Sfide e minacce nell’ambito della cyber-security viste da un risk manager
Laurent Chrzanovski: Descriva il suo percorso
Jean-Luc Habermacher: Dirigente in grandi gruppi industriali internazionali da circa trent’anni, ho operato in diversi livelli di funzioni e specialmente come Risk Manager e Responsabile di Sicurezza Centrale. Formato all’Istituto degli Hautes Etudes de la Défense Nationale (IHEDN), ho assunto anche la responsabilità dello sviluppo delle azioni dell’Intelligenza Economica presso le imprese e offro anche il mio sostegno per la prevenzione dei rischi e dei cyber-rischi attraverso una missione come Luogotenente-Colonello (R) nella Gendarmeria. Preoccupato della necessità di creare una cultura della gestione dei rischi nell’impresa, sono anche insegnante in molte componenti universitarie e membro dell’Associazione nazionale per il Management dei Rischi et delle Assicurazioni dell’impresa. Partecipo anche attivamente ai lavori di parecchi comitati nazionali sui diversi soggetti legati alla sicurezza. Una decina di anni fa ho creato il 1° cluster francese delle industrie dell’Energia battezzata “Vallée dell’Energie” di cui sono il Presidente. Operiamo qui per promuovere e sviluppare le industrie della filiera energetica in Francia. Ho avuto la opportunità di sostenere un mandato parlamentare ciò che mi ha permesso e mi permette ancora, di poter lavorare strettamente su certi soggetti legislativi legati alla sicurezza.
Laurent Chrzanovski: Come è arrivato ad interessarsi alla cyber- sicurezza?
Jean-Luc Habermacher: Da parecchi anni, a causa delle mie diverse attività presso delle imprese e degli attori economici e con la mia cultura di Risk Manager, mi sono interessato a cercare di capire come questi ultimi analizzavano i loro rischi e le loro esposizioni e ciò nel quadro di una visione globale.
Mi sono reso conto molto presto che la digitalizzazione delle tecnologie all’interno stesso delle imprese non era afferrata con la percezione dei “rischi cyber” nelle loro reali dimensioni.
Durante le discussioni con i Responsabili delle Imprese e senza essere sistematicamente “paranoico”, allorquando affrontavo la loro propria
percezione riguardo alla loro propria esposizione dei diversi rischi, la componente digitale non era analizzata se non in modo tecnologico senza percepirne le componenti delle strategie globali economiche.
A mio parere, questo era un reale diniego della presa in conto dei rischi economici legati alla digitalizzazione industriale.
La mia formazione in Intelligenza Economica mi ha fatto prendere coscienza della necessità di sensibilizzare e di interpellare gli ambienti economici su questa lacuna importante nell’approccio dell’analisi dei rischi delle imprese.
Laurent Chrzanovski: Quali aspetti del mondo cyber La preoccupano oggi?
Jean-Luc Habermacher: La dipendenza tecnologica delle imprese verso gli strumenti ed i sistemi informatici è tale che un’analisi sbagliata della sua esposizione può essere fatale.
Durante numerosi anni, i responsabili d’ impresa si focalizzavano sulle perdite dei dati sviluppando delle strategie di backup, moltiplicando così l’interconnessione degli strumenti e dei sistemi.
L’industria 4.0 non è stata sufficientemente analizzata nella prospettiva delle vulnerabilità delle apparecchiature e dei sistemi connessi. Gli ultimi esempi di cyber-attacchi hanno fatto prendere coscienza delle brecce importanti negli strumenti di produzione o di supervisione. È adesso che una parte molto grande delle architetture globali dei sistemi connessi in seno alle imprese devono essere ripensati e ripresi.
Le poste in gioco di geo-strategia economica non sono purtroppo percepite dai responsabili delle piccole e medie imprese ed è evidente che “interessi superiori” stanno dietro numerosi attacchi cyber che toccano le reti economiche e le imprese.
I cyber-attacchi sono il riflesso della versione moderna della guerra economica che è portata avanti dalle grandi potenze sia statali che private. L’interconnessione degli strumenti e dei sistemi trascina una interdipendenza che apre delle vulnerabilità molto importanti. Le posizioni dominanti di certi attori tecnologici creano a termine degli schemi di dipendenza strutturali estremamente critici.
