Roadshow Cyber 4.0 – report seconda tappa

Foligno – 25 Novembre 2022

Confindustria Umbria, Sezione Territoriale Foligno,

Sala Convegni Sviluppumbria, Via Vici, 28 –Foligno

Contesto ed introduzione

Il Roadshow Cyber 4.0, l’iniziativa per avvicinare il contesto delle PMI al mondo della Cybersecurity, ha avuto come seconda tappa la Regione Umbria.

Il ciclo di eventi, organizzati con il sistema dei DIH ConfindustriaSistemi Formativi Confindustria e LUISS Guido Carli, sono finalizzati ad informare i rappresentanti della Piccole e Medie Imprese sul quadro delle minacce cyber alle quali le stesse sono potenzialmente soggette ed approfondire le priorità di difesa, le iniziative in corso, gli strumenti per difendersi ed il supporto che – in tale contesto – il Centro di Competenza ad alta specializzazione Cyber 4.0 può esprimere.

La giornata di lavoro è stata suddivisa in due sessioni:

  • Tecnica, durante la quale è stata effettuata una simulazione di diverse modalità di attacco cibernetico coinvolgendo direttamente i partecipanti dell’evento, grazie al supporto di hacker “white hat”, consulenti di Sistemi Formativi Confindustria. A valle della simulazione dell’attacco informatico è stato possibile approfondire alcune contromisure e soluzioni per la prevenzione e reazione agli incidenti informatici;
  • Manageriale, focalizzata sugli aspetti di compliance ed organizzativi che caratterizzano il processo della cybersecurity nel contesto delle PMI. Si sono intervallati interventi di esperti del settore che hanno passato in rassegna gli attuali rischi cibernetici applicabili alle PMI e alla descrizione dei principali e migliori strumenti per la definizione ed il governo della sicurezza informatica.

La giornata è stata caratterizzata dalla presenza di esperti e specialisti in diverse discipline dell’area ICT e Cyber, il che ha permesso interessanti approfondimenti multidisciplinari. Particolarmente stimolante la presenza degli studenti del locale ITS – Istituto Tecnico Superiore, i quali, unitamente ai rappresentanti delle PMI, hanno interagito con gli esperti presenti stimolando una discussione estremamente formativa.

L’attuale panorama del rischio informatico è in continua evoluzione: aumenta infatti di giorno in giorno la probabilità di subire un attacco informatico e doverne gestire gli impatti. Ciò è diretta conseguenza della crescente digitalizzazione dei processi, sia in abito servizi che produzione (OT – Operation Technology).

I partecipanti e gli esperti hanno concordato sul fatto che l’azione chiave per diminuire il rischio cyber sia la prevenzione, sia attraverso l’adozione di adeguate infrastrutture di IT Security, sia – soprattutto – attraverso la crescita di competenze solide all’interno della singola organizzazione in la cybersecurity rappresenta un vero e proprio processo aziendale nel quale il cosiddetto Human Factor è assolutamente essenziale.

Ne è testimonianza la simulazione mostrata in modalità live da parte dei consulenti informatici di Sistemi Formativi Confindustria: tramite la tecnica dello spoofing (attacco informatico che impiega in varie maniere la falsificazione dell’identità) è stato simulato un attacco man in the middle (attacco informatico cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro), che permette al cyber attaccante di intercettare e manipolare il traffico internet su rete Wi-Fi locale. Si tratta di una minaccia particolarmente insidiosa, perché assolutamente silente: ogni azione che si sta facendo all’interno della rete locale attraverso ogni device ad essa agganciato può essere monitorata da un attaccante, il quale – con adeguate ulteriori tecniche di Social Engineering sul target prescelto – può infine entrare nel singolo device e carpire ogni tipo di informazione.

Lo spoofing è una tecnica che può essere utilizzata per falsificare diverse informazioni, come ad esempio l’identità di un host all’interno di una rete o il mittente di un messaggio. Risulta particolarmente efficace per ottenere l’accesso ad informazioni riservate e credenziali utenti.

Il primo strumento, dunque, di difesa contro gli attacchi informatici, con particolare riferimento agli attacchi di social engineering, tra i più diffusi tra le PMI, è rappresentato dall’individuazione e valutazione del rischio applicabile per il proprio contesto, e dalla formazione in materia cybersecurity.  Ma prima ancora, per determinare un’organizzazione improntata alla cultura della cybersecurity, è necessario che la leadership sia consapevole dei rischi e delle opportunità che l’adozione di un framework di sicurezza informatica per la propria azienda può avere: chi non si adegua, rischia di rimanere tagliato fuori dalle supply chain delle grandi organizzazioni che stanno aumentando l’attenzione al tema sempre di più al fine di garantire la sicurezza informatica di tutto il proprio indotto.

Si rileva nuovamente la necessità di aumentare l’attenzione in merito alle tematiche di sicurezza OT: la diffusione dei dispositivi IoT è processo impetuoso ed inarrestabile. A fronte di indubbi vantaggi a livello di produttività e automazione, però, questa evoluzione porta con sé ovvi problemi di sicurezza cibernetica. Una focalizzazione sulla sicurezza IT che dimentichi quella OT è decisamente inefficace. A tal proposito si specifica che Cyber 4.0 eroga formazione apposita in ambito OT Security, dedicata a vari ruoli aziendali ed organizzerà nel corso del 2023, eventi dedicati a tale ambito;

Per approfondire le opportunità di formazione messe a disposizione dal Centro di Competenza Cyber 4.0 è possibile contattare direttamente il Centro cliccando qui

Tra gli strumenti di orientamento dedicati alle PMI in materia di cybersecurity messi a disposizione da parte Cyber 4.0, si segnala la metodologia utilizzata dal Centro di Competenza affinché le PMI possano conoscere i propri punti deboli ed orientare le proprie scelte di investimento: il Cybersecurity assesment.

La giornata si è conclusa con un arrivederci alla prossima tappa del Roadshow che si terrà in Abruzzo, all’Aquila, il 16 dicembre 2022.