Come difendersi dai cyberattacchi
L’importanza del fattore umano per diffondere una cultura aziendale che metta la sicurezza al centro dei processi aziendali. È quanto emerso dalla prima edizione di ICS Forum, mostra convegno dedicata alla sicurezza informatica in ambito industriale. Durante i lavori, si è parlato anche di tecnologie in grado di rispondere in maniera efficace ai cyber attacchi.
di Laura Alberelli
La cyber security è un tema di grande attualità. Il tessuto industriale di un Paese va sorvegliato e difeso. Se minacciato o compromesso da un attentato informatico, ingenti sono le conseguenze a carico dell’indotto produttivo con ripercussioni gravi anche sul Sistema Paese stesso. È sufficiente adottare una strategia di protezione delle reti informatiche e dei sistemi di produzione? Siamo sicuri che la minaccia più grande provenga dall’esterno e non dall’interno dell’azienda? In Italia, qual è il livello di conoscenza di queste problematiche? Quali sono le strategie difensive generalmente messe in atto e qual è il grado di resilienza delle nostre imprese? Per fare il punto della situazione e per aiutare imprenditori, tecnici e manager a orientarsi in questo mondo complesso e pieno di insidie, Messe Frankfurt Italia ha recentemente organizzato a Milano – in collaborazione con Innovation Post – la prima edizione della mostra convegno ICS (Industrial CyberSecurity) Forum, un evento patrocinato da diverse agenzie e associazioni tra cui AgID (Agenzia per l’Italia Digitale, A.I.PRO.S (Associazione Italiana Professionisti della Sicurezza ANIE Automazione, ANIMA, ANIPLA, Clusit (associazione italiana per la Sicurezza Informatica), per citarne solo alcune. La grande affluenza di pubblico (oltre 500 partecipanti), è stata la prova del fatto che fare chiarezza sull’argomento è diventata una necessità impellente non più procrastinabile.
I sistemi per la cyber sicurezza vanno affiancati dall’attività di monitoraggio
ICS Forum ha ospitato due tavole rotonde e quattro workshop. A moderare le prime sono stati Franco Canna (direttore di Innovation Post) e Jole Saggese (capo redattore di Class CNBC).
“Parlando di imprese manifatturiere, la più grande minaccia nel mondo IoT e Industria 4.0 è la sproporzione tra i vantaggi immediati dell’impiego di tecnologie e processi destinati a garantire la cyber sicurezza e la consapevolezza che queste stesse soluzioni si dimostrano estremamente fragili e attaccabili. Per rafforzare la barriera difensiva, è necessario affiancare un’azione di monitoraggio stringente, continuo, professionale e avanzato che deve coinvolgere tutti gli eventi che avvengono in rete. Al tempo stesso, è importante tenere costantemente monitorati tutti i dispositivi e i macchinari utilizzati in azienda. Questo è l’unico modo di cui disponiamo per intercettare i segnali di allarme provenienti da un attacco in corso, gli unici che consentiranno all’azienda di mettere in atto le opportune procedure di difesa e di recovery. Per ottenere un certo tipo di risultato, l’azienda deve però investire in soluzioni performanti e di qualità, prediligendo solo quei produttori di tecnologia sicura e testata. Ciò significa che non bisogna più considerare la sicurezza informatica come un costo, ma viverla come un investimento che a medio/lungo termine può garantire la sostenibilità del nuovo modello produttivo di Industry 4.0. Senza sicurezza, la filosofia produttiva propria dell’IoT rappresenterebbe uno dei più grandi rischi che la nostra società abbia mai corso”. Sono le parole di Andrea Zapparoli Manzoni, esperto di cyber security nonchè membro del comitato direttivo di Clusit.
Una convergenza sempre più stretta tra i mondi IT e OT
Durante l’evento si è parlato della convergenza sempre più stretta tra il mondo dell’Information Technology (IT) e quello dell’Operation Technology (OT). A detta di Antonio Madoglio di Fortinet (fornitore di soluzioni di cybersecurity ad alte prestazioni) “trasportare le esperienze maturate nel mondo IT al mondo OT non è poi così difficile. Ovviamente esistono differenze sostanziali di cui bisogna tenere conto. I protocolli utilizzati per il mondo IT sono diversi da quelli OT. Inoltre, il mondo OT si differenzia da quello IT per le caratteristiche ambientali. Alcuni dispositivi devono infatti poter gestire determinate sollecitazioni meccaniche o elettromagnetiche tipiche del mondo OT ma inesistenti nel mondo IT. Chi lavora con entrambi, sa che esistono punti di convergenza ma anche di divergenza che caratterizzano da sempre i due mondi e che vanno salvaguardati”.
“Se all’interno di una infrastruttura, IT od OT, si adottano una serie di misure tecnologiche in grado di bloccare l’attacco informatico – ha affermato Dario Amoruso di KPMG (gruppo specializzato in Information Risk Management) – l’hacker farà più fatica a raggiungere il perimetro tecnologico che porta ai dispositivi di campo (dunque alla rete OT) o alla rete IT. Più difficile sarà invece difendersi dagli attacchi derivanti dal fattore umano (si pensi, ad esempio, alle operazioni di “fishing”). In questo caso, l’hacker attacca la vittima (la persona fisica) la cui reazione innescherà un meccanismo che gli permetterà di colpire il target mirato. Gli attacchi di social engineering sono tra i più numerosi e pericolosi. Per cercare di contrastare la minaccia del “fattore umano”, la nostra azienda (così come fanno altre società che si occupano di risk management) realizza corsi di awareness in modo da garantire un certo grado consapevolezza e conoscenza. Poiché le tecniche di “fishing” stanno diventando drammaticamente sempre più sofisticate, oggi la formazione deve essere sempre più mirata e soprattutto smart”.
Al Forum hanno partecipato anche alcune aziende che già adottano protocolli per la sicurezza informatica. Ecco, qui di seguito, le loro testimonianze dirette.
Le testimonianze dirette delle aziende che stanno correndo ai ripari
In termini di Cyber Security, Siemens supporta i propri clienti attraverso la strategia di Defense in Depth – un concetto multistrato per gli utilizzatori industriali, illustrato da Roberto Zuffrada nel suo intervento – che garantisce una protezione degli impianti, delle reti e dell’integrità del sistema – secondo le norme ISA 99 ed IEC 62443 (gli standard più importanti per la sicurezza nel settore dell’automazione industriale). Defense in Depth dimostra l’importanza di attuare una segmentazione delle reti, realizzando celle di protezione, con prodotti dedicati alla sicurezza di rete (firewall e router industriali). Altrettanto fondamentale sono la tracciabilità e la possibilità di verificare gli accessi sia in termini di edificio/fabbrica sia in termini di sistema, reti e macchine.
Per rispondere alle richieste delle aziende che richiedono infrastrutture di informazione e di sicurezza, Rockwell Automation propone invece i Connected Services, un pacchetto che comprende numerosi servizi quali la valutazione dell’infrastruttura di rete industriale esistente, la progettazione, l’implementazione, e il supporto e monitoraggio remoti di sistemi di rete integrati.
L’offerta Connected Services – illustrata da Roberto Motta – parte dalla creazione di un’infrastruttura di rete di informazione industriale sicura. I servizi di rete e cybersecurity di Rockwell Automation includono la valutazione delle esigenze, la progettazione, il supporto, la formazione IT/OT, il monitoraggio remoto, il rilevamento e la risoluzione delle minacce, l’implementazione “chiavi in mano”, