Immagina di trovarti nel mezzo di una diffusa intossicazione alimentare in espansione.
Controlli più volte i registri di lavorazione: tutti i lotti di pollo cotto sembrano a posto, allora cosa sta succedendo?
A tua insaputa, un hacker, magari un ex dipendente scontento, è entrato nel sistema e ha modificato alcuni processi operativi critici con accesso remoto tramite un dispositivo IoT non sicuro, così alcuni lotti di pollo non sono stati cotti a sufficienza e sono pericolosi. Purtroppo però non sai quali lotti sono stati colpiti: potresti dover richiamare il prodotto a livello nazionale.
Il tuo vantaggio competitivo è stato neutralizzato perché un competitor ha appena lanciato un prodotto identico al tuo, creato utilizzando proprietà intellettuale rubata da un pirata informatico. Un hacker ha sottratto informazioni commerciali riservate relative alla catena di distribuzione da uno dei tuoi principali clienti retail e chiede un cospicuo riscatto. Che cosa fai?
Situazioni inverosimili? Niente affatto.
Storicamente sono stati i settori finanziario e quello del retail a ricevere maggiori attenzioni dai criminali informatici, spesso tramite violazioni di dati. Più di recente i sistemi sanitari e governativi sono stati oggetto di attacchi informatici e, man mano che questi settori rafforzavano le loro difese, gli hacker si sono spostati verso obiettivi più delicati e facili, e il settore alimentare è uno dei primi che salta all’occhio.
Una parte del problema è che il settore si ritiene immune. Perché qualcuno dovrebbe attaccare un’azienda che produce cibo? Spesso le organizzazioni criminali nazionali e internazionali prendono di mira la catena alimentare per commettere sofisticazioni, contraffazioni, frodi, furti e contrabbando su larga scala. Riescono persino ad accedere ai sistemi di aziende di stoccaggio e distribuzione per inserire prodotti contraffatti nella catena di distribuzione legittima. Il pericolo è reale e le aziende alimentari di ogni dimensione devono prendere provvedimenti per rafforzare la propria resilienza informatica. Ecco perché:
- IT e sicurezza informatica non sono equivalenti. Nella maggior parte delle aziende il reparto IT è responsabile anche della sicurezza informatica. Questo è un errore fondamentale. Le due discipline sono nettamente diverse e richiedono approcci, riflessioni e competenze differenti.
- "Siamo una piccola impresa, perché preoccuparsi?" I report indicano che le PMI sono attaccate con la stessa frequenza rispetto alle grandi aziende, di solito tramite email.
- "Tutte le nostre esigenze IT e di sicurezza informatica sono esternalizzate, non è un problema nostro". I provider di servizi IT rappresentano un interessante bottino per gli hacker e di conseguenza ricevono attenzioni particolari. Un loro problema può diventare rapidamente tuo.
- Il crimine informatico sta diventando più semplice e accessibile. Mentre in passato era dominio esclusivo dei "maestri della programmazione", nel tempo si è evoluto per diventare un business a sé. Oggi gli autori di malware trovano più redditizio, e certamente più sicuro, offrire i loro servizi e vendere i loro prodotti ad altri, che lanceranno gli attacchi.
- Sistemi legacy. Gli impianti di lavorazione alimentare odierni spesso fanno affidamento su piattaforme software obsolete quali Linux o Windows 98, sistemi installati oltre 20 anni fa. In aggiunta, un codice così vecchio non può essere aggiornato o corretto con patch.
- Connessioni potenti. Collegando processi di produzione interni con reti e sistemi di dati esterni tramite Internet, la connettività consente di ottenere vantaggi produttivi e maggiore efficienza dei processi. Il lato negativo è che, per fare in modo che sistemi moderni possano funzionare con componenti obsolete, spesso la sicurezza viene sacrificata. Questo significa anche che una violazione di sicurezza in un punto può diffondersi rapidamente.
- Se non è rotto, non aggiustarlo. Il management è comprensibilmente riluttante a investire in sistemi migliori e più sicuri quando un sistema vecchio funziona a sufficienza e si ritiene che il rischio sia immaginario. Si tratta però di un falso risparmio.
- Mancanza di consapevolezza. Lo staff operativo è formato per mantenere in funzione i sistemi esistenti e non è esperto di questioni informatiche.
- La corsa verso la tecnologia "smart". I cosiddetti "dispositivi muti" come ad esempio le scatole porta esche, vengono sostituiti da dispositivi abilitati all’IoT. Spesso questi contengono sensori preconfigurati che includono elementi poco sicuri e usano un software progettato male e non supportato. Queste problematiche essenziali sono spesso sottovalutate durante il processo di approvigionamento.
Ci sono diversi tipi di attacchi che possono danneggiare un’azienda alimentare. Magari il tuo vantaggio competitivo è stato neutralizzato perché un competitor ha appena lanciato un prodotto identico al tuo, creato utilizzando proprietà intellettuale rubata da un pirata informatico. O forse un hacker ha sottratto informazioni commerciali riservate relative alla catena di distribuzione da uno dei tuoi principali clienti retail e chiede un cospicuo riscatto. In ogni caso, avere sotto controllo la gestione del rischio è essenziale.
Che cosa si può fare?
- Aderire al CHACCP, Cyber Hazard Analysis Critical Control Point. Nel settore alimentare il controllo qualità e le funzioni tecniche sono garantite da oltre 30 anni grazie a HACCP. Il CHACCP non è altro che un’estensione dello stesso approccio basato sul rischio per includere le vulnerabilità informatiche e i collegamenti in un ambiente produttivo, applicato come estensione al sistema di gestione della sicurezza alimentare integrato.
- Implementare standard di sicurezza informatica. La maggior parte delle aziende non riterrebbe necessario porsi domande sul proprio livello di sicurezza, sottoponendo il sistema a un test di penetrazione o impiegando BitSight per determinare il rischio informatico posto dai fornitori, e applicando tali controlli nella selezione, nel monitoraggio e nella valutazione dei fornitori. Un miglioramento ragionevole consiste nel considerare l’implementazione dei sistemi di gestione delle informazioni ISO 27001 e renderlo obbligatorio per i fornitori chiave, specialmente quelli che hanno piattaforme informatiche integrate in quelle della tua organizzazione.
- Lavorare sulla cultura. Tutto il personale dovrebbe diventare esperto di tecnologia grazie a corsi di alfabetizzazione informatica inclusi nel processo di inserimento e dovrebbe essere incoraggiato a segnalare qualsiasi evento fuori dall’ordinario che potrebbe costituire un pericolo informatico, prima che i problemi sfuggano di mano.
La buona notizia è che le aziende che applicano queste misure di buon senso non solo diminuiscono il rischio per la propria azienda, ma nel tempo si rendono conto che questo atteggiamento contribuisce in modo sostanziale alla creazione di meccanismi di difesa forti e diligenti, e potrebbe persino comportare un vantaggio competitivo.
Autore: Richard Werran
Direttore del settore alimentare – EMEA