CYBER SECURITY
tecnica
Maggio 2017
Automazione e Strumentazione
88
L’impatto delle azioni per fronteggiare la cyber security in ambito
industriale è una opportunità ancora in parte da esplorare.
Accanto ad una certa immaturità/incredulità da parte degli attori
organizzativi che non prendono molto sul serio la sfida della
sicurezza, si osserva il persistere di strategie ancorate a visioni
manageriali che eludono le dimensioni sociali della sicurezza.
Alberto Zanutto
Promuovere la cyber security negli ICS
con l’analisi dei processi organizzativi
Chi si occupa di cyber security nei sistemi
industriali si trova a fronteggiare molte sfide.
La prima di tutte è probabilmente il fatto che
la consapevolezza su come i nostri comporta-
menti organizzativi siano collegati al rischio
cyber è molto scarsa o addirittura volutamente
sottaciuta. Le aziende sono poco o nulla inte-
ressate a condividere le informazioni sugli
eventuali cyber attacchi ricevuti. Le statisti-
che ufficiali, fornite ad esempio dall’autority
americana, non permettono di capire come
è realmente la situazione visto che riesce a
monitorare non più di qualche centinaio di casi
per anno. E tuttavia gli esperti di sicurezza col-
lezionano continuamente storie relative alla
capacità degli hacker nel prendere il controllo
di varie macchine e di generare danni a cose e
a persone attraverso la loro attività.
Come è possibile allora operare affinché le
aziende riescano ad affrontare con maggiore
capacità questi rischi? Cosa e come si deve con-
trollare e verificare per fermare eventuali cyber
attacchi nei vari siti industriali?
Molti dei problemi che si osservano nei siti
industriali connessi attraverso i sistemi
Scada
(Supervisory Control Data Acquisition), anche
noti come
Industrial Control Systems
(ICS)
dipendono, come sostengono
Busby e Bennet
[2]
, dalle rappresentazioni che i singoli hanno
del rischio e dalla percezione relativa ai pro-
cessi sociali con cui si può alimentare il rischio.
Gli aspetti sociali e organizzativi
In questi anni, seguendo l’analisi di
Hansen e
Nissenbaum
[3]
, abbiamo attraversato almeno
tre pulsioni. Da un lato sono stati enfatizzati i
processi di ‘hyper-securitization’ dove deve
prevalere la procedura e il protocollo che per-
mette l’accesso sicuro ad ogni cosa. Dall’altro
abbiamo spesso preso atto di come molte pra-
tiche quotidiane siano ignare dei più elementari
principi di tutela della sicurezza e come terzo
fenomeno abbiamo dato sempre più spazio alla
iper tecnicizzazione. Con quest’ultima moda-
lità nei fatti il management delle imprese punta
sempre con più convinzione sull’adozione di
tecnologie per rispondere al rischio dei cyber
attacchi. Tuttavia ai più attenti non sarà sfug-
gito come in questi anni si siano consolidati
alcuni modi ‘tipici’ nell’affrontare la cyber
security nei contesti industriali. Ad esempio
Buzan
(2004) evidenzia come i discorsi pub-
blici siano sempre più orientati ad esagerare il
rischio di attacco e a contemplare l’adozione
di contromisure efficaci. Ma in ogni caso tutti
i discorsi pubblici richiamano come motiva-
zione principale il rischio di un possibile immi-
nente e grave disastro. Si mobilizza cioè uno
‘spettro’ del passato per indicare i rischi pre-
senti per il futuro. Si instaura così un processo
costruzionista che spinge a mettere in agenda
un tema che deve essere affrontato con urgenza
dal management. Questa dimensione sociale,
che incide così tanto nel decidere le agende a
livello decisionale, è determinante anche nello
L’AUTORE
A. Zanutto, Lancaster University,
Security Department, UK
INDUSTRIAL CONTROL SYSTEMS E LE VARIABILI ORGANIZZATIVO SOCIOTECNICHE