Siamo entrati nella «3° guerra mondiale” e le poste sono economiche e soprattutto geopolitiche. Sarebbe irresponsabile non volerle capire da questo angolo.
Laurent Chrzanovski: Come giudica lo stato della presa di coscienza nelle imprese dove Lei è stato attivo/è attivo?
Jean-Luc Habermacher: I grandi gruppi industriali hanno realizzato da parecchi anni che i loro sistemi di informazione potrebbero essere bersagli per attacchi di destabilizzazione e delle procedure di messa in sicurezza sono state approntate. Le piattaforme e la connettività
dei mezzi di produzione erano in gran parte sfuggiti all’analisi dei rischi e gli ultimi avvenimenti vengono ad attivare una presa di coscienza di questi nuovi punti di vulnerabilità.
Bisogna anche migliorare la collaborazione con i prestatori incaricati coi servizi di manutenzione e di gestione degli equipaggiamenti, perché essi sono dei possibili ricettori di attacchi, che non sempre sono dotati di una sicurezza efficace.
Le politiche della sicurezza delle grandi imprese si sono seriamente rinforzate in questi ultimi tre anni ed i comportamenti a rischio dei loro collaboratori sono perseguiti. I PC ed i materiali connessi sono contenuti in formati molto regolamentati e sistematicamente controllati.
A mio parere, i datacenter esternalizzati utilizzati da numerose imprese rimangono dei reali punti di debolezza e non sarei sorpreso di apprendere da qui a poco tempo che scopriremo perdite maggiori di informazioni o gravi attacchi che avranno sfruttato questo vettore.
Laurent Chrzanovski: E in seno al cluster della Vallée de l’Energie?
Jean-Luc Habermacher: Il cluster della Vallée de l’Energie raggruppa gli industriali e gli attori della filiera energia in Francia e in quanto Presidente, porto avanti delle azioni per sensibilizzare e ben informare i miei membri specialmente sui rischi ai quali potrebbero essere confrontati nelle loro attività.
Le tecnologie digitali fanno ormai parte dell’insieme della catena di fabbricazione dei componenti e sono diventate un elemento di base per i progettisti di software di controllo/ comando che monitorizzano le unità di produzione e di distribuzione dell’energia.
Le conseguenze sono dunque differenti in ciascuno di questi due contesti. La reale apprensione delle vulnerabilità dell’impresa connessa è molto recente fra i responsabili delle Piccole e Medie Imprese, è quindi necessario mettere a disposizione delle formazioni in questo campo ed eventualmente aiutare le imprese a realizzare degli audit globali.
Un altro settore molto delicato è quello del pilotaggio dei sistemi di produzione, di gestione e di distribuzione dell’energia. Su questo punto è evidente che ci sono dei rischi maggiori poiché le piattaforme ed i soft che pilotano e gestiscono le attrezzature non sono purtroppo abbastanza sicuri al giorno d›oggi.
È quindi essenziale lavorare in coordinazione con le imprese che fabbricano e sviluppano i sistemi di gestione per integrare correttamente le protezioni necessarie e mettere in atto dei procedimenti di intervento controllabili, ma questo nuovo modo di capire l›ecosistema necessita un cambiamento della cultura attuale dei diversi attori.
Mi sembra importante diffondere dei messaggi in questo senso e di ritrasmetterli attraverso differenti riviste specializzate con il sostegno di strutture quali le Camere di Commercio e dell’Industria, i Comitati Industriali, i Sindacati professionali …
Dobbiamo anche lavorare a mettere in atto delle formazioni specifiche sull’analisi e la gestione dei cyber- rischi in seno alle Università e alle Scuole di Ingegneri poiché le nostre imprese hanno bisogno di supporto su questi argomenti. Noi lavoriamo in stretta relazione con i servizi dello Stato (Polizia e Gendarmeria) per diffondere ai nostri membri le allerte ed eventualmente accompagnarli nelle loro pratiche amministrative in caso di attacco.
Laurent Chrzanovski: Quali campi della sicurezza del mondo digitale Le appaiono particolarmente sottovalutati in rapporto ai comportamenti fisici?
Jean-Luc Habermacher: Come ho esposto in precedenza la connettività dei sistemi, sia interna che esterna all’impresa, è diventata una necessità sociale con la quale dobbiamo convivere. Le barriere tecnologiche saranno difficili da mettere in opera tanto più che, per natura, i comportamenti umani cercheranno di sviarle.
