“L’industria petrolifera è tra le favorite degli hacker per la possibilità di provocare blackout energetici e perdite di prodotti e per la possibilità di danneggiare l’immagine del settore”. È quanto ha affermato Luca Montanari, ricercatore del Cis (Centro di Ricerca di Cyber Intelligence and Information Security) dell’università La Sapienza di Roma, nel corso del webinar (seminario online) svoltosi oggi nel primo pomeriggio e organizzato da Assopetroli in collaborazione con l’Università La Sapienza di Roma ed Euranet.
L’incontro virtuale è stato introdotto dal presidente di Assopetroli Andrea Rossetti: “la formazione – ha detto – serve a far fronte a un’innovazione continua del lavoro e del modo di produrre. È una cosa estenuante ma entusiasmante e ci costringe a investire continuamente sulle persone. Abbiamo deciso di partire da un tema generale e non specialistico. Molti di voi sanno quanto i crimini informatici siano diventati una minaccia reale. Oggi cerchiamo di capire meglio come difenderci da questi rischi e quali pratiche possono aiutarci a prevenire, grazie alla prestigiosa collaborazione dell’università La Sapienza”.
Montanari ha quindi parlato dei rischi (dalla perdita di operatività, alla reputazione, al data leak ai danni finanziari), sottolineando che il mandante dell’attacco potrebbe essere un concorrente, un semplice “ragazzino”, un attivista o un ladro. E ha fatto l’esempio della pratica più comune negli ultimi tempi: il cryptolocker, un programma che on è rilevato dagli antivirus e che una volta eseguito codifica e rende inutilizzabile il computer. L’unico modo per sbloccare il computer è pagare un riscatto, che spesso non è una cifra alta, e quindi di solito le società pagano. È insufficiente, ha aggiunto, mantenere i computer disconnessi dalla rete perché le minacce passano anche attraverso chiavette usb, come è in generale “impossibile vincere facile” perché “non basta avere antivirus aggiornati: serve la consapevolezza del rischio cyber”.
Per questo il governo ha messo in atto il “framework nazionale per la cyber security”, che consenta di offrire alle organizzazioni un approccio omogeneo per affrontare la cyber security e una guida per incrementare il livello di cyber security per la piccola e media impresa italiana, nonché raccomandazioni per il top management di grandi aziende e infrastrutture critiche su come organizzare processi di cyber security risk management.
Il problema di queste minacce è che non è detto che chi è sotto attacco se ne accorga e si potrebbe semplicemente ritrovare con un competitor che inizia a produrre cose con i suoi brevetti. Per fare un esempio più attinente al settore petrolifero, l’hacker potrebbe rubare la mia lista dei clienti, vedere a che prezzo vendo il prodotto e fare loro offerte a un prezzo minore.
In tutto questo, ha concluso Montanari, è fondamentale la formazione, investire in formazione, e inserire nel training degli impiegati la cyber security, perché per mettere in pericolo un sistema basta una chiavetta usb non controllata.