In un’Europa che intende affermare la propria sovranità digitale, lo specialista di sicurezza informatica di Airbus mette oltre vent’anni di esperienza al servizio di infrastrutture critiche, protezione dati e postazioni di lavoro, in ufficio come in fabbrica
La sicurezza? Non è una questione solo tecnologica. L’integrità e la salvaguardia delle nostre reti, dei nostri dati digitali, del nostro ruolo di lavoratori e consumatori di conoscenza è soprattutto una questione di fiducia. Le situazioni di emergenza fanno emergere in tutta la sua forza il doppio legame tra resilienza, capacità di agire e fiducia. Fiducia nei confronti del firewall capace di intercettare anche il più subdolo dei tentativi di intrusione. Fiducia nei confronti del software crittografico che ha rinchiuso in una cassaforte matematica i file più sensibili del notebook dimenticato sul taxi. Fiducia in chi ha sviluppato questi strumenti, in chi li ha installati e configurati a beneficio della tua organizzazione, in chi li utilizza nella realtà quotidiana.
«In Europa – osserva Pierre Yves Hentzen, dal 2017 CEO di Stormshield, azienda di cybersecurity controllata da Airbus – la presenza di un importante quadro normativo, che incentiva ex lege la tutela del controllo di infrastrutture, dati industriali e informazioni personali, ha introdotto una tematica nuova, quella della sovranità». Un tema quest’ultimo che implica tanto il controllo sulla dislocazione geografica dei server, securizzati, su cui risiede la capacità computazionale e gli archivi; quanto la possibilità di contare su sistemi di sicurezza nativamente orientati al rispetto delle norme europee nel loro ambito giurisdizionale e alla tutela degli interessi delle istituzioni e dei paesi europei.
Proprio sul terreno della sovranità – secondo Hentzen – emerge la contraddizione di un mercato globale della sicurezza ricco di opzioni, ma dominato da un punto di vista geografico dai grandi marchi americani, israeliani, asiatici. Un paradosso che la francese Stormshield vuole risolvere sia facendo leva su un primato tecnologico conquistato in vent’anni di assidua presenza sul mercato, corroborata dalla costante attività di ricerca e sviluppo finalizzata alla prevenzione delle minacce più avanzate. Sia grazie all’esclusiva capacità di ispirare fiducia e autorevolezza nella sua veste di fornitore europeo di cybersecurity ad ampio spettro: l’unico riconoscibile all’interno del Magic Quadrant di Gartner relativo ai firewall come rappresentante dell’UE e della sua tradizione tecnologica e industriale.
QUANDO L’INFRASTRUTTURA È CRITICA
Insieme alla sovranità, il concetto di infrastruttura industriale è importante nella strategia di Stormshield. Uno dei punti di attenzione della ricerca e sviluppo è proprio la sicurezza sia delle infrastrutture critiche sia degli apparati digitali nei luoghi di produzione e in tutti gli ambiti che utilizzano linguaggi e protocolli informatici diversi: le fabbriche, le centrali di energia, le reti ferroviarie. «Abbiamo moltiplicato i nostri sforzi – spiega Alberto Brera, country manager di Stormshield Italia – per entrare in contatto con tutto il mondo dell’Industry 4.0, dell’automazione e acquisire il loro linguaggio. Lo scopo è riuscire a portare anche nella cosiddetta tecnologia operativa (OT) una consapevolezza nei confronti della sicurezza informatica che ancora non c’è». Il lavoro da fare è tanto, perché se lato IT il dialogo attraverso Internet oggi può funzionare in modo sicuro, gli standard utilizzati dall’industria spesso non prevedono neppure concetti banali come l’accesso autenticato. «Per esempio, Stormshield é molto forte nella protezione di infrastrutture di comunicazione negli ospedali, o in ambienti come gli aeroporti, ormai chiamati a rispondere a criteri di sicurezza di livello militare».
