digitalizzazione. L’applicazione di una vera virtualiz- zazione a livello di architetture e tecnologie nel mondo OT idrico è ancora poco possibile, la sfida oggi è realizzazione degli ambienti di test, che co- stituiscono un importante punto di assessment in termini di vulnerabilità e sviluppo di capacità di reazione lato infrastruttura critica. La virtualizzazione qui può dare un grande contributo per testare come sia meglio far evolvere le architetture. Dove le strutture non possono essere virtualizzate, qui sor- gono il problema e la sfida per noi. Avere visibilità di servizi e infrastruttura e quindi integrare tecnologie e architetture sono le nostre priorità”.