CYBER SECURITY
tecnica
90
Maggio 2017
Automazione e Strumentazione
sviluppo di buone pratiche a livello di organizzazioni. I pro-
cessi che possono davvero aiutare ad affrontare questi possibili
eventi dipendono, infatti, principalmente dalle capacità ‘sociali’
delle persone che lavorano nelle organizzazioni. Ad esempio
Busby e Bennnet
[2]
affermano che l’apertura mentale degli
addetti al lavoro sul campo e sulla possibile scena del rischio
permette di elevare il grado di protezione delle organizzazioni.
Le organizzazioni, infatti, non sono luoghi in cui tutto è pre-
vedibile e affrontabile con le migliori risorse a disposizione
dell’impresa. Molto spesso il diverso ruolo degli operatori, le
culture di lavoro locali, il mancato coordinamento tra i settori in
caso di variazioni nei programmi di lavoro ecc., generano situa-
zioni che
Turner
[4]
definisce ‘disgiuntive’ e quindi difficili
da gestire se si verifica un disastro imprevisto. I diversi punti
di vista attingono a diversi bagagli di conoscenze e generano
una diversità di interpretazione dei possibili indizi di un cyber
attacco. Anche se, ricorda
Weick
[5]
, non c’è nessuna difficoltà
tecnologica che possa essere paragonata al peso che può avere
un modello organizzativo. Il richiamo al ruolo della divisone
del lavoro nelle organizzazioni riposiziona è ancora una volta
una questione chiave nell’avviare un risk management organiz-
zativo. A questo proposito, l’equipe di ricerca dell’
Università di
Lancaster
era interessata a mettere in risalto le azioni ‘invisibili’
collegate alla sicurezza, quelle che non fanno parte dello stock
previsto dai protocolli e dalle linee guida. L’equipe era interes-
sata alle pratiche quotidiane da cui la cyber sicurezza dipende
senza che le persone lo sappiano. L’attenzione è stata posta a
questo riguardo, in particolare, sulle azioni volte a riconoscere,
gestire e trasmettere le informazioni di possibili attacchi o volte
a gestire attività ordinarie per verificare se e in che modo gli
operatori tengono presente il rischio di attacchi informatici.
Il lavoro di ricerca
L’attività di campo è durata circa due anni e ha coinvolto imprese
in Regno Unito e Italia di diversa grandezza e diversa cultura
della sicurezza informatica. In particolare, guardando principal-
mente ai
manager
e agli
operatori della sicurezza
, abbiamo
potuto rappresentare con sufficiente dettaglio
come agiscono questi attori organizzativi.
I manager sono apparsi abbastanza consape-
voli e realisti rispetto ai possibili attacchi, e
hanno chiaro come può essere grave l’impatto
sul business. Allo stesso tempo è emerso che
i cyber attacchi non sono per loro una priorità
connessa alla vita quotidiana ma soprattutto
a eventi molto particolari per cui non hanno
un forte committment ad agire per proteggere
le proprie aziende in modo ordinario. Spesso
si muovono, solo dopo aver avuto eventi di
attacchi e aver realizzato di essere molto a
rischio. Spesso hanno delegato tutto ad una
persona o ad un piccolo team cui chiedono di
proteggere tutto l’insediamento produttivo.
Queste persone, a loro volta, sembrano for-
mate in modo non specifico e di solito sono
esperti IT che si autoformano attraverso letture, passaparola e
convegni specialistici.
Per questo accade spesso qualcosa che assomiglia alla solita
‘polvere nascosta sotto il tappeto’. I responsabili della sicurezza
sono invitati a proporre soluzioni al management ma con mode-
razione, perché troppi investimenti non sono possibili e in ogni
caso un sistema che produca un eccesso di alert da gestire, ad
esempio dovuti a traffico anomalo o ad intrusioni nei data cen-
ter, possono mettere in difficoltà l’organizzazione e questo può
mettere in discussione gli incentivi che potrebbero essere colle-
gati alla numerosità degli alert stessi.
Un altro aspetto di complessità è l’indisponibilità degli inge-
gneri delle linee produttive ad accettare qualsiasi filtro o limite
tecnologico rispetto ai loro obiettivi di produzione. Accade
così che spesso anche semplici dispositivi di protezione all’ac-
cesso nei luoghi di produzione vengano rimossi per semplifi-
care i percorsi o per arieggiare un ambiente o semplicemente
per poter modificare l’attività di un PLC con immediatezza. In
ogni caso, ogni anomalia in questi contesti è rappresentata come
meccanica o comunque funzionale al processo dei macchinari
e non ad un eventuale tentativo di attacco via network. Nem-
meno è dato per scontato che le nuove apparecchiature instal-
late come i sistemi Scada prevedano sempre filtri o dispositivi
per la cyber sicurezza. Infatti, spesso i capitolati non includono
questa funzionalità e quindi i fornitori, anche se competenti e
capaci di fornire dispositivi predisposti a questo tipo di scopo,
non li introducono perché perderebbero gli appalti per i mag-
giori costi documentati.
La ricerca sul campo non ha permesso di trovare significative
pratiche volte ad apprendere dall’esperienza su questi argo-
menti. Danni meccanici anomali, alert e mancati aggiornamenti
software, sono gestiti in modo isolato senza una ricognizione
sequenziale e comparata. Questo porta ad avere una visione
contraria alle logiche della learning organization. Ogni opera-
tore tende a considerarsi isolato e a dover applicare e replicare
le regole senza alcuna percezione delle complessità sociali ed
organizzative cui concorrono.
Un approccio razionale alla Cyber Security deve tenere conto, oltre che degli aspetti tecnici,
anche di quelli sociali ed organizzativi