Manager Room | STEFANO FRATEPIETRO: Cosa insegna l’attacco a Jaguar Land Rover all’Europa della sicurezza digitale

L’attacco al gruppo Jaguar Land Rover del settembre scorso, ha messo in luce la vulnerabilità delle catene di approvvigionamento e il costo enorme della cyber-resilienza insufficiente. Come possono difendersi le imprese? Come devono rispondere le compagnie assicurative? Come gestire la formazione per tutti i livelli aziendali?

Ne parliamo con Stefano FRATEPIETRO, CEO di Tesla Consulting, Impegnato dal 2007 nel campo della sicurezza informatica, inizia come Senior Cyber ​​Security Specialist nel settore bancario e successivamente amplia il ruolo come consulente di fiducia per importanti aziende che si occupano di spionaggio industriale e risposta agli incidenti. Oltre alla esperienza di consulenza, ha abbracciato il lato imprenditoriale dell’innovazione. Ha, infatti, fondato e guidato Tesla Consulting Srl, un’azienda specializzata in Cyber ​​Security, Incident Response e Digital Forensics, e creato in precedenza  DEFT Linux (www.deftlinux.net), una delle distribuzioni open source di Computer Forensics più riconosciute al mondo.

—

L’attacco a Jaguar Land Rover ha dimostrato la criticità della catena di approvvigionamento (supply chain) come vettore di attacco. Dato che la Direttiva NIS2 (Network and Information Security 2) mira a rafforzare la sicurezza in settori chiave e a includere anche i fornitori, in che modo l’ECSM 2025 dovrebbe focalizzare gli sforzi per aiutare le PMI e le aziende intermedie a raggiungere la compliance e la cyber-resilienza a livello di filiera, prevenendo futuri disastri a cascata come quello che ha colpito JLR?

La risposta a questa domanda penso che sia la stessa che diamo da anni, cioè che per evitare impatti operativi così gravi, come quelli avvenuti a JLR, bisogna passare da una cyber security fatta sulla carta ad una fatta sui fatti. I piani di IR, BU e DR funzionano sempre e soltanto sulla teoria e quasi mai sulla pratica, questo perché non si testano le procedure (cartacee) negli scenari realistici veramente critici. Spegnere qualche sistema e verificare che in una trentina di minuti torna su tutto non è una simulazione valida.

Si stima che l’attacco a JLR sia costato perdite finanziarie significative, con voci che indicano una copertura assicurativa cyber minima. Quali sono le principali lezioni finanziarie e di gestione del rischio che le aziende europee dovrebbero trarre da questo incidente?

I CFO spesso gestiscono in autonomia questi argomenti senza coinvolgere i giusti stakeholder, cioè i CISO o gli esperti in materia, in grado di trasmettere le informazioni necessarie per dimensionare, ad esempio, un accantonamento congruo a bilancio per la gestione di questi scenari critici, oppure, comprendere che si sta firmando un contratto di polizza pieno di restrizioni che non fanno bene all’azienda.

L’ECSM 2025 dovrebbe promuovere un cambiamento culturale che consideri la cybersecurity non più solo un costo IT, ma una spesa di resilienza fondamentale, e in che modo il mercato delle cyber-assicurazioni deve evolversi per rispondere a rischi di questa portata?

Il mercato delle assicurazioni deve capire che vendere polizze cyber non è così semplice come vendere una RC responsabilità civile. Ci vogliono prima di tutto competenze, vere, e non solo teoriche. In secondo luogo il mercato, già oggi, chiede un next step: non basta la polizza, ci vogliono strumenti che permettano di avere una reale percezione del rischio cyber h24, 7 su 7, esattamente come oggi la scatola nera ci dice se siamo degli ottimi guidatori oppure no. Questo è il balzo che le compagnie assicurative devono iniziare a fare per andare in contro alle reali esigenze di gestione di rischio aziendale.

L’attacco ha paralizzato la produzione di JLR, implicando una compromissione dei sistemi di Tecnologia Operativa e/o la loro stretta interdipendenza con i sistemi IT. Visto che il settore manifatturiero (automotive in primis) è un pilastro dell’economia europea, quali misure specifiche e immediate devono essere implementate per proteggere i sistemi OT? L’ECSM 2025 deve dare maggiore risalto alla convergenza OT/IT e alla protezione delle infrastrutture industriali critiche?

Non credo che sia una tematica che debba essere ristretta ad un discorso soltanto OT. Le aziende manifatturiere devono essere strutturate per poter continuare a produrre anche DURANTE un cyber attacco. Ad oggi quasi nessuna di queste realtà ha implementato alcuna architettura che permette una “chiusura a guscio” in grado di proteggere la produzione durante tutte le fasi di gestione dell’incidente informatico. Un approccio simile lo applica Intel durante il ciclo di produzione delle cpu.

Un attacco con un impatto così vasto come quello su JLR richiede una risposta coordinata che spesso supera i confini nazionali (data la natura globale della catena di fornitura). L’European Cyber Security Month 2025 dovrebbe enfatizzare il ruolo di agenzie come ENISA e rafforzare le strategie di cooperazione transfrontaliera per la risposta agli incidenti. Quali esercitazioni pratiche andrebbero promosse a livello europeo per migliorare la recovery  in caso di attacchi che bloccano intere industrie?

Purtroppo il non dialogo tra stati non è un problema europeo ma soltanto extra UE, soprattutto verso nazioni come Russia, Cina e altre nazioni che storicamente non hanno mai collaborato in maniera continuativa alle indagini informatiche globali. Le attuali tensioni geopolitiche non aiutato a sviluppare alcun dialogo per migliorare i canali di collaborazione sul cyber spazio. E’ un problema che, secondo me, non vedrà mai una soluzione.

Sebbene non siano noti tutti i dettagli, il fattore umano (ad esempio, tramite phishing o credenziali deboli) è spesso un punto di ingresso. Alla luce delle conseguenze catastrofiche per migliaia di lavoratori e fornitori di JLR, come dovrebbe l’ECSM 2025 rendere la formazione sulla consapevolezza cyber più rilevante e urgente per tutti i livelli aziendali, dal dipendente di fabbrica al CEO, e quali metodologie si sono dimostrate più efficaci per instillare un senso di responsabilità e prevenzione?

La formazione è uno dei pillar fondamentali dei processi di resilienza cyber, ma questa deve essere fatta con criterio, individuando il percorso migliore per la formazione dei propri dipendenti e dirigenti, che dovrebbe scoraggiare un modello di apprendimento e-learning senza alcuna verifica concreta delle tematiche apprese; verifica che deve esser parte del processo formativo, introducendo test, come ad esempio campagne di phishing (sia email che telefono), in grado di verificare se c’è stato o no un miglioramento.