Tutta questa prossimità alle nuove istanze della sicurezza digitale nel complicato contesto delle tecnologie operative ha sicuramente una serie di ragioni strategiche e di posizionamento. Ma nel caso di Stormshield, pesano molto anche le radici storiche e culturali. L’azienda, costituita nel 2016, due anni dopo il lancio sul mercato del marchio, è controllata al cento per cento da un vero colosso industriale europeo, Airbus nato nel 2000 da un’alleanza franco-tedesca nei settori della difesa e dell’aerospaziale. Stormshield rappresenta la fusione di due realtà acquisite tra il 2012 e il 2013 da Airbus, tramite la sussidiaria Cassidian CyberSecurity. Entrambe le aziende, Netasq e Arkoon, avevano accumulato una discreta esperienza in materia di firewall, sistemi IPS (intrusion prevention), UTM, protezione degli endpoint e crittografia. Anzi – precisa Hentzen – sono entrambe pionieristiche in un mercato che agli inizi del terzo millennio (Netasq era stata fondata nel 1998, Arkoon circa due anni dopo) ancora non appariva ben definito. «Nel 1998, Netasq aveva in pratica creato dal nulla il mercato degli Intrusion Prevention System con una appliance d’avanguardia per i suoi tempi. Mentre Arkoon nel 2000 aveva sviluppato il primo sistema UTM – unified threat management – quando pochi conoscevano il significato di quell’acronimo» – racconta l’AD di Stormshield.
Nel 2014, nello stesso periodo in cui Airbus diventa la nuova denominazione dopo l’originario brand EADS, anche per Cassidian viene deciso un nuovo assetto. Netasq e Arkoon vengono fuse in un’unica entità del tutto autonoma e libera di costruire le proprie relazioni con aziende pubbliche e private e con tutto il mondo della pubblica amministrazione e della sanità. Quali erano, all’epoca, gli obiettivi del grande gruppo aerospaziale? «Bisogna considerare innanzitutto che Airbus non produce solo aeroplani: è una grande corporation attiva nel campo della difesa e della sicurezza a ogni livello. È perfettamente legittimo che una realtà di questo tipo investa pesantemente in cybersecurity» – spiega Hentzen. «Ma l’ambizione di quelle acquisizioni e del successivo merger era anche quella di dar vita a un security champion tutto europeo, a una alternativa credibile e affidabile al predominio tecnologico e commerciale di aziende extra-europee». L’obiettivo è stato raggiunto. Nel giro di pochi anni, Stormshield è diventato il più importante pure player europeo nel campo della network security, della protezione dei dati e degli endpoint. Non mancano altre aziende di sicurezza provenienti da nazioni dell’Europa occidentale ma sono tutte molto più mirate dal punto di vista delle tecnologie offerte e nessuno nutre analoghe ambizioni di crescita.
CRESCITA RECORD
«Il nostro scopo è quello di assicurare la massima protezione delle infrastrutture e dei dati, salvaguardando quindi le organizzazioni aziendali, i loro collaboratori e il loro business. Ci piace dire che Stormshield non si limita a garantire la tua cybersicurezza, ma anche la tua cyberserenità» – afferma Hentzen. Attualmente – prosegue il CEO di Stormshield – dà lavoro a circa trecento persone nelle sue sedi in Francia, Germania, Italia, Polonia, Spagna e Medio Oriente ma è presente in quaranta paesi attraverso la rete di partner indiretti che conta oltre 900 aziende. Lo scorso anno ha avuto luogo una crescita record per il settore. Con un volume d’affari di 56 milioni di euro, Stormshield è cresciuta del 30%, il triplo rispetto alle medie di mercato. Questo dopo che già nel 2018 era stato messo a segno un ottimo +20% di espansione. Sorprende anche il dato sull’incremento della profittabilità, che si attesta sul 67% a fronte di un +35% delle vendite di prodotti. Una percentuale significativa di questo business viene tuttora generata dentro i confini francesi, ma anche questa connotazione è destinata a essere superata, secondo i piani di Hentzen. «Parliamo di una ripartizione del 75% del fatturato generato in Francia contro il 25% di attività all’estero, ma in futuro mi aspetto senz’altro una crescita maggiore». L’internazionalizzazione di Stormshield procede già a ritmi sostenuti se è vero che il 2019 ha visto un aumento del fatturato estero pari al 116%. Un raddoppio che era stato registrato anche nel 2018 sull’anno precedente.
