Marco Venturelli: Buongiorno a tutti, oggi siamo qui con Alessandro Paini di A+B Industrial Tools Company. Oggi Alessandro condivide con noi un pochino un’esperienza che ha fatto relativamente agli argomenti di cybersicurezza, sostanzialmente legati ai temi proprio della difesa digitale dei dati. E allora presentiamo ovviamente Alessandro che ci racconta un pochino chi è, cosa fa e cosa fa anche l'organizzazione nella quale lui lavora. Alessandro Paini: Buongiorno a tutti, mi chiamo Alessandro Paini. All'interno del gruppo A+B mi occupo di tutta la parte delle operations, sono Operation Manager e quindi mi occupo sia della parte di logistica che della parte di produzione che della parte IT. Questo perché riteniamo che logistica e IT, che sono due degli ambiti che generano produttività nelle aziende, debbano stare vicini. Di cosa si occupa il mondo A+B? Produce e commercializza utensili per la meccanica. Tutto quello che noi riteniamo nell'ambito dei tre metri della macchina utensile noi lo forniamo ad aziende tendenzialmente che fanno lavorazioni meccaniche, quindi spaziamo dagli utensili — che siano maschi, frese, punte — a prodotti chimici. Siamo produttori in uno stabilimento per quanto gli oli, l’antinfortunistica, piuttosto che altri prodotti che riguardano, ripeto, l’utilizzo nell’ambito delle officine meccaniche. Marco Venturelli: Bene, in azienda quindi quanto usate gli strumenti digitali? E poi qual è stato proprio un po’ il punto di partenza che vi ha spinto ad adottare una soluzione di sicurezza digitale? Alessandro Paini: Beh, oggi come oggi non abbiamo un utente che non debba passare attraverso strumenti digitali. Il dato ormai è il lavoro. Anche chi fa logistica tendenzialmente inizia a vedere i dati e si comporta in conseguenza di questi dati. Tanto più se fai un lavoro di customer service, di buyer, di amministrazione. Noi abbiamo all'interno del gruppo, tra estero e Italia, 500 persone. Queste 500 persone tutte passano attraverso l'utilizzo dei dati. L’effetto scatenante — in una modalità che è molto italiana — è sempre un evento che ti fa rischiare. Noi due anni fa abbiamo subìto un attacco hacker. Per nostra fortuna, per pochissimo non è andato a buon fine per una capacità reattiva da parte nostra e da parte del fornitore Scp che ci ha aiutato nel renderci conto che eravamo sotto attacco. Da lì in poi l’approccio fatalista cambia completamente. Abbiamo capito che era necessario intraprendere una strada che oggi stiamo portando avanti attraverso la volontà di essere NIS 2 compliant che elevano il livello di security. Marco Venturelli: Ecco, quindi anche tu concordi sul fatto che molte delle organizzazioni partono proprio dall'incidente per fare queste riflessioni. Si arriva un pochino tardi. In questo senso, che soluzioni poi avete trovato con Scp per quanto riguarda proprio la messa in sicurezza del vostro perimetro? Alessandro Paini: Allora, decidere di definire le azioni è un’attività estremamente complessa. Ancora oggi non abbiamo terminato, proprio perché abbiamo intrapreso una strada nell’ambito della NIS2. Si scelgono soluzioni che abbiano aspetti tecnologici, ma bisogna lavorare sui processi, bisogna lavorare anche sul modo di comportarsi. Quindi con Scp abbiamo prima intrapreso quella di creare una fortificazione esterna: siamo andati su una soluzione tecnologica che è un prodotto ESET con un servizio SOC attivo 24 ore su 24, 7 giorni su 7. Quindi cominci ad avere qualcuno che comunque le mura della fortezza le tiene presidiate in maniera professionale, aggiornata e continuativa. Da lì però abbiamo cominciato a intraprendere una strada decisamente più complessa sull'infrastruttura. Nel momento in cui hai messo le guardie, le mura le devi ricostruire, i palazzi vanno ripensati e vanno strutturati non solo in modo da costruire una macchina forte ma anche resiliente. Quindi iniziare a capire quali sono i punti nevralgici. Quando hai un attacco, un problema, su uno dei punti nevralgici non è solo cybersecurity: il problema è cosa