Produzione, logistica, tracciabilità, trasformazione digitali: sono diversi gli ambiti in cui anche le industrie del food sono profondamente coinvolte nel settore della sicurezza informatica. Che non vuol dire solo difendersi dagli attacchi informatici. Ce lo spiega Marco Bavazzano, ad di Axitea, storica azienda nel settore della sicurezza, che segue migliaia di aziende in Italia, delle quali oltre 400 nel food (produzione, commercio, ristorazione, logistica, ecc.).

"Nel settore food - spiega Bavazzano - si assiste a un processo di trasformazione digitale molto significativo. Ho visitato da poco alcune aziende, come gli stabilimenti Mutti e Balocco, e ho potuto toccare con mano quanto le aziende stiano innovando. Ho visto l’impatto della trasformazione digitale nella produzione oppure nell’area di stoccaggio dei prodotti con benefici concreti, che vanno dal miglioramento della logistica alla tracciabilità dei prodotti, fino alle attività operative di controllo. Ho visto soluzioni di intelligenza artificiale utilizzate per identificazione di anomalie nel prodotto originale, oppure videoanalisi di intelligenza artificiale per supportare l’operatore umano nello scartare un prodotto con qualche difetto. Questo per dire come la tecnologia sta dando alle aziende benefici molto elevati. E vale anche per l’ambito horeca, dove c’è un elevato impiego di strumenti digitali.

EFA News. E’ ovvio quindi che l’introduzione del digitale nel food introduce nuovi rischi molto significativi rappresentati dalle minacce cyber che negli ultimi anni sono aumentate pesantemente. 

Bavazzano. E l’impatto di queste minacce può essere devastante, anche arrivando al blocco della produzione. Ma ci possono essere altre tipologie di impatti che, per esempio, possono minare la tracciabilità dei prodotti che è un requisito imprescindibile nel food. 

C’è consapevolezza di questi rischi?

Le aziende devono rendersi conto del fatto che il successo della trasformazione digitale passa attraverso una gestione consapevole del rischio cyber. Abbiamo una base di 20mila clienti e mi capita di parlare spesso con imprenditori di ambito manifatturiero scoprendo che hanno una conoscenza incredibile dei rischi operativi del fermo di un piccolo componente di un immenso stabilimento di produzione, ma non colgono l’importanza del rischio cyber. Questo rischio è ancora percepito – ed è un grandissimo problema - come un aspetto tecnico, quando invece necessita di una visione strategica e la governance di quel tipo di rischio deve essere effettuata dall’alto. E a mio avviso le aziende del food hanno una minore consapevolezza di quello che è il loro livello di rischio. Forse si sentono meno esposte.

Come dovrebbero attrezzarsi le imprese? 

Dipende molto dalle capacità economico finanziarie dell’azienda, la dimensione della struttura, e la gestione consapevole di questo rischio richiede delle risorse interne o esterne. Devono esserci processi e bisogna essere sicuri dell’efficacia di questi processi. Non c’è niente di peggio di dotarsi di soluzioni di sicurezza che solo sulla carta assicurano una protezione dalle minacce. Se tu non sei in grado di controllare l’efficacia stessa di questi strumenti sei ancora più esposto all’impatto di un attacco. 

Molto spesso le aziende pensano che per risolvere il problema sia sufficiente acquistare il miglior prodotto disponibile sul mercato. Il rischio cyber non si gestisce tramite l’acquisto di un prodotto, ma richiede un’implementazione di un modello organizzativo di processi e di una tecnologia di supporto. La tecnologia è una componente non univoca: non basta un solo prodotto per proteggersi dagli hacker. Tanto più un’azienda è esposta digitalmente, tanto più è estesa la superficie d’attacco.

Un attacco cyber può essere molto più pesante di un blocco della posta elettronica. Una delle minacce più attuali è il cosiddetto ransomware, un attacco che mira a rendere indisponibili i dati del cliente. Attraverso un malware viene effettuata una cifratura dei dati presenti sui sistemi informativi quindi di fatto l’azienda non riesce ad accedere ai propri dati. Ciò può comportare come spesso succede il blocco della produzione. L’hacker invia una richiesta di riscatto da cui il nome ransomware. Che viene dimensionato dall’hacker in base al fatturato dell’azienda. Nessuna garanzia che la procedura sia reversibile, e infatti obiettivo delle aziende è non pagare riscatto. Bisogna lavorare sulla prevenzione, non ci sono garanzie che poi il pagamento di un riscatto metta nelle condizioni le aziende di poter poi ripristinare la situazione ex ante. 

Inoltre bisogna coinvolgere anche i fornitori nel processo, i quali per devono avere un livello minimo di sicurezza e l’azienda committente deve essere nelle condizioni di poterlo controllare. Questo è un meccanismo molto virtuoso che porterà negli anni a un innalzamento dei livelli di sicurezza generalizzati. Finché non arriveremo lì, il rischio di avere degli impatti molto significativi a seguito di attacchi cyber è molto elevato. 

Nel food c’è anche un tema rilevante riguardo la sicurezza alimentare.

Certamente, per esempio nella gestione della catena del freddo dove utilizzando tecnologie IoT si può assicurare al meglio tutto il processo dallo stoccaggio alla consegna finale, istallando dei sensori per la rilevazione temperatura.

Si può parlare di sostenibilità anche nella cybersicurezza?

Veniamo da 30-40 anni di gestione della sicurezza fisica (vigilanza privata) basata su servizi di pattugliamento e azioni sui delle aziende. Un modello che non ha propriamente caratteristiche di sostenibilità ambientali, se pensiamo al pesante utilizzo degli autoveicoli, del consumo degli stessi, ecc. E a causa della massima esternalizzazione del servizio sono emersi anche gravi problemi di sostenibilità sociale.

Anche Axitea fornisce questi servizi tradizionali, ma abbiamo avviato un processo che coinvolge tutti i nostri clienti nella trasformazione digitale di questi servizi che possono essere sostituiti con tecnologie innovative, permettendo oggi di implementare un modello di gestione della sicurezza molto più efficace rispetto a quello garantito dall'attività tradizionale di ispezione di guardie giurate tramite le autovetture. L’AI implementata da qualsiasi tipo di videosorveglianza è in grado di rendere disponibile ai nostri analisti che operano nel security operation center l’evidenza di situazioni di inclusione eliminando tutti i disturbi che tipicamente allertano un sistema anti-intrusione in modo inutile: vento, animali, ragnatele. Grazie ai sistemi di intelligenza artificiale abbiamo visto che riusciamo a eliminare il 99,99% di falsi positivi. 

Un ulteriore contributo alla sostenibilità deriva dal fatto che queste soluzioni sono applicabili a sistemi di videosorveglianza e videocamera già esistenti, per cui l’azienda non deve portare a rottamazione tutte le videocamere già a disposizione per impianti nuovi qui siamo in un ambito di economia circolare. Posso dare nuova vita, grazie all’AI, anche a videocamere obsolete. Abbiamo arricchito col software dell’AI telecamere vecchie anche 10 anni. Vuol dire dare una nuova vita a investimenti che sono già fatti e realizzare un modello di sicurezza finalmente efficace. 

Nel primario si sta diffondendo molto l’agricoltura di precisione e il controllo da remoto della semina, delle misurazioni atmosferiche. Lavorate anche in questi ambiti?

Lavoriamo per il Consorzio Melinda. Sistemi di videosorveglianza con AI come descritto prima, li abbiamo nei frutteti e nel consorzio Melinda. Poi abbiamo un’esperienza interessante nella pesca. Abbiamo introdotto in Sicilia, nell’area marina protetta di Cicladi, un sistema IOT che permette di avere informazioni sulla pescosità, su come è distribuito il pesce all’interno dell’area, quali sono i settori più pescosi, e poi di avere anche informazioni di quante e quali tipologie di pesce sono stati pescati.