Vari fattori mettono a rischio la continuità operativa delle aziende, dagli aspetti finanziari a quelli relativi a fornitori, logistica e manutenzione. Tuttavia, l’inarrestabile spinta alla digitalizzazione di tutti i processi aziendali sta ponendo in primo piano le problematiche legate alle minacce informatiche.
Criminalità, cryptolocker e carenza di competenze digitali hanno scalato le classifiche delle tabelle dei rischi del World Economic Forum e delle principali assicurazioni mondiali. Di fronte alla complessità di un problema nuovo, si tende spesso all’inazione o al fatalismo.
Al contrario, è il momento di cogliere le opportunità della digitalizzazione con un approccio pro-attivo alla sicurezza, ma serve una mentalità manageriale adeguata ai tempi. La cultura prevalente negli ultimi decenni ha promosso l’efficienza, la razionalizzazione, la riduzione di spesa. Purtroppo, la pandemia ci ha confermato quanto siano fragili i processi estremamente efficienti. La continuità operativa richiede non solo ridondanza, ma ulteriori risorse per monitorare e verificare che le repliche funzionino. Anche un backup dei dati può apparire un investimento improduttivo, ma diventa vitale in caso di guasto di un disco o di dati crittografati da un ransomware.
Le minacce che caratterizzano i servizi digitali sono molteplici, dagli errori umani agli attacchi criminali, dai fattori ambientali ai guasti. Tuttavia, tali servizi presentano un enorme vantaggio rispetto agli impianti manifatturieri: grazie alle moderne tecnologie, quali reti efficienti e virtualizzazione, possono essere duplicati, migrati ed esternalizzati con estrema facilità.
Qualsiasi soluzione è lecita pur di evitare i single point of failure degli odierni sistemi che risultano molto vulnerabili. Il moderno controllo industriale è costituito da sistemi software che gestiscono processi in tempo reale inviando comandi a numerosi sensori, attuatori, nodi di comunicazione e dispositivi distribuiti. Tali sistemi possono scambiare enormi quantità di dati ad alta velocità su reti di comunicazione al fine di monitorare e controllare i dispositivi fisici. I sistemi di controllo dell’ambito operativo (OT) funzionano in base a regole che hanno priorità e procedure diverse rispetto ai tradizionali sistemi informatici (IT). In passato, i due sistemi erano isolati l’uno dall’altro. Nei moderni impianti industriali, i sistemi OT e IT sono collegati, quindi gli attacchi informatici possono originarsi dal lato IT e migrare verso i sistemi industriali ovvero si hanno esempi in cui l’attacco è partito dal lato OT per arrivare all’IT.
Una simile complessità non è evolutiva ma dirompente. Pertanto, va affrontata strutturalmente non solo a fini di sicurezza, ma quale possibile fattore per l’innovazione. Ogni impresa dovrebbe porsi l’obiettivo, oggi raggiungibile, di garantire continuità operativa, scalabilità e usabilità. Per il semplice motivo che questi fattori garantiscono e garantiranno il business delle aziende che si stanno trasformando, con più o meno consapevolezza e rapidità, in imprese software-enriched, data-driven, always connected. L’estrema razionalizzazione e il contenimento dei costi dei servizi informatici non può costituire l’odierna priorità.
Con le dovute proporzioni di budget e di business, il modello a cui tendere è quello dei servizi di Google, Facebook, Amazon, sempre operativi, scalabili e semplici da utilizzare. Ovvero, per il nostro territorio manifatturiero, si potrebbe guardare a Tesla che in poco più di 15 anni è divenuta l’azienda automotive più quotata in borsa a livello mondiale. Pochi modelli disponibili, derisa dalle storiche aziende francesi, tedesche e giapponesi che sostenevano “la potremmo acquisire quando vorremmo, ma preferiamo evitarlo perché non ha un business model redditizio”. Vero al tempo, ma solo perché Tesla guardava lontano e (ri)progettava l’intero ecosistema automotive del futuro, ben oltre la sola automobile: un mezzo sempre connesso e geolocalizzato, dotato di servizi applicativi, guida assistita e semi-autonoma, ma anche arricchito da batterie a lunga durata, da sistemi di ricarica efficienti e da meccanismi di manutenzione/evoluzione remoti.
Dalle crisi possono nascere opportunità. Probabilmente, per molte aziende è il momento giusto per ripensare, almeno in parte, il proprio business partendo dalla (ri)progettazione di sistemi e servizi resilienti che siano in grado di adattarsi alle condizioni mutevoli del mercato, sappiano resistere alle minacce e sappiano recuperare rapidamente dalle interruzioni dovute ad attacchi deliberati, incidenti o fattori naturali.
Lo si può fare in modo reattivo dopo aver subìto qualche attacco o per l’imposizione di qualche nuovo standard industriale. In alternativa, il processo può essere guidato in modo pro-attivo da manager illuminati che intravedano a sappiano colgono le opportunità dei nuovi mercati. Servirà protezione e ridondanza, dalle infrastrutture alle reti, dai dati alle competenze. Probabilmente quest’ultima mancanza rappresenta il limite maggiore che andrà superare mediante la collaborazione sinergica di tante realtà pubbliche e private.