La moltiplicazione dei dati raccolti nell’ambiente che circonda gli individui e gli sfruttamenti incrociati che potranno esserne fatti sono percepiti come enormi poste in gioco economiche future.
Per questo, numerosi attori desiderano iscriversi in questa catena di collette dirette o indirette dei dati. Per fare ciò vediamo il dispiegarsi di una molteplicità di applicazioni che in modo subdolo raccolgono e in seguito trasferiscono dei dati sia individuali che collettivi, questi ultimi sfuggono evidentemente al controllo di ciascuno di noi, ma potrebbero esserci posti in opposizione a termine.
La volontà di associare le tecnologie digitali a numerose attività quotidiane deve farsi con una reale presa di coscienza delle dipendenze tecniche che generano ma anche delle conseguenze nella società che ne derivano.
Laurent Chrzanovski: Chi dovrebbe assumere la cultura della difesa digitale nelle imprese e sotto quale forma, a Suo parere?
Jean-Luc Habermacher: Al giorno d’oggi, in molte strutture, la strategia della difesa digitale è portata avanti dai Responsabili dei Sistemi d’Informazione, ciò che fanno con approccio e una cultura molto “tecnica”.
Come ho già detto, le poste in gioco sono sempre più economiche e l’impresa deve essere in misura di analizzare la sua vulnerabilità attraverso delle sfaccettature. La tecnologia, o più esattamente gli strumenti tecnologici digitali diventano i vettori o le armi di attacco che saranno utilizzate contro l’impresa. Da qui diventa essenziale avere una visione con una vera analisi a 360°.
Per questo, bisogna sviluppare una cultura del rischio differente, incominciando con l’identificare bene le ragioni per cercare in seguito di anticipare i meccanismi che potrebbero essere dispiegati contro l’impresa, ma anche di comprendere bene l’insieme delle conseguenze con le quali l’impresa sarà confrontata in differenti scenari.
In questo contesto, non sono sicuro che il profilo “Tecnico Sistema di Informazione” sia il più pertinente per portare a termine questa riflessione e sviluppare la cultura del rischio nell’impresa.
I Dirigenti di imprese (DG, Amministratori …) devono essere informati ed interessarsi alle vulnerabilità strategiche alle quali le loro imprese potrebbero essere esposte e prendere coscienza che le risposte alle parate non sono solo tecnologiche. Le componenti umane, culturali, di società, vuoi anche geo-politiche, devono essere prese in conto.
The EU Commission «Berlaymont» building © EU Parliament Magazine
L’installazione dei mezzi di copertura dei rischi deve necessariamente integrare questa dimensione, bisogna certo prevedere di coprire i danni materiali, ma è anche altrettanto essenziale prevedere la copertura o l’assunzione dei danni immateriali.
Il profilo del gerente del rischio dovrà dunque integrare tutte queste componenti.
Laurent Chrzanovski: Perché, secondo Lei, l’Europa ha per troppo tempo ignorato la nostra transizione al digitale e le sfide di sicurezza nuove per rapporto alle grandi potenze?
Jean-Luc Habermacher: Non so se realmente l’Europa abbia ignorato le sfide di sicurezza legate ai mutamenti digitali, ma quello che è certo è che lo spiegamento delle nuove tecnologie non è sempre stato percepito nel quadro di una analisi globale. L’interesse immediato per certi strumenti o certe applicazioni ha in qualche modo occultato le conseguenze indirette che esse potevano generare a termine.
D’altra parte, non abbiamo forse sufficientemente anticipato le conseguenze delle dipendenze tecnologiche che i grandi attori non contornabili dei software di gestione, delle reti ed i gestori delle reti di informazione digitale avrebbero messo in opera. Le convergenze economiche, attraverso i differenti attori, non sono forse state sufficientemente comprese per permettere di preparare delle parate alle dipendenze tecnologiche che esse avrebbero generato. I quadri legislativi internazionali non sono anch’essi stati adattati per permettere di evitare situazioni critiche.
