Una simulazione in diretta di un attacco OT (Operational Technology) a un’infrastruttura energetica in grado di lasciare senza elettricità un’intera città. È la dimostrazione che l’azienda AizoOn, attraverso la sua tecnologia Esra, ha portato sul palco della Cset Conferenze 2025, in corso oggi e domani alla Stazione Marittima, mostrando tutta la vulnerabilità delle infrastrutture strategiche.
Massimo Centofanti, direttore della divisione Cyber Security di AizoOn Technology Consulting e co-founder ai.esra, ci racconta di cosa si occupa la società e quali sono le criticità del settore.
«Ci occupiamo di cyber security a 360 gradi. Tra l’altro siamo anomali perché noi produciamo anche tecnologie, tra cui Esra. Oggi mostreremo come è semplice poter fare un attacco che può lasciare senza elettricità un’intera città e come invece le tecnologie attuali permetterebbero di comprendere come organizzare i sistemi per evitare questi tipi di attacchi. In AizoOn seguiamo la cyber security veramente a 360 gradi: Offense Security, Defense, parte della Risk and Compliance e ovviamente lo sviluppo di piattaforme per migliorare la sicurezza dei nostri clienti. AizoOn conta circa 750 dipendenti. La sede centrale è a Torino e siamo presenti in tre continenti. Abbiamo circa dieci sedi in Italia, Genova è la nostra seconda sede per importanza, poi siamo in Spagna, in Svizzera, negli Stati Uniti e in Australia».
Come sta evolvendo la situazione?
«La situazione è decisamente critica. A parte il quadro geopolitico, che tutti conoscono, c’è veramente tanta confusione in questo momento tra quelli che sono standard e norme che sono ovviamente arrivate al tavolo di tutte le aziende. C’è poca organizzazione, poca comprensione e soprattutto poca percezione del rischio. Quindi è estremamente complesso riuscire a spiegare al management, che oggi ha delle responsabilità oggettive rispetto al cyber security, che cosa dovrebbe fare per essere compliant, ma soprattutto per mantenere il loro business. Quindi il problema di fondo è racchiuso in una parola, è culturale. Noi vediamo questo, cioè non riusciamo a scardinare questo concetto che la sicurezza non è qualcosa di aggiunto, ma è qualcosa che protegge il business. Quindi andrebbe comunque messa all’interno di quelli che sono i processi di business delle aziende. Speriamo che queste norme ci diano una mano, perché questo significa creare un sistema Paese, soprattutto un sistema Europa resiliente, che poi è lo scopo ultimo del legislatore con le varie normative standard che ha promulgato negli ultimi anni».
Ci sono dei settori che sono più attenti e che quindi recepiscono più velocemente e altri che sono più indietro?
«Storicamente il settore Finance è sicuramente quello più attento, per ovvi motivi. Gli altri sono sicuramente in rincorsa, sono molto indietro su tanti punti di vista. Fino a qualche anno fa il mondo della produzione era disconnesso, quindi in realtà non si percepiva il problema perché effettivamente non c’era. Oggi non è più così. Dall’industria 4.0 al fatto che si può fare assistenza da remoto, si può fare manutenzione da remoto e contatto, i sistemi sono diventati connessi. Ma abbiamo un problema, se magari hanno vent’anni, quindi sono estremamente vulnerabili, magari abbiamo gestito male le configurazioni all’interno, quindi potenzialmente sono fonte di attacco estremamente importanti. Quindi la parte industriale è sicuramente quella più indietro. Per non parlare della sanità e dell’ente pubblico in generale, che sicuramente avrebbe bisogno di un coordinamento forse un po’ più forte al centro. Speriamo che Acn, l’Agenzia per la cybersicurezza nazionale, riesca effettivamente ad assurgere a questo ruolo».