Il focus sull’allargamento del mercato, che va ad affiancarsi agli aspetti più qualitativi della strategia dello specialista in cybersecurity francese, reca proprio la firma di Pierre-Yves Hentzen. Il top manager ha saputo combinare capacità gestionali, tecnologiche e finanziarie. L’attuale CEO di Stormshield ha rivestito, dal 2001, il ruolo di chief financial officer in Arkoon, molto prima che quest’ultima entrasse nella galassia Airbus. Se si vuole riassumere in un unico esempio le strategie adottate dalle due entità prima che confluissero in Stormshield – osserva Hentzen – si può ricorrere alla metafora dell’oceano “rosso”. «Arkoon e Netasq erano due player di dimensioni relativamente piccole, impegnati a conquistare una loro quota di mercato con la qualità dei loro prodotti e la capacità di rispondere bene alle specifiche esigenze di clienti privati e pubblici. Ma si confrontavano con concorrenti molto più grandi e aggressivi». Era la competizione, in altre parole, a dettare l’agenda.
La nomina di Hentzen ha impresso una svolta radicale a un player che intende liberarsi da una mentalità troppo difensiva, per diventare più rilevante e profittevole in uno scenario di sicurezza che nel frattempo è completamente cambiato. «Il crescente livello di tensione globale legato anche a ragioni geopolitiche ha spinto un paio d’anni fa il team manageriale a definire nuove strategie volte a focalizzare gli sforzi dell’azienda sulla tutela degli asset e delle infrastrutture critiche europee, alla base delle nostre economie, della nostra società e delle nostre istituzioni. L’integrità e la fiducia nei confronti di una soluzione di sicurezza vanno, come dicevo, ben al di là dell’orizzonte tecnologico». In un contesto del genere, l’origine culturale di un prodotto di cybersecurity assume una criticità senza precedenti se combinata a un quadro normativo che incoraggia le imprese a tener conto dell’aspetto “trust and confidence”. Hentzen pensa in particolare a regolamenti come la Network Infrastructure Security, con l’agenzia europea di cybersecurity (ENISA) che promuove iniziative come il “Cybersecurity Certification Framework” incluso nel “Cybersecurity Act” e che offre a Stormshield l’opportunità di estendere su scala molto più ampia la propria legittimità.
AL CENTRO DELLA CONVERGENZA
«Le aziende diventano ogni giorno più sensibili di fronte alla necessità di mantenere l’integrità dei dati e infrastrutture rese sempre più complesse e diversificate dall’interconnessione tra IT e OT tipica dell’Industry 4.0 e dell’Internet delle cose. Grazie alle nostre soluzioni e alle nostre origini ci troviamo al centro di tutto questo, forti della credibilità che deriva dall’affiliazione con Airbus e armati di soluzioni particolarmente robuste» – spiega Hentzen, prima di entrare nel dettaglio delle soluzioni che continueranno a essere indirizzate verso un ampio spettro di clientela, dalle piccole alle grandi organizzazioni in segmenti quali l’energia, le telecomunicazioni, i trasporti, il manifatturiero, la scuola, la sanità e la difesa, ma con un grado di intensità ancora più marcato nelle situazioni in cui la sicurezza delle infrastrutture IT e OT sono particolarmente critiche. «La nostra nuova strategia ci induce inoltre a perseguire un obiettivo di maggiore prossimità ai nostri clienti e una conoscenza ancora più approfondita dei loro problemi. Traguardi che vogliamo raggiungere lavorando a stretto contatto con i nostri partner, incentivati a sviluppare il loro business su versanti innovativi come le operational technologies».
Il cliente di Stormshield – prosegue Hentzen – può contare su tre famiglie di soluzioni. La prima raggruppa le appliance, disponibili in versione fisica e virtuale, di Stormshield Network Security (SNS), comprendente un’ampia gamma di firewall UTM o “industrial” con VPN integrata. Una famiglia ad alta modularità e scalabilità che assicura i massimi livelli di rendimento. Lato postazione di lavoro interviene la protezione di Stormshield Endpoint Security (SES), una barriera contro attacchi “persistenti” e sconosciuti che tiene conto delle modalità operative specifiche di fabbriche e ambienti industriali. La sicurezza di SES è di tipo adattativo, pensato per postazioni non connesse e quindi basata su una analisi di tipo comportamentale del malware. Il concetto alla base di questa soluzione “signatureless”, non è il continuo confronto con un repository di “firme” costantemente online, bensì una barriera dinamica, particolarmente efficace contro i temibili malware zero-day, di cui in pratica non si conosce il “genoma”.