si fa, come ci si comporta, qual è la priorità. Con Scp abbiamo incominciato a intraprendere un processo che fosse identificazione di prodotti, identificazione di infrastrutture, di scelte che rendessero la nostra struttura più forte, più resiliente. Credo che puntare sulla resilienza sia più efficace che non sulla forza, perché la forza prevede poi una conoscenza, una capacità tecnica che tendenzialmente è difficilmente superiore a chi di mestiere fa l’hacker. Mentre la resilienza è la capacità di costruire dei processi successivi all'attacco che ti consentono comunque di ritornare in tempi brevi a fare la tua attività e quindi far perdere di efficacia all'attacco stesso, perché diventa poi poco efficace. Marco Venturelli: Molto bene. Tutto questo, Scp come attore: il rapporto che c'è stato tra voi e noi, come lo descriveresti, com’è andato e quali sono stati i valori aggiunti che possiamo aver portato? Alessandro Paini: Allora, premetto che il rapporto tra A+B e Scp è venticinquennale: lavoriamo insieme da 25 anni. Sicuramente una delle carte vincenti è, nell’aver creato questo tipo di relazione, la capacità di SCP di essere reattiva, perché conosce l’ambiente. Quindi uno dei motivi per cui l’attacco hacker non è andato a buon fine è stato proprio che siamo stati reattivi e Scp è stata reattiva nell’analizzare che stavano succedendo alcune cose. Quindi nel considerarci immediatamente, darsi da fare, proporci fornitori che fossero in grado poi di strutturare un’analisi di tutto quello che era successo. Ci ha anche aiutato a rapportarci con il Garante — che non è un’attività banale per un’azienda — perché si comincia a parlare un linguaggio che non è quello dei business, ma è quello del diritto quindi complesso. Quindi ci hanno affiancato anche in questo senso. È sempre un mix di più fattori: la competenza tecnica, la capacità di relazione. Sul cliente riconosco a Scp l’assoluta capacità di stare dentro le dinamiche dell’azienda. Il rapporto consulenziale spesso rischia di essere freddo e staccato da quello che succede dal cliente. Saranno i 25 anni, saranno le persone — perché poi le aziende le fanno sempre le persone, non solo i processi — però riconosco che la capacità di capire le nostre dinamiche, di accettare difetti che comunque i clienti hanno - soprattutto se si guarda un aspetto che consideriamo quasi assicurativo, perché la cyber security non produce soldi, non produce business, ma è una forma di assicurazione – è fondamentale. Quindi sensibilizzare le aziende a investire in questi aspetti oggi è forse più semplice, perché ormai siamo in una forma di guerra sotto questi aspetti. Secondo me l’Europa tutta deve cominciare a capire — a partire dalle aziende — che il proprio patrimonio va tutelato, perché la non tutela comporta un drenaggio di soldi verso altri paesi che questa attività la fanno in maniera industriale Tornando a Scp, ritengo che la relazione e la competenza siano state, e siano ancora oggi, fondamentali. Siamo qui perché stiamo intraprendendo, iniziamo oggi proprio un percorso attraverso NIS2 per aumentare il livello di security, attraverso la valutazione che c’è stata fatta, che riguarda — ripeto — sia l’infrastruttura, che non è solo tecnologia, ma soprattutto i processi. Un’azienda che lavora con noi, se è dentro, capisce i processi. Se no rischi solo di guardare le tabelle di marcia dei prodotti a catalogo, ma non conosci i dati sensibili che teniamo all'interno dell’azienda. E se non lo sai, non sai quali sono i punti nevralgici. Marco Venturelli: Molto bene. Allora Alessandro, noi ti ringraziamo, tutta SCP ti ringrazia per questa testimonianza, che ci hai anche proposto più volte in vari momenti diversi. Ti siamo grati anche di amplificare questo messaggio. Quindi grazie ancora da parte nostra per la testimonianza che hai portato. Ci leggeremo e ci sentiremo ancora. E per tutti quelli che hanno consultato questo video: grazie dell’attenzione e buon proseguimento con gli altri contenuti che metteremo online. Grazie a tutti.