La sfida della cybersecurity nell’Oil & Gas
Non solo tecnologia, ma soprattutto cultura e competenze
Roberto Nava
Partner Bain & Company
Giacomo Calligaris
Consulente Bain & Company
La progressiva digitalizzazione e automazione delle attività produttive lungo tutta la catena del valore O&G e i nuovi ecosistemi digitali (IoT) espongono le imprese a un crescente rischio di attacchi informatici del tutto nuovi: immaginiamo, ad esempio, un impianto di raffinazione dotato di molteplici sensori interconnessi con standard e livelli di sicurezza spesso non allineati, che comunicano con un’infrastruttura altamente complessa e gestita da più stakeholder in contemporanea, come fornitori e operatori terzi.
Oltre a un potenziale impatto economico, un attacco informatico a un player O&G può provocare conseguenze importanti in termini ambientali, come sversamenti di idrocarburi nell’ambiente, e di sicurezza delle persone, a causa del malfunzionamento di impianti o attrezzature, fino a una potenziale interruzione del servizio al pubblico, nel caso di depositi e stazioni di servizio.
In questo contesto di crescenti minacce, gli investimenti privati in cybersecurity hanno raggiunto un record storico. Una recente ricerca di Bain & Company rileva che il 97% delle grandi aziende è stato oggetto di audit o valutazioni in ambito cybersecurity negli ultimi tre anni, il 70% aggiorna regolarmente gran parte delle proprie tecnologie e tre su quattro sono dotati di figure di management dedicate, come Chief Information Security Officer. Oggi il 43% dei dirigenti ritiene che le proprie aziende siano in linea con le best practice internazionali, anche se un'analisi più approfondita rivela che solo circa il 24% delle aziende lo è effettivamente. Troppe società affrontano la questione solamente a livello tattico, cercando soluzioni troppo spesso nella tecnologia, anziché guardare il problema da una prospettiva più ampia.
Infatti, secondo quanto emerge dalla ricerca condotta nel 2018 dall’Osservatorio Information Security & Privacy del Politecnico di Milano, il comportamento umano continua a essere il principale elemento di rischio: distrazione e scarsa consapevolezza dei dipendenti rappresentano le criticità prevalenti per l’82% delle aziende intervistate, molto più di altri aspetti legati alle infrastrutture. In base alla ricerca di Bain & Company meno della metà delle aziende intervistate offre una formazione regolare del personale su temi di cybersecurity e, molto più sorprendentemente, solo il 55% offre una formazione adeguata ai propri professionisti IT.
In questo scenario, l’acquisizione di nuove competenze tecniche in ambito cybersecurity, una formazione adeguata del personale per renderlo cosciente delle nuove minacce e una cultura aziendale orientata alla prevenzione devono essere priorità per il Senior Management aziendale.
La capacità del business di reggere un potenziale attacco dipende anche dal modello operativo adottato, non solo tecnologico, ma anche organizzativo, per rendere embedded la cybersecurity con gli altri processi aziendali. L’obiettivo è sviluppare un atteggiamento resiliente, in grado sia di prevenire potenziali attacchi sia di saper gestire quelli reali, circoscrivendo per quanto possibile l’impatto sul business.
Infine, anche il budget dedicato allo sviluppo e gestione della cybersecurity deve essere opportunamente commisurato alla reale esposizione del business al rischio di attacchi informatici, che può variare sensibilmente lungo la catena del valore O&G. Poiché è difficile trovare parametri di riferimento affidabili, molte aziende cercano di allineare le stime a quelle dei propri peer di riferimento, rischiando di creare un circolo vizioso all’interno del settore. In generale, ci si limita a replicare il budget dell’anno precedente o aggiungere incrementi annuali, invece di ripensare il preventivo di spesa ripartendo da zero e giustificando ogni singolo elemento di costo in funzione della sua effettiva utilità.
Un approccio integrato alla cybersecurity per gli operatori della filiera O&G deve passare necessariamente attraverso lo sviluppo e il miglioramento nel tempo di un insieme di capacità strategiche per raggiungere un livello di maturità sufficiente per contrastare le minacce esterne.
Questo può richiedere un percorso di lavoro basato su una chiara sequenza di step:
- Definizione della baseline di riferimento: comprendere il punto di partenza misurando l’attuale livello di maturità delle capacità aziendali in tema di cybersecurity (competenze, tecnologie, processi, organizzazione, etc.)
- Individuare il benchmark di riferimento e stabilire un obiettivo di maturità: stabilire il livello di maturità-target appropriato per la propria azienda, anche in funzione di un benchmarking esteso ad altre realtà e settori, tenendo in considerazione anche aspetti come geografia e tipologia di asset, che possono richiedere forme di protezione diverse.
- Definire una roadmap implementativa e avviare un percorso strutturato: affrontare in maniera prioritaria i punti deboli che impattano la vulnerabilità degli asset più critici per il business, per poi estendere il perimetro ad altre aree.
- Sensibilizzare tutti i livelli aziendali – Board, Organi di controllo, Management, forza lavoro – sull'importanza della cybersecurity e sulla rilevanza che i comportamenti individuali rivestono per massimizzarne l’efficacia.
- Adottare un approccio di miglioramento continuo alla cybersecurity: rivalutare periodicamente i requisiti e i livelli di maturità raggiunti, adottando un approccio di miglioramento continuo. Aggiornare la tabella di marcia per assicurare la prioritizzazione degli sforzi ove più necessario, in funzione anche dell’evoluzione del contesto esterno.
Nel complesso questo non è un percorso troppo differente da altre iniziative di trasformazione aziendale (pensiamo, nel recente passato, allo sforzo fatto in ambito HSE) e, poiché l’impegno richiesto alla struttura può essere elevato e durare per anni, è fondamentale sviluppare e mantenere un momentum for change. Per completare con successo la trasformazione e proteggere efficacemente organizzazione, asset aziendali e stakeholder dalle minacce del prossimo decennio, il Management deve essere cosciente della portata della sfida e riconoscere che, nella maggior parte dei casi, ciò che è stato fatto in termini di competenze e cultura sino ad oggi non è abbastanza. D’altro canto, anche i classici ci insegnano che la città di Troia cadde, nonostante le sue possenti mura, per una vulnerabilità dei suoi cittadini, che non furono opportunamente preparati a intercettare e affrontare una forma imprevista di attacco, quella dell’inganno.
01 aprile 2020