Per quanto concerne la protezione del dato attraverso la crittografia end-to-end – «dalla chiavetta USB al server locale, fino alle directory condivise, email o applicazioni cloud-based» – la soluzione si chiama Stormshield Data Security (SDS), ispirata da una specifica acquisizione messa a segno oltre dieci anni fa da Arkoon, opportunamente rafforzata e aggiornata nel tempo. A proposito di aggiornamenti – spiega Hentzen – per ciascuna delle tre famiglie è prevista una roadmap evolutiva che contempla il potenziamento delle caratteristiche dei prodotti e l’aggiunta di nuove funzionalità. «Le performance delle nostre appliance SNS saranno ulteriormente incrementate e la protezione orientata a segmenti come le comunicazioni critiche rafforzata, in particolare per il sistema radiomobile professionale TETRA, che ci vede già molto forti. Le funzionalità per la VPN vedranno nuovi sviluppi sul fronte dell’autenticazione, mentre in ambito industriale è già previsto il supporto di ulteriori protocolli che ci permetteranno di indirizzare nuovi mercati verticali altamente specializzati. Stiamo anche lavorando a una nuova appliance in un formato adatto a un paesaggio industriale ancora più esteso».
SICUREZZA SENZA BACKDOOR
L’espansione di Stormshield su scala continentale dovrà tener conto di molte singole specificità nazionali? «Direi che le nostre linee di offerta trovano spazio nel contesto italiano più o meno con gli stessi equilibri definiti per la Francia» – risponde Alberto Brera, responsabile di Stormshield in Italia. Tutte le filiali estere hanno sposato una strategia unitaria, anche perché i nostri prodotti hanno sempre avuto un approccio molto trasversale proprio perché hanno un carattere di universalità, sono autenticamente general purpose». Certamente – riconosce Brera – se l’enfasi sui vari mercati è la stessa, possono esserci settori più ricettivi di altri. In Italia, per esempio, Stormshield riscontra molto interesse nel settore industriale, educational e nella sanità. Quando si parla di net security le motivazioni sono costanti, il concetto ormai acquisito è la massima “hardenizzazione” delle infrastrutture, a maggior ragione se questa assume un’importanza critica. Il vantaggio competitivo per Stormshield – osserva ancora Brera – è riconducibile alle sue radici nell’industria dell’aerospazio. «Un segmento che ha sempre avuto una duplice esigenza: la massima protezione possibile anche in situazioni offline, quando non è possibile collegarsi a un server per aggiornare l’elenco delle firme di malware. Inoltre, la nostra carta di identità europea ci rende pienamente conformi alle direttive GDPR in materia di privacy».
La focalizzazione sulle tecnologie operative dell’ambiente industriale e delle reti critiche è destinata a crescere. Sotto questo cappello ricadono ospedali, aeroporti, servizi di trasporto, reti di distribuzione di acqua ed energia. «Anche in questo caso, le nostre certificazioni europee sono un elemento di forte unicità dell’offerta. Tra i grandi fornitori, solo Stormshield sottopone tutti i suoi codici sorgente al vaglio di ANSSI, l’agenzia francese per la sicurezza informatica, affinché certifichi l’assenza di backdoor o vulnerabilità del software. È un fatto importante per essere un fornitore “trusted”, completamente affidabile. La nostra sicurezza è trasparente, lavoriamo con entrambe le mani sul tavolo».
In Italia, dove si registra una certa preponderanza, per numero di installazioni, dei prodotti IPS e UTM, l’azienda è fortemente impegnata nei suoi contatti con il mondo dell’Industry 4.0, anche in termini di evangelizzazione di certi concetti. La vera specificità del mercato italiano emerge quando si parla di modalità di interazione con un mercato così frammentato e ricco di organizzazioni medio-piccole. Stormshield, che qui è presente dal 2002, operando sulla base di un modello totalmente indiretto, può contare su un network, in espansione, di oltre un centinaio di aziende partner, equivalenti a diverse centinaia di tecnici esperti, tutti qualificati e certificati. «Il nostro principale punto di forza – precisa Brera – è questo formidabile asset di persone che hanno frequentato i nostri corsi superando l’esame con successo». L’azione sui clienti si articola attraverso due linee indirette per distribuzione e rivendita. Esiste un certo numero di grossisti autorizzati ad acquisire le soluzioni dalla casa madre e abilitati alla relazione con i system integrator e i VAR che veicolano materialmente le soluzioni ai clienti, rispettando le specificità dei vari vertical. «Il ruolo di Stormshield consiste nel fornire a questo canale tutto il supporto tecnico e commerciale possibile, fino a organizzare con i partner la presentazione dei prodotti al cliente».
Brera conferma inoltre la crescita di interesse verso i vantaggi della sicurezza gestita. «In particolare per il catalogo di soluzioni SNS, la versione virtualizzata delle appliance rappresenta una quota molto forte della nostra offerta. Disponiamo della versione virtuale di qualunque tipo di piattaforma oggi in commercio e per i partner che erogano servizi di managed security abbiamo messo a punto una formula contrattuale molto snella, “pay as you go”, che abbatte i costi fissi di ingresso. In pratica, l’MSSP ha la possibilità di generare in autonomia le singole istanze di firewall virtuale, aggiungendo o togliendo nodi di protezione in base alle richieste del suo cliente». Tra le soluzioni in cloud, anche la famiglia SDS per la protezione dei dati offre ai clienti europei una formula che risolve radicalmente il problema della giurisdizione dei dati e del controllo delle informazioni che dovessero risiedere su server non UE in zone non coperte da normative GDPR o in cui vige il controverso Cloud Act statunitense. «La cifratura in cloud – precisa Brera – aggira ogni problema consentendo ai proprietari di conservare le chiavi crittografiche AES-256 su server che restano sotto il proprio controllo».
UN PUNTO DI RIFERIMENTO
Sul nostro territorio, Stormshield opera da ormai quasi vent’anni attraverso le due sedi di Milano e Roma, occupandosi anche dell’erogazione in lingua italiana dei corsi di formazione per gli specialisti certificati dei suoi partner, fondamentali per veicolare un’offerta che ha una forte componente ingegneristica. «L’impegno a livello di ricerca e sviluppo dura dalla fine degli anni 90» – ricorda Brera. «Stormshield produce veri apparati di sicurezza e il rigore quasi maniacale con cui vengono costruiti è molto evidente. In questi ultimi anni, siamo intervenuti su certe spigolosità, cercando di ammorbidire alcuni aspetti, introducendo wizard di autoconfigurazione». Molte delle novità in arrivo nella linea firewall riguardano l’intuitività di dispositivi che comunque non ammettono compromessi lato sicurezza. Questa caratteristica – conclude Brera – contribuirà a rendere sempre più appetibile la cybersecurity firmata Stormshield ora che molti dei concetti ormai compresi nel mondo dell’office o dei data center vengono trasferiti verso l’ambiente, per certi versi ancora tutto da esplorare, delle fabbriche e delle infrastrutture non solo informatiche. Le origini pionieristiche dell’azienda, la presenza alle spalle di un brand come Airbus, la forte relazione con partner e consulenti molto preparati e in costante aggiornamento, l’impegno indipendente dalle dimensioni e le specializzazioni del cliente, sono ulteriori valori da aggiungere a una tecnologia di prima classe.
Accanto alla qualità ingegneristica, si afferma il valore intrinseco del made in Europe. Nel momento in cui digitale e connettività sembrano cancellare i confini fisici, un intero continente vuole riaffermare la propria giurisdizione su tematiche che non riguardano tanto la tecnologia, che dovrebbe essere neutrale, ma l’uso che ne facciamo, la cultura che la produce, l’economia di un continente che sa di avere un approccio esclusivo e diverso alle sfide che il Pianeta, anche con l’aiuto della tecnologia, deve affrontare. «La geopolitica ha avuto un impatto molto diretto sulle nostre strategie» – conclude il CEO Pierre-Yves Hentzen – ci sono stati cambiamenti importanti nella voglia di costruire una sorta di sovranità digitale dell’Europa. Abbiamo tante aziende IT di grande valore e se prima questa era solo un’ambizione, oggi vediamo anche molte azioni concrete. Pensiamo al progetto di Gaia X che coinvolge oltre 100 aziende e istituti di ricerca di 17 paesi europei, per un cloud service provider in grado di far concorrenza al cloud pubblico tutto americano. Stormshield è perfettamente allineata a questi obiettivi e ha le capacità per difenderli».
Foto di Gabriele Sandrini