Per di più gli interessi economici degli Stati prevalgono sugli interessi collettivi europei. L’Europa è una grande casa in cui ciascun locatario vorrebbe utilizzare e gestire secondo i propri interessi l’apertura delle porte e delle finestre, la rete elettrica o del riscaldamento, bloccando l’interesse comunitario alla porta di ogni appartamento. Dare e imporre regole comunitarie significa anche imporre a sé stessi delle costrizioni al proprio sviluppo.
Essendo il consenso la regola di governo, gli atti e le decisioni prese saranno sempre ‘al minimo’.
Certi progetti come GALILEO vanno nel senso della installazione di certe indipendenze tecnologiche, ma come abbiamo potuto vedere la loro messa in opera è molto complicata e soprattutto molto lunga. L’evoluzione delle tecnologie e delle strutture digitali necessitano di tempi di reazione molto corti che purtroppo sono in gran parte incompatibili con le pesantezze della direzione amministrativa delle istituzioni europee.
Laurent Chrzanovski: E’ ancora possibile in un continente in pace dal 1945 instaurare di nuovo uno spirito di vigilanza senza farsi trattare da big-brother o da guerrafondaio?
Jean-Luc Habermacher: Gli atti di terrorismo che toccano molti paesi europei da parecchi anni hanno riattivato un certo spirito di vigilanza e tendono anche a riattivare una coscienza civica.
Purtroppo i cyber-attacchi non hanno la stessa visibilità degli attacchi e attentati di strada, anche se in un certo modo le loro conseguenze possono essere simili in quanto ad impatto economico e di società. I supporti tecnologici sui quali si appoggiano gli autori dei cyber-attacchi sono sia individuali che collettivi; i comportamenti umani sono anch’essi dei vettori di trasmissione delle loro armi di attacco.
Cercare di regolamentare certe pratiche ci porterà ad impattare i comportamenti individuali e ad abbordare sia le nozioni di libertà che di ingerenza. La corsa alle tecnologie digitali e la molteplicità delle applicazioni di servizi ai quali aderisce spontaneamente una gran parte della popolazione rende anche molto difficile un’azione di regolazione. La presa di coscienza “politica” non è ancora sufficientemente matura per costituire un perno di influenza per generare delle reali misure di vigilanza collettiva e civica.
Bisognerebbe anche tentare di rinforzare il quadro legislativo per permettere delle azioni di investigazione molto più larghe e poter sanzionare più severamente, ma per questo, bisognerà far accettare ai nostri concittadini che la loro sicurezza passa forse attraverso qualche restrizione delle loro “libertà individuali”.
Laurent Chrzanovski: Perché si è così poco sensibili alle buone pratiche dei nostri vicini in seno all’UE quando queste ultime hanno fatto le loro prove e invece si riscopre l’acqua calda in ogni paese?
Jean-Luc Habermacher: Mi sembra che è nello spirito di molti fra di noi e specialmente dei nostri governanti, di voler sistematicamente personalizzare i procedimenti e le azioni.
Quando si tratta di ricondurre una “buona pratica”, c’è sempre pretesto a riconsiderarla al fine di cercare di personalizzarla per forse, adattarla meglio al nostro contesto e lo spirito nazionalista rimane molto presente nei nostri politici. I sindacati o le federazioni professionali nei campi della perizia sono praticamente inesistenti e non possono quindi tenere il loro ruolo di leva di influenza per federare azioni a livello europeo.
È questo un vero piano d’azione da mettere in atto.
Bisognerebbe quindi creare delle istanze professionali rappresentative dei nostri campi di competenza che potrebbero così lavorare in modo trasversale per promuovere i lavori realizzati e capitalizzarli.
Autore: Laurent Chrzanovski
Jean-Luc Habermacher
Biografia
Fondatore e Presidente della Energy Valey – primo cluster europeo di aziende produttrici di energia, Jean-Luc è senior risk manager, con esperienza professionale in ditte molto importanti quali CEGELEC, ALSTOM, CONVERTEAM e GENERAL ELECTRIC. Vice-Presidente regionale dell’Associazione degli Auditori dell’Istituto di Alti Studi di Difesa Nazionale (IHEDN), Jean-Luc è anche nella direzione dell’Università di Bourgogne-Franche-Comté e Locotenente – Colonnello di Gendarmeria (RC). Jean-Luc è anche Project Manager nell’implementazione di soluzioni di Business Intelligence presso numerose aziende private.