Qual è l'impatto potenziale delle minacce cyber sulla realtà industriale italiana, fatta di filiere e di pmi? Come si proteggono imprese e filiere? Chi può dirsi davvero esperto di OT security? Quali sono le principali problematiche, spesso sottovalutate? Ci aiutano a rispondere a queste domande il prof. Stefano Zanero del Politecnico di Milano e Marco Vecchio di Anie Automazione
- Scenario: le fabbriche connesse e il rischio cyber
- Proteggersi: dall'intera filiera alla singola pmi
- OT Security: chi la conosce davvero?
- Tipologie di minacce: la questione ransomware
- Profili professionali e cybersecurity
- Industrial cybersecurity: le problematiche più diffuse (da non sottovalutare)
Le fabbriche connesse e il rischio cyber
Sotto gli occhi di tutti, esperti e meno esperti, c'è che Industria 4.0 e fabbriche connesse hanno ampliato la “superficie” delle imprese esposta a minacce e rischi cyber. Parallelamente, si sta osservando uno spostamento nel mondo industriale di truffe, tipicamente generate da ransomware per richiedere riscatti.
L’esposizione dei macchinari verso Internet è molto più elevata e il perimetro di sicurezza della fabbrica inizia a includere anche l’azienda nel suo complesso e, magari, anche i partner dell’azienda. E questo fa cambiare le dinamiche e il numero di potenziali aggressori.
"Non è del tutto una novità, perché le linee di produzione di alcune aziende sono già connesse da tempo", ci dice Stefano Zanero, professore associato del Deib del Politecnico di Milano. "Quello che sta cambiando è il mix di aziende che adottano queste tecnologie: al tempo erano principalmente di dimensioni medio-grandi, ma ora si annoverano anche quelle di piccole e piccolissime dimensioni, coinvolte nella trasformazione digitale dal Piano Industria 4.0 che, come è noto, è legato a un programma di sgravi fiscali per promuovere la connessione dei macchinari alla rete". Questo fattore spiega la propensione al rischio che nei prossimi anni in Italia riguarderà sempre più le pmi.
Proteggersi: dall'intera filiera alla singola pmi
«Una caratteristica tipicamente italiana è quella delle filiere, ovvero aziende che si aggrappano ad altre per alcune parti della loro catena produttiva», prosegue Zanero. «Mettere in rete i sistemi industriali tra le varie aziende di filiera rappresenta un vantaggio competitivo vero, ma il problema è che queste interconnessioni aumentano il perimetro di sicurezza delle aziende. Altro fattore rilevante è che le pmi italiane sono generalmente meno informatizzate e con meno cultura informatica al proprio interno».
Esiste, tuttavia, una questione strutturale che riguarda le piccole e medie imprese nel mondo. «Quella che noi definiamo piccola e media impresa ha di base il problema di accedere alle risorse che servono per fare sicurezza, perché, tendenzialmente, per fare bene cybersecurity serve la competenza, e in un’impresa dove già la cultura informatica non fa parte del know-how aziendale, risulta ancora più difficile creare una competenza interna sulla sicurezza cyber. Dunque, è un problema dimensionale di cui soffrono tutte le pmi del mondo, ed è abbastanza ineliminabile».
Ebbene, «per colmare la mancanza di cultura informatica, ad esempio in una rete di piccole e medie imprese che informatizzano in maniera intensa la propria attività produttiva, è possibile, da un lato, ricorrere a servizi esterni per la gestione della cybersecurity, ma si può farlo fino a un certo punto e dall’altro, ci può essere un ruolo per le varie associazioni di categoria industriali, ad esempio cercando di mettere a fattor comune la parte di security di una filiera».
OT security: chi la conosce davvero?
In Italia, le realtà in grado di offrire servizi di cybersecurity a livello industriale sono poche. La complessità del mondo OT richiede competenze specifiche e conoscenza degli standard di riferimento. «Principalmente chi fa sicurezza viene dal mondo IT, dove è più facile avere competenze generalizzate, ma tra sistemi IT e OT ci sono caratteristiche completamente differenti.
La complessità deriva spesso dal fatto che gran parte delle linee di produzione sono realizzate con componenti provenienti da fornitori diversi e magari non sono nemmeno state progettate in un singolo colpo, ma sono il risultato di upgrade avvenuti in tempi diversi, anche in funzione della disponibilità di nuove tecnologie. E siccome la sicurezza è un problema sistemico, serve una figura che sappia guardare al combinato delle cose tipico del mondo OT e alla loro interazione con il mondo IT», spiega ancora Zanero.
«Per un system integrator offrire servizi vari di security nel mondo IT è un passo di crescita non particolarmente lungo, ma estendere l’offerta a servizi di cybersecurity nell’integrazione con il mondo OT, non è una cosa che si possa improvvisare».
Relativamente al mondo generico della sicurezza, il prof. Zanero prende in considerazione anche il concetto di “lemon market”. Esso si usa per indicare tutti quei mercati dove c’è una qualità eterogenea di prodotti offerti e una forte asimmetria informativa tra acquirente e venditore.
Il venditore si trova a vendere allo stesso prezzo servizi performanti e scadenti, mentre l’acquirente, dal canto suo, può solo affidarsi alla fiducia nel brand ed eventualmente al prezzo, ma a quel punto sarà valutata solo la qualità media del bene o servizio.
Tipologie di minacce: la "questione ransomware"
In quanto alla tipologia di minacce per le fabbriche connesse, il prof. Zanero riporta l'attenzione sul ransomware. Si tratta di una tipologia di malware che limita l’accesso del dispositivo infettato, sia esso un pc, uno smartphone o un impianto produttivo, richiedendo un riscatto.
Dal Rapporto Clusit sull’analisi dei più gravi cyberattacchi noti avvenuti a livello mondiale emerge che il malware con il 44% del totale dei casi è stabile al primo posto e quasi la metà di esso è costituita da ransomware, preferito dai cybercriminali perché è una tecnica semplice, che può essere prodotta industrialmente in infinite varianti, a costi decrescenti.
A questo riguardo Zanero parla di una “questione ransomware”, partendo dall’analisi della minaccia finanziariamente motivata e del modo in cui si è evoluta negli anni su questo fronte. «Negli ultimi cinque o sei anni, abbiamo assistito a un incremento di ransomware, ma in realtà l’esistenza di questa minaccia era già stata prevista più di vent’anni fa dal mondo scientifico», afferma Zanero.
«Non è difficile anticipare i comportamenti delle minacce finanziariamente orientate, mentre è più complicato quando le finalità delle minacce poggiano su questioni quali la geopolitica o l’attivismo, per fare un esempio. E come il fenomeno del ransomware in sé era già stato previsto anni or sono, se ora si guarda al mondo dell’IoT, in generale, e dell’Industrial IoT, in particolare, è facile prevedere che la stessa dinamica con cui si blocca l’accesso alle informazioni per estorcere del denaro, si possa applicare di pari passo ai dispositivi personali e peggio ancora a quelli industriali».
Il motivo per il quale questa dinamica non è ancora estremamente diffusa è da ricercare nella pigrizia dell’aggressore e nell’eterogeneità dei sistemi industriali. Relativamente alla pigrizia dell’aggressore, perché lo stesso dovrebbe pensare a come bloccare una linea di produzione se può estorcere denaro bloccando le attività di ufficio di un azienda con uno sforzo tecnologico minimale? Il secondo motivo per cui i sistemi industriali, tradizionalmente, non sono stati oggetto di attacchi malware è la loro eterogeneità, ma con la standardizzazione e la convergenza verso tecnologie più comuni questo panorama potrebbe cambiare in un prossimo futuro.
Profili professionali e cybersecurity
Infine, «rispetto alla formazione e alle figure professionali deputate a svolgere attività di cybersecurity, c’è una crescita di attenzione che fa ben sperare per il futuro», ci dice Zanero.
Dal punto di vista formativo, ci sono una serie di iniziative che si preoccupano di formare giovani sia il versante tecnico della security sia quello della capacità manageriale collegata. «La speranza è che si innestino nel tessuto delle aziende - che tradizionalmente non è molto ricettivo e pronto ad integrare figure che arrivano dal mondo universitario - provocando un miglioramento dal punto di vista della sensibilità verso l’OT security», conclude Zanero.
Industrial cybersecurity: le problematiche più diffuse (da non sottovalutare)
Convergenza IT/OT, allargamento del perimetro dei sistemi anche fuori dalle fabbriche, IIoT e connessioni da remoto anche secondo criteri Industria 4.0 aumentano sicuramente il rischio informatico di reti e sistemi di controllo e telecontrollo che gestiscono macchinari e impianti nell’Industria come nelle utility.
Sulle principali problematiche e criticità cyber in questi contesti, ci confrontiamo anche con Marco Vecchio, segretario dell’associazione Anie Automazione, punto di riferimento, con le sue 100 associate, per le imprese fornitrici di tecnologie per l’automazione di fabbrica, di processo e delle reti.
Quali sono le problematiche di cybersicurezza portate alla vostra attenzione?
Se fino a poco tempo fa si tendeva a proteggere macchinari, impianti e infrastrutture secondo la logica della “security-by-obscurity”, oggi che abbiamo ormai tutto connesso e accessibile è sicuramente più indicato seguire strategie di “security-by-design” per i nuovi sistemi da progettare ed implementare e soprattutto utilizzare concetti di “security-by-visibility” per affrontare al meglio eventuali incidenti informatici che si possano verificare nel dominio OT (Operational Technology).
Provo a riassumere di seguito i casi più frequenti che vengono portati in evidenza o che a volte vengono sottovalutati dalle aziende.
1. Vulnerability & Patch Management non adeguati: molto spesso, in ambito industriale e non, emergono lacune considerevoli nella gestione degli aggiornamenti e delle vulnerabilità note, esponendo numerosi asset aziendali ad attacchi informatici ad alta probabilità di efficacia. Ciò avviene perché i mondi IT e OT risultano spesso slegati e non gestiti in modo omogeneo, secondo linee guida trasversali.
2. Mancanza di monitoraggio degli eventi di sicurezza: la sorveglianza delle infrastrutture produttive si focalizza, solitamente, sul solo controllo del processo produttivo e sull’intrusione fisica negli impianti. In questo modo non vengono però generati, gestiti, raccolti e monitorati eventi di sicurezza relativi all’infrastruttura informatica degli impianti, ponendo le aziende nelle condizioni di non essere potenzialmente nemmeno a conoscenza di attacchi subiti sul proprio perimetro.
3. Sicurezza delle informazioni non integrata nel ciclo di vita delle reti industriali: gli aspetti riguardanti la sicurezza informatica non sono spesso considerati durante tutto il ciclo di vita delle reti industriali. Si dovrebbe rendere necessaria, dato l’elevato rischio intrinseco dei processi di business coinvolti in ambito industriale e dei potenziali danni causati da attacchi malevoli a queste infrastrutture, l’adozione di una checklist di sicurezza da rispettare durante tutte le fasi dello sviluppo e gestione di un impianto.
4. Procedure di Continuità Operativa non adeguate: i piani e le procedure di continuità operativa devono essere definiti e implementati in modo congruente con la criticità dei vari processi di business coinvolti, anche per quanto concerne le reti industriali, predisponendo soluzioni, tecnologie e processi da mettere in atto in caso di emergenza.
5. Mancata gestione della sicurezza delle informazioni dei rapporti con i fornitori: con l’avvento di Industria 4.0, sempre più spesso ampi segmenti delle reti industriali sono gestiti e manutenuti in toto dai fornitori stessi. È fondamentale gestire la sicurezza nei rapporti e nei contratti con le terze parti coinvolte, in modo che risultino applicate le politiche minime aziendali a tutela del proprio patrimonio informativo.
Tra i vostri associati vi sono fornitori globali di tecnologie e soluzioni per l’OT Security con un background di competenze nella realizzazione di progetti di cybersecurity di alto livello. Quali sfide devono affrontare le imprese industriali per l’OT Security?
Abbiamo ancora oggi la sensazione che la maggioranza di incidenti informatici alle reti OT sia rappresentata da danni collaterali di incidenti (errori umani dovuti a scarsa percezione del rischio informatico, errori di progettazione, configurazione, implementazione della rete e sistema Ics/OT o anche “sabotaggi”) o di attacchi alla rete IT che si propagano a quella OT per mancanza di adeguata protezione mediante segmentazione della rete e segregazione di asset critici. Ne abbiamo evidenza negli episodi di sistemi di produzione bloccati in fabbrica dai ransomware (i malware che criptano i file del pc, bloccandolo, e che rimandano ad un riscatto da pagare per tornare alla normalità): spesso il contagio viene dai pc in ufficio sui quali è stato aperto incautamente un allegato di e-mail malevolo. La protezione da rischi informatici di reti e sistemi OT comporta adeguate conoscenze e skill specifici che non sempre sono solo quelli del mondo IT: ci sono standard e procedure per la messa in sicurezza, tecnologie e prodotti specificamente pensati per manufacturing, OT e anche IIoT (Industrial IoT).
Come viene affrontato il tema della cybersecurity nella vostra associazione?
Il tema della cybersecurity nel mondo industriale viene affrontato nel Gruppo Software Industriale che ormai da quasi tre anni raccoglie le principali aziende OT e IT che operano nel settore della fornitura di prodotti e soluzioni per lo smart manufacturing, smart product, virtual manufacturing e appunto industrial cybersecurity. Il lavoro principale svolto dal gruppo è proprio supportare le imprese associate aiutandole a far comprendere ai clienti il ruolo fondamentale del software nell’Industria 4.0 e l’importanza strategica della sicurezza informatica in questa nuova cultura manifatturiera basata sui dati e sulle informazioni. Due sono i fattori significativi della transizione in corso nel settore manifatturiero. Da un lato, la necessità di innovare processi produttivi e prodotti grazie alle tecnologie digitali per rimanere competitivi a livello globale. Dall’altro, il comparto industriale italiano è caratterizzato da aziende di dimensioni medio-piccole che determinano una caratterizzazione locale dei concetti di Industria 4.0. Si va quindi oltre i presupposti alla base del paradigma 4.0 e si trovano soluzioni software adeguate alla nostra realtà specifica. In tale contesto, la collaborazione tra fornitore e utilizzatore di soluzioni tecnologiche ricopre un ruolo sempre più strategico. L’innovazione deve andare di pari passo con il rispetto della privacy e della sicurezza. Il tema della cybersecurity industriale può oggi essere considerato un fattore di sviluppo, un asset critico per fare business, un servizio fondamentale per chi vuole investire in Italia.
