La tutela del know how e dei segreti commerciali deve essere perseguita prendendo in considerazione la necessità di avere un modello organizzativo in cui le scelte operate tengano conto di come dette prerogative appartengano oggi più che mai a sistemi coinvolti nella visione 4.0 dei modelli produttivi, con un nota predominante quale è l’interconnessione.
Il paradigma 4.0 non può prescindere da una analisi dei rischi e così essere in grado di costruire un modello adeguato, in cui il perimetro della sicurezza consenta anche la segretezza dei dati e delle informazioni gestite, che costituiscono un asset molto importante per le realtà produttive.
Gli scenari che è possibile immaginare ovviamente necessitano di avere valide infrastrutture e di conseguenza anche un sistema di misure di sicurezza adeguate.
Indice degli argomenti
Know how, le misure a cui occorre fare riferimento
La normativa applicabile in particolare con riferimento a know how e segreti commerciali nella nuova accezione, come da ultimo accolta dal D.lgs. 11 maggio 2018, n. 63 con cui l’Italia ha dato attuazione alla Direttiva UE 2016/943 sulla protezione del know how e delle informazioni commerciali riservate contro l’acquisizione, l’utilizzo e la divulgazione illecita degli stessi, richiama l’attenzione sulla tutela da perseguire anche attraverso un adeguato sistema di misure senza tuttavia specificare a quale far riferimento.
È allora necessario far riferimento ai supporti normativi sin qui dettati in ambito cybersecuity e data protection e costruire un modello integrato, in cui la tutela da perseguire passa attraverso misure tecniche e organizzative.
Quanto alle misure tecniche, non possono che essere logiche e fisiche a supporto della costruzione di un sistema in grado di tutelare la sicurezza e la segretezza del know how, dei segreti commerciali e dei dati e informazioni di cui si tratta.
A tal fine non può che intervenire la normativa applicabile, si ribadisce, in ambito cybersecurity in particolare con riferimento anche ai framework e agli standard di riferimento, così come alla direttiva NIS con l’obiettivo di tutela di reti e infrastrutture, garantendo un sempre più elevato livello di sicurezza.
Le architetture di reti e sistemi, a livello industriale comportano, come pure già osservato, un nuovo approccio, atteso che, se da una parte la spinta dell’innovazione ha portato a una sempre maggiore digitalizzazione anche e soprattutto per la filiera produttiva, così costituendo, e lo sarà sempre di più, una opportunità, dall’altra non è possibile sottovalutare una sempre maggiore esposizione ai rischi di perdita, diffusione illecita e soprattutto ai rischi informatici e con essi le minacce che espongono sempre di più le imprese compromettendone anche la continuità operativa.
Avere sistemi interconnessi ma non sicuri, far parte di una filiera complessa, disporre di proprietà intellettuale, know how e segreti commerciali (si pensi a tutti i dati di produzione etc.), non può prescindere dall’implementazione di misure adeguate.
Migliorare la sicurezza informatica
Non dimentichiamo che la criticità per il mondo industriale è quella di veder sempre più crescere gli attacchi anche ai sistemi e al mondo OT-Operational Technology, i sistemi deputati al monitoraggio e al controllo dei sistemi produttivi, l’insieme cioè di tecnologie, software e hardware direttamente connesse con la produzione, trasporto e trasformazione di beni.
Costruire sistemi basati sull’integrazione tra norme, linee guida e framework porta ad arrivare a livelli di resilienza tali da prevenire anche tutti quei danni collaterali che possano coinvolgere dati e informazioni delle aziende.
I framework di sicurezza hanno, in particolare, lo scopo di fornire linee guida, adatte a imprese di tutte le dimensioni, da utilizzare per ridurre i rischi, così potendo identificare le opportunità per migliorare lo status di sicurezza informatica di un produttore e valutare la capacità di gestire il rischio per reti e sistemi di controllo rendendo operativo un vero e proprio piano di sicurezza informatica.
Un piano di questo genere offrirà pertanto la possibilità di evidenziare la consapevolezza e la responsabilizzazione in tutti quei passaggi in cui le aziende debbono dar conto di aver agito secondo un modello organizzativo e di essersi adoperate con un sistema di misure adeguate considerando anche la tutela, riservatezza e “segretezza” di determinati dati e informazioni.
Ai framework per la gestione e il perseguimento della sicurezza informatica si aggiungano anche framework e riferimenti per affrontare e mitigare le vulnerabilità della sicurezza nei sistemi di automazione e controllo industriali approcciando standard tecnici per i componenti utilizzati nei sistemi di controllo, inclusi dispositivi integrati, risorse di rete e software.
Analizzare la rete, tracciare le risorse, agire con azioni di monitoraggio potendo rilevare le minacce, identificare i rischi ed essere in grado di risolvere criticità e problematiche, non possono che assumere l’imprescindibile ruolo di misure di sicurezza per avere infrastrutture più sicure e processi tutelati e protetti.
Tutela e protezione di dati, informazioni, know how e segreti commerciali: passa anche e soprattutto attraverso l’insieme delle misure di carattere organizzativo e di tutte quelle misure di carattere giuridico che, in riposta a obblighi normativi, siano in grado di mettere a sistema la consapevolezza e l’accountability così da prevenire ipotesi di furto, diffusione illecita, concorrenza sleale e ogni ulteriore pregiudizio che possa coinvolgere la segretezza e il valore dei “beni” aziendali stessi.
Conclusioni
Non si può non riprendere il sistema di cui al GDPR e l’insieme delle misure organizzative ivi contemplate.
Utilizzare supporti e strumenti “legali” sotto l’aspetto contrattuale, si pensi agli accordi di riservatezza ai contratti di manutenzione e assistenza, ai vincoli per dipendenti, collaboratori, consulenti o soggetti che in qualche modo prestino le loro attività per le aziende e che ne conoscono il contesto e inevitabilmente anche tutto ciò che riveste un valore, come sin qui richiamato.
Vivere un cambio di paradigma e servirsi di nuovi processi produttivi deve far ripensare a forme di tutela interne ed esterne. Pensiamo ad esempio ai soggetti autorizzati ad accedere ai sistemi, alle policy interne che devono definire regole e misure tanto da rendere tutti consapevoli, così come tutti debbono essere formati e informati.
Anche all’esterno ovviamente i soggetti coinvolti, pensiamo a chi, da remoto, deve svolgere attività di assistenza e manutenzione; non solo occorre definire garanzie e livelli di servizio ma anche definire accordi per la tutela dei dati che questi potranno processare e di cui potranno venire a conoscenza, così come pure occorre definire clausole di riservatezza e tutela per perseguire la segretezza delle informazioni aziendali.
Gioca un ruolo determinante dunque, sempre più l’integrazione tra norme e sistemi e l’impegno ad accrescere i livelli di tutela in un’ottica di protezione, segretezza e maggiore competitività.
@RIPRODUZIONE RISERVATA
