Alstom non ha bisogno di molte presentazioni: è la multinazionale che produce – tra l’altro, non solo – buona parte delle infrastrutture ferroviarie europee di Alta Velocità ed è, quindi, un’azienda per cui la sicurezza, in senso lato, è un tema ovviamente fondamentale. Meno ovvio può essere, per i non addetti ai lavori, che Alstom si sia organizzata internamente con un team globale focalizzato in modo specifico sulla cybersecurity dei prodotti, per mettere in sicurezza la crescente “quota digitale” delle infrastrutture ferroviarie.

“Oggi un treno è un sistema iperconnesso – spiega Eddy Thesee, Vicepresidente della divisione Digital & Cybersecurity di Alstom – con qualcosa come 400 o 500 computer diversi, nodi di tre o quattro reti differenti che possono essere isolate o meno, air-gapped oppure no. Di fatto, un treno è un data center su rotaia”. Da qui, per Alstom, l’esigenza di affrontare le problematiche di cybersecurity. Ma anche di farlo con sviluppi propri, perché le soluzioni nate nell’IT non sono, in questo scenario, del tutto adeguate o persino applicabili.

Ambiti come quello delle infrastrutture di trasporto si muovono infatti a velocità molto diverse dal ciclo di vita e aggiornamento dei prodotti di cybersecurity. “Una linea ferroviaria – spiega ad esempio Thesee – è un progetto che dura diversi anni, per arrivare a una infrastruttura che ne deve durare stabilmente decine… Lo sviluppo di un nuovo treno prevede test di durata che durano almeno un anno e in questi test nessuno vuole dover cambiare le configurazioni delle componenti software, nemmeno per la cybersecurity: è più importante garantire prima la ‘safety’ dei sistemi”.

Altro problema: a differenza che nell’IT, nel campo di Alstom non esistono ambienti sempre e comunque standardizzati, su cui applicare soluzioni altrettanto standardizzate. “L’IT è più o meno la stessa ovunque – commenta Thesee – ma una rete di trasporto una infrastruttura critica complessa, unica, con componenti stratificati che vengono da fornitori diversi, grandi e piccoli. E ogni componente va considerata e ‘blindata’, anche il piccolo modulo software che arriva da un fornitore di un fornitore di una terza parte”.

La sicurezza è embedded

Affrontare tutto questo con l’approccio convenzionale della cybersecurity “da azienda” è impossibile: bisogna portare la sicurezza del digitale il più a monte possibile ed adottare integralmente un approccio di security by design. “E questo significa anche sviluppare internamente i componenti hardware e software che servono per farlo”, spiega Thesee.

In questo senso l’esperienza di Alstom è allineata con segnali che sono già arrivati dai mondi Trasporti, Energia, Difesa, Oil&Gas: nulla contro i vendor della cybersecurity tradizionale, ma quando si tratta di infrastrutture e sistemi critici bisogna intervenire al livello più basso possibile, una “zona” in cui spesso può operare solo chi i sistemi e le infrastrutture le realizza. “La cybersecurity – conferma Thesee – avrà un impatto enorme sulla progettazione dei nostri prodotti. Ad esempio, progettiamo da soli i nostri computer di bordo. Ne abbiamo progettato le varie schede embedded e in maniera modulare: c’è la parte di segnalazione, quella di controllo, quella di cybersecurity, e via dicendo”. Questo anche per questioni di compliance: le board certificate non possono essere modificate, quindi le parti che richiedono aggiornamenti anche frequenti, come quelle di cybersecurity, sono integrate su schede diverse.

Vedere la cybersecurity non come un elemento aggiunto al resto della progettazione, ma strettamente integrato con essa, richiede anche una nuova visione del modo stesso di lavorare dell’azienda. Così il team di cybersecurity di Alstom ha coinvolto tutte le figure della filiera – tecnici, progettisti, architetti di sistema e via elencando – perché si abituassero a integrare la sicurezza cyber all’inizio dello sviluppo prodotto e non verso la fine. La diffusione di una cultura generale della cybersecurity è una precisa presa di posizione di Alstom per il futuro della sua sicurezza. “Non siamo una semplice cybersecurity company – spiega Thesee – ma siamo una azienda di cybersecurity ferroviaria. Questo non significa che non acquisteremo più tecnologie dai ‘pure player’, ma che lo faremo solo per le componenti che non ha senso sviluppare internamente e che poi comunque adatteremo al nostro contesto”.

Il team cybersecurity di Alstom, che oggi impiega oltre 420 persone, si occupa anche di un altro aspetto essenziale: va bene pensare alla nuova cybersecurity delle future infrastrutture e dei futuri sistemi, ma ci sono da proteggere anche quelli che sono già attivi e che man mano diventano sempre più digitalizzati e connessi. Qui l’approccio generale, spiega Thesee, è duplice.

Da un lato, serve introdurre funzioni di protezione perimetrale delle reti OT/ICS, ben sapendo che di solito sono “piatte” e, quindi, non sempre “sopportano” bene barriere e segmentazioni. Dall’altro lato, serve una maggiore visibilità sulle componenti delle reti stesse: di solito nei sistemi industriali si ha una buona visibilità funzionale (cosa sta svolgendo quali operazioni) ma non architetturale (quali componenti sono a supporto di quelle operazioni), perché storicamente il primo aspetto conta più del secondo, di cui ci si preoccupa solo se sorge un problema.

Anche qui, la visibility dell’IT non basta per i sistemi critici, anche se i temi sottesi sono gli stessi. “Possiamo parlare di asset inventory, asset management, cloud, macchine virtuali… ma alla fine deve essere garantita la ‘safety’ delle persone. Questa è la nostra missione, non fare cybersecurity in nome della cybersecurity” ricorda Thesee.

Una difesa consapevole

Sullo sfondo delle attività cyber di chi fa infrastrutture e sistemi critici ci sono sempre le considerazioni geopolitiche: comparti come Trasporti ed Energia hanno di fronte sempre la minaccia di threat actor molto organizzati, con molte risorse e ricchi di motivazioni forti. Alstom sta sviluppando un proprio approccio per tenere conto di questo spettro ampio di minacce potenziali. “Abbiamo sviluppato una metodologia di risk assessment ad hoc per il mondo ferroviario, perché quelle pensate per l’IT o per l’industria non erano adatte. Le daremo risalto, perché non vogliamo che sia un approccio solo nostro ma una metodologia aperta a tutti”, spiega Thesee.

Il primo passo dell’approccio Alstom è definire il contesto da proteggere, perché valutare i rischi di una piccola linea metropolitana urbana non è la stessa cosa che farlo per una importante linea ferroviaria internazionale. “Dobbiamo trovare un equilibrio ideale rispetto a una ampia gamma di minacce, dal ragazzino che vuole forzare il WiFi di un vagone allo Stato-nazione che vuole bloccare un Paese. In questo bisogna anche essere realistici, consci che un attaccante di alto profilo può comunque penetrare in una rete”, spiega Thesee.

È in effetti impensabile “blindare” in modo assoluto una rete fatta – ad esempio – di centinaia di treni che si muovono su migliaia di chilometri di binari, ciascuno con decine o centinaia di computer a cui non è nemmeno troppo complesso accedere fisicamente. Una violazione dei sistemi va quindi messa in conto. E in quel caso, allora? “Molti degli attaccanti – spiega Thesee - non faranno granché perché non sapranno come muoversi in una infrastruttura come quella che abbiamo creato. E comunque non rendiamo affatto loro le cose semplici. Altri potranno penetrare più in profondità, e qui l’elemento chiave è rilevarli, seguirli, capire cosa fanno, ripristinare subito i sistemi. Per questo perché insistiamo molto sulla parte di detection, sviluppando modelli che descrivono il funzionamento corretto dei sistemi per individuare subito le possibili anomalie. Il bello dei nostri sistemi è che sono molto resilienti: se sappiamo cosa succede, possiamo rimediare in fretta”.

Conoscere sé stessi – nel senso del comportamento delle proprie infrastrutture – diventa quindi una soluzione all’imprevedibilità, sottolinea Thesee. “Prepararsi contro ciò che si conosce possono farlo tutti. Bisogna prepararsi a ciò che non si conosce, anche se sembra paradossale. La soluzione è conoscere sé stessi, i propri sistemi, il modo in cui operano. E quello che si conosce, impararlo davvero perché la reazione, quando serve, sia praticamente automatica”.

La cybersecurity come abilitatore

Il tema di fondo è, ancora una volta, quanto la cybersecurity sia diventata un elemento pervasivo e critico. “Il nostro mestiere, la natura di quello che facciamo, sono cambiati. Quarant’anni fa la focalizzazione era sulla sicurezza nel senso di safety, ora è il turno della sicurezza cyber: sta diventando uno degli elementi del DNA di chi vuole fare mobility sicura perché certamente è necessario e opportuno accogliere le nuove tecnologie del digitale, ma dobbiamo sempre tenere presente che parliamo di sistemi industriali critici”, spiega Thesee.

Una sorta di “inevitabilità” dell’innovazione digitale impone anche un ripensamento del ruolo della cybersecurity in generale. Nella storia dell’IT il team di sicurezza cyber è spesso stato percepito come un freno all’innovazione, perché adottare le nuove tecnologie in modo sicuro significa anche farlo con una (minima) cautela e non troppo rapidamente. Per Alstom, e non solo, il team cybersecurity può invece guidare l’innovazione, perché è strumentale ad adottarla in maniera intrinsecamente affidabile.

“Possiamo essere – conferma Thesee – degli abilitatori e non più quelli che vietano di fare qualcosa di nuovo. Di fronte a una forma di innovazione dobbiamo essere quelli che rispondono ‘ecco il modo sicuro in cui farla’. Così, tra l’altro, chi fa sicurezza vede il suo lavoro diversamente: non frena ma trova soluzioni, è un abilitatore che apre nuove porte, permette di raggiungere nuovi mercati, di essere più competitivi… Certo ci saranno sempre controlli, verifiche, password. Ma tutto deve essere il più trasparente possibile perché facilita il lato business”.

Serve ovviamente un certo cambiamento culturale in chi fa sicurezza, e il modo migliore per raggiungerlo è essere “immersi” nel business stesso: “Il nostro team non è centralizzato e isolato, ma delocalizzato globalmente. Ogni progetto o programma di sviluppo ha almeno un ‘cyber representative’ che affronta gli specifici temi di sicurezza di quel progetto o programma. Se non fosse così pervasiva anche organizzativamente, la cybersecurity non potrebbe essere davvero strategica in Alstom”, conclude Thesee.