La sicurezza a silos ha oramai evidenziato tutti i propri limiti (tecnologici, organizzativi e di processo) nella gestione efficace del rischio; ciò principalmente a causa della trasformazione degli attacchi che tendono a sfruttare indipendentemente e simultaneamente le vulnerabilità relative al dominio fisico-logico e alla debolezza del fattore umano oltre che alla parzializzazione dei budget e la ripartizione delle competenze. 

E' evidente che, anche in presenza di importanti adeguamenti e ammodernamenti di impianti tecnologici, industriali e di gestione degli edifici, (che hanno tutto sommato beneficiato di una "fonte" unificata per convergenza di scopo) le limitazioni a livello progettuale, di configurazione e di testing generano severe vulnerabilità in grado di compromettere (vanificando in alcuni casi investimenti e reputazione) la sicurezza complessiva del sistema. Quasi (ma ciò non ci deve stupire!) a far emergere il paradosso per cui meno il sistema è moderno - smart, connesso, automatizzato, interoperabile - e più è sicuro! 

Sappiamo che non è così e che, ad esempio, le iniziative in ambito Industry 4.0 hanno determinato un volano di successo dal punto di vista dell'aumento della produttività e nel manufacturing attraverso la convergenza di OT e IT (ma anche in quel caso solo dove l’aumentata interoperabilità funzionale è stata accompagnata da un rafforzamento delle policy e delle contromisure di sicurezza per proteggere SCADA e ICS attraverso un approccio integrato e a fronte di competenze interdisciplinari).

Similmente, gli impianti tecnologici di edificio, i sistemi di controllo, lo stesso building management system, le reti di sicurezza fisica (videosorveglianza, controllo accessi, IoT) non tanto per vulnerabilità intrinseche di prodotto (non così diffuse ma quando presenti riconducibili spesso agli effetti “indesiderati” di software sprint troppo accelerati , privi di logiche di security “by design” più che a strategie di “backdooring” geopolitiche), ma a causa di difformità nelle configurazioni in campo, rappresentano elementi su cui concentrare l’attività di cyber assessment e di remediation. 

A dimostrazione più in generale della mancanza di una visione progettuale integrata (estesa alla safety e alla facility) e della necessità di implementazioni adeguate in termini di regole installative e – una volta in esercizio - di una successiva, ma cruciale disponibilità di un sistema di gestione e di monitoraggio integrato.

Sono certamente di beneficio a questo proposito servizi di assessment “olistico” teso ad evidenziare e poi a risolvere eventuali “buchi” nel sistema complessivo, così come una preventiva attività di testing “integrato”.