Gli attacchi informatici sono in aumento, i metodi diventano sempre più perfidi. In tempi di modelli di protezione radicale come Zero Trust*, la fiducia nella sicurezza delle informazioni è diventata una vera rarità. Come può un fornitore di sistemi di infrastrutture critiche giustificare la fiducia nelle sue soluzioni e nei suoi servizi? Come si può creare un prodotto sviluppato nel modo più sicuro possibile? Rittmeyer è il primo produttore svizzero nel settore dell'acqua e dell'energia ad aver ottenuto la certificazione ISO 27001 per fornire una risposta a questa domanda. Ma cosa significa esattamente questa cifra?

Un criminale informatico che cerca di fare soldi. Vuole rubare dati che poi può convertire in denaro. I metodi di attacco stanno diventando sempre più sofisticati e ora talvolta interessano intere catene di fornitura. Un possibile scenario di minaccia: un fornitore del gestore di un'infrastruttura critica viene attaccato con successo. L'attacco rimane inosservato per mesi e viene consegnato un prodotto compromesso. Nel frattempo sono state raccolte grandi quantità di dati, sono stati creati profili dei collaboratori e si sta preparando un attacco mirato al sistema. I colpevoli colpiscono in un momento non protetto. Ciò è particolarmente delicato nel settore delle infrastrutture critiche, dove non solo i dati devono essere protetti, ma soprattutto i sistemi devono essere disponibili in modo sicuro.

In generale, le aziende e le persone meno protette sono le più attraenti per gli aggressori. Ecco perché l’asticella al "punto d'ingresso" deve essere posta così alta così che lo sforzo è troppo alto e l'attacco è meno redditizio, sottolinea Michel Herzog. In qualità di consulente esterno per la sicurezza informatica, ha accompagnato Rittmeyer durante l'introduzione di un sistema di gestione della sicurezza delle informazioni (ISMS) certificato secondo lo standard internazionale di sicurezza ISO/IEC 27001:2013.

Le funzionalità oggi frequentemente richieste, come la manutenzione a distanza e i sottosistemi collegati a Internet, aumentano il numero di potenziali gateway. Pertanto, si deve presumere che prima o poi si verrà attaccati con successo. Secondo Herzog, il fattore decisivo è il rafforzamento della resistenza con una strategia olistica di sicurezza informatica. Ciò consentirebbe di individuare rapidamente gli attacchi, di reagire prontamente e di recuperare il più rapidamente possibile da un attacco informatico. "Questo è esattamente ciò che le linee guida come lo standard minimo ICT, l'American NIST Cyber Security Framework o la 'top class' certificabile: ISO 27001", chiarisce il consulente. I rischi nel settore della sicurezza delle informazioni sono così ridotti a livello operativo e di processo. Da un lato, lo standard copre la sicurezza tecnica. Tuttavia, cerca anche di affinare la consapevolezza dei dipendenti a lungo termine. È quindi importante anche trovare il giusto mix che si adatti alla cultura della rispettiva azienda, sottolinea Roland Hürlimann, CIO di Rittmeyer e il Gruppo BRUGG, che ha stabilito il processo insieme a Michel Herzog. Secondo il consulente per la sicurezza, questo è spesso frainteso: Nonostante la certificazione, un'azienda può permettere lacune nella sicurezza. La cosa principale è una decisione consapevole del team di gestione su come affrontare un rischio: "Puoi ridurlo, accettarlo, trasferirlo. L'importante non è ignorarlo".

Per due anni, un team trasversale dell'azienda ha preparato la certificazione con il supporto esterno. Roland Hürlimann: "La sicurezza delle informazioni è per noi una vera preoccupazione. Se fosse guidata solo internamente, ci sarebbe sempre un certo rischio che ad altre cose venga data maggiore priorità e che vengano rimandate decisioni importanti". Il rapporto del cliente con un fornitore esterno e le revisioni settimanali hanno dato al tema della sicurezza informatica la necessaria attenzione. Da un lato, ciò significa che i dipendenti sono costantemente confrontati con le questioni rilevanti. Ancora più importante, tuttavia, è che le misure per potenziali nuovi scenari di minaccia possono essere definite, pianificate e attuate per tempo.

Nel 2018 era stata avviata un'analisi delle lacune in materia di sicurezza organizzativa e tecnica. Su questa base, a partire dalla metà del 2019 sono stati sviluppati processi e linee guida su misura per Rittmeyer. "In Rittmeyer, oltre ai rappresentanti delle varie divisioni, erano regolarmente presenti anche il CEO e il CFO. Non è sempre così", dice con piacere Herzog. Da un lato, questo ci ha permesso di rispettare i tempi sportivi. Soprattutto, però, ha fatto in modo che non solo si costruisse qualcosa "in cima", ma che il tema della sicurezza informatica fosse supportato dal top management e quindi portato in profondità nell'organizzazione, dice il consulente. Un pre-audit l'anno successivo ha fornito informazioni sullo stato attuale della sicurezza organizzativa. Questo incontro preliminare serve per poter implementare i miglioramenti finali prima dell'effettivo audit di certificazione. Nel luglio di quest'anno l'audit è stato poi effettuato dall'Associazione svizzera per i sistemi di qualità e di gestione (SQS) e superato con successo.

La sicurezza informatica è stata una delle principali preoccupazioni di Rittmeyer fin dai primi tempi di Internet. Le valutazioni dei rischi e i relativi investimenti nei singoli sistemi sono stati quindi effettuati in modo continuo anche prima della certificazione. "Prima dell'introduzione dello standard, tuttavia, tendevamo ad ottimizzare i singoli pezzi del puzzle. Ora stiamo ottimizzando l'intero mosaico, l'interazione di queste tessere", chiarisce Hürlimann.

Rittmeyer fornisce sistemi alle infrastrutture critiche. La ISO 27001 comprende un capitolo separato sulla sicurezza fin dalla fase di sviluppo. "Tra le altre cose, ci affidiamo al principio del doppio controllo. Alla fine di ogni ciclo di sviluppo viene effettuato un controllo finale di sicurezza. Va da sé che gli ambienti di sviluppo, test e produzione sono comunque strettamente separati l'uno dall'altro", afferma Hürlimann. Anche la gestione della catena di fornitura è integrata nelle regole e nei regolamenti, spiega Herzog: "Rittmeyer dipende dai fornitori tanto quanto dai suoi clienti. La norma garantisce che vengano fissati anche determinati requisiti minimi per la loro sicurezza.

Hürlimann deve ammettere che è una sfida mantenere la motivazione di tutte le persone coinvolte in questo lungo periodo di tempo. Per rendere visibili i vantaggi, per affrontare gli atteggiamenti difensivi, perché i processi precedentemente fissati vengono modificati. "Ma oggi posso dire con orgoglio: abbiamo fatto il nostro lavoro in termini di sicurezza informatica". Ma questa è solo una faccia della medaglia, conclude Herzog: "Rittmeyer può dare il suo contributo alla sicurezza solo fino a un certo punto". È soprattutto il comportamento dei clienti e dei loro dipendenti che è decisivo per una sicurezza delle informazioni sostenibile nell'esercizio continuo delle infrastrutture critiche.