Solo pochi anni fa pochi avrebbero immaginato che ci si sarebbe trovati a parlare di strategie di cybersecurity per gli edifici commerciali; da qualche tempo, invece, il tema è estremamente attuale e sentito anche dai più grandi player del settore. Le vulnerabilità potenziali sono numerose.
Nel 2020, in un sondaggio condotto da Deloitte coinvolgendo i vari player della filiera – dai proprietari ai broker e investitori – i partecipanti avevano individuato il più grande rischio per la sicurezza dei dati nell’accesso non autorizzato ai dati attraverso i sistemi degli edifici – ad esempio i sistemi Hvac, ma anche le reti WiFi; nonostante ciò meno della metà degli intervistati dichiarava di avere sviluppato capacità interne di resilienza e risposta informatica.
Questa mancanza di azione è un problema da affrontare rapidamente e in modo specifico: negli ultimi due anni abbiamo visto un aumento esponenziale di ransomware e altri attacchi informatici, agevolati anche da una “superficie di attacco” sempre più ampia, collegata ad esempio al numero crescente di dispositivi IoT connessi. Basti pensare che la società di consulenza Memoori prevedeva per il 2025 l’esistenza di oltre 3 miliardi di dispositivi IoT negli edifici del mondo – quasi il doppio degli 1,7 miliardi presenti a fine 2020.
Smart Building: vantaggi e rischi
Le tecnologie Smart Building IoT e i sistemi di gestione degli edifici (BMS) connessi al cloud oggi stanno definendo un nuovo scenario nel settore. Gli edifici del futuro sono più sostenibili, resilienti, iper efficienti, confortevoli: anche grazie a questi software sempre più evoluti, che offrono molti vantaggi al personale che si occupa degli edifici, consentendo di sfruttare capacità di analisi e servizi con cui superare l’approccio di automazione tradizionale. E’ possibile attingere a enormi quantità di dati per fare raffronti, creare metriche delle prestazioni ad hoc per un dato edificio o campus, e tenere sotto controllo in modo continuo il raggiungimento degli obiettivi prefissati.
Spinti da queste opportunità e dai trend del mercato, proprietari e gestori immobiliari commerciali stanno adottando sempre più questi sistemi. Senza una strategia precisa di sicurezza informatica, l’operatività delle strutture e le reti ad esse connesse possono essere esposte a rischi significativi, che possono anche inficiare i risultati attesi dagli investimenti fatti in BMS.
Per fare alcuni esempi realistici:
• un ex dipendente scontento, imbattendosi in una rete wireless aperta usata per il controllo dell’illuminazione, può lanciare un attacco DDOS (Distributed Denial Of Sservice) contro l’ex datore di lavoro;
• criminali informatici usano e-mail di phishing o altre tattiche di ingegneria sociale per entrare in un sistema di controllo digitale e ottenere l’accesso fisico alle aree altrimenti protette di una struttura;
• una rete di Building Management System non adeguatamente segmentata rispetto alla rete usata per l’operatività di un’azienda consente di accedere, senza essere rilevati, a dati dei clienti, proprietà intellettuali, informazioni commerciali critiche.
Ognuno di questi casi può portare mancati guadagni, rischi per la salute e la sicurezza delle persone, danni potenziali ad apparecchiature e sistemi dell’edifico.
Cinque passi per una strategia di sicurezza informatica di successo
Una gestione completa e attiva dei rischi operativi richiede una strategia pragmatica ed efficace per gestire e mitigare il rischio di sicurezza informatica negli edifici commerciali. I rischi devono essere caratterizzati e quantificati; inoltre, si dovrebbe mettere in atto una struttura di governance, insieme a processi e tecnologie, per proteggere i beni delle persone e il valore per gli azionisti.
Un White Paper di Schneider Electric delinea cinque attributi essenziali per una strategia di gestione del rischio, che garantisca che gli edifici intelligenti più moderni siano sempre cyber-sicuri: eccoli in sintesi.
• Governance organizzativa: un’efficace gestione del rischio informatico inizia dalla creazione di consapevolezza e dal coinvolgimento della direzione aziendale. Questo comporta lo sviluppo di una visione per la cybersecurity connessa a quella generale per l’organizzazione, e la scelta di uno schema di obiettivi e di metriche per trasformare la visione in realtà.
• Framework e standard di cybersecurity robusti: esistono quadri di riferimento e standard documentati e collaudati, che hanno stabilito le migliori pratiche e i principi guida per sviluppare una strategia di sicurezza informatica e possono fungere da guida, per fare in modo di non trascurare importanti aspetti della cybersecurity.
• Accurata raccolta di informazioni: mettere in atto una strategia richiede una piena comprensione delle potenziali minacce e delle risorse critiche dell’edificio che potrebbero essere a rischio se un Bms è compromesso.
• Adeguata implementazione delle tecnologie di protezione: necessario un approccio sistematico per identificare e mettere in atto soluzioni che affrontino fasi specifiche di un evento di minaccia informatica, tra cui protezione, rilevamento, risposta e ripristino. Un modello standardizzato può aiutare i gestori a identificare le tecnologie necessarie relative specificamente ai sistemi di controllo degli edifici intelligenti.
• Piani adattivi di risposta agli incidenti di cybersecurity: una strategia che voglia dirsi completa deve stabilire anche cosa succede se nonostante tutto non si riesce a prevenire una violazione della sicurezza.
Per saperne di più si può approfondire l’argomento visitando il sito web Schneider Electric, che offre maggiori informazioni sulle soluzioni EcoStruxure per gli edifici smart, resilienti, sostenibili e confortevoli del futuro.
di Francesco Rossi, Real estate segment manager di Schneider Electric
