Table of Contents Table of Contents
Previous Page  90 / 102 Next Page
Information
Show Menu
Previous Page 90 / 102 Next Page
Page Background

CYBER SECURITY

tecnica

90

Maggio 2017

Automazione e Strumentazione

sviluppo di buone pratiche a livello di organizzazioni. I pro-

cessi che possono davvero aiutare ad affrontare questi possibili

eventi dipendono, infatti, principalmente dalle capacità ‘sociali’

delle persone che lavorano nelle organizzazioni. Ad esempio

Busby e Bennnet

[2]

affermano che l’apertura mentale degli

addetti al lavoro sul campo e sulla possibile scena del rischio

permette di elevare il grado di protezione delle organizzazioni.

Le organizzazioni, infatti, non sono luoghi in cui tutto è pre-

vedibile e affrontabile con le migliori risorse a disposizione

dell’impresa. Molto spesso il diverso ruolo degli operatori, le

culture di lavoro locali, il mancato coordinamento tra i settori in

caso di variazioni nei programmi di lavoro ecc., generano situa-

zioni che

Turner

[4]

definisce ‘disgiuntive’ e quindi difficili

da gestire se si verifica un disastro imprevisto. I diversi punti

di vista attingono a diversi bagagli di conoscenze e generano

una diversità di interpretazione dei possibili indizi di un cyber

attacco. Anche se, ricorda

Weick

[5]

, non c’è nessuna difficoltà

tecnologica che possa essere paragonata al peso che può avere

un modello organizzativo. Il richiamo al ruolo della divisone

del lavoro nelle organizzazioni riposiziona è ancora una volta

una questione chiave nell’avviare un risk management organiz-

zativo. A questo proposito, l’equipe di ricerca dell’

Università di

Lancaster

era interessata a mettere in risalto le azioni ‘invisibili’

collegate alla sicurezza, quelle che non fanno parte dello stock

previsto dai protocolli e dalle linee guida. L’equipe era interes-

sata alle pratiche quotidiane da cui la cyber sicurezza dipende

senza che le persone lo sappiano. L’attenzione è stata posta a

questo riguardo, in particolare, sulle azioni volte a riconoscere,

gestire e trasmettere le informazioni di possibili attacchi o volte

a gestire attività ordinarie per verificare se e in che modo gli

operatori tengono presente il rischio di attacchi informatici.

Il lavoro di ricerca

L’attività di campo è durata circa due anni e ha coinvolto imprese

in Regno Unito e Italia di diversa grandezza e diversa cultura

della sicurezza informatica. In particolare, guardando principal-

mente ai

manager

e agli

operatori della sicurezza

, abbiamo

potuto rappresentare con sufficiente dettaglio

come agiscono questi attori organizzativi.

I manager sono apparsi abbastanza consape-

voli e realisti rispetto ai possibili attacchi, e

hanno chiaro come può essere grave l’impatto

sul business. Allo stesso tempo è emerso che

i cyber attacchi non sono per loro una priorità

connessa alla vita quotidiana ma soprattutto

a eventi molto particolari per cui non hanno

un forte committment ad agire per proteggere

le proprie aziende in modo ordinario. Spesso

si muovono, solo dopo aver avuto eventi di

attacchi e aver realizzato di essere molto a

rischio. Spesso hanno delegato tutto ad una

persona o ad un piccolo team cui chiedono di

proteggere tutto l’insediamento produttivo.

Queste persone, a loro volta, sembrano for-

mate in modo non specifico e di solito sono

esperti IT che si autoformano attraverso letture, passaparola e

convegni specialistici.

Per questo accade spesso qualcosa che assomiglia alla solita

‘polvere nascosta sotto il tappeto’. I responsabili della sicurezza

sono invitati a proporre soluzioni al management ma con mode-

razione, perché troppi investimenti non sono possibili e in ogni

caso un sistema che produca un eccesso di alert da gestire, ad

esempio dovuti a traffico anomalo o ad intrusioni nei data cen-

ter, possono mettere in difficoltà l’organizzazione e questo può

mettere in discussione gli incentivi che potrebbero essere colle-

gati alla numerosità degli alert stessi.

Un altro aspetto di complessità è l’indisponibilità degli inge-

gneri delle linee produttive ad accettare qualsiasi filtro o limite

tecnologico rispetto ai loro obiettivi di produzione. Accade

così che spesso anche semplici dispositivi di protezione all’ac-

cesso nei luoghi di produzione vengano rimossi per semplifi-

care i percorsi o per arieggiare un ambiente o semplicemente

per poter modificare l’attività di un PLC con immediatezza. In

ogni caso, ogni anomalia in questi contesti è rappresentata come

meccanica o comunque funzionale al processo dei macchinari

e non ad un eventuale tentativo di attacco via network. Nem-

meno è dato per scontato che le nuove apparecchiature instal-

late come i sistemi Scada prevedano sempre filtri o dispositivi

per la cyber sicurezza. Infatti, spesso i capitolati non includono

questa funzionalità e quindi i fornitori, anche se competenti e

capaci di fornire dispositivi predisposti a questo tipo di scopo,

non li introducono perché perderebbero gli appalti per i mag-

giori costi documentati.

La ricerca sul campo non ha permesso di trovare significative

pratiche volte ad apprendere dall’esperienza su questi argo-

menti. Danni meccanici anomali, alert e mancati aggiornamenti

software, sono gestiti in modo isolato senza una ricognizione

sequenziale e comparata. Questo porta ad avere una visione

contraria alle logiche della learning organization. Ogni opera-

tore tende a considerarsi isolato e a dover applicare e replicare

le regole senza alcuna percezione delle complessità sociali ed

organizzative cui concorrono.

Un approccio razionale alla Cyber Security deve tenere conto, oltre che degli aspetti tecnici,

anche di quelli sociali ed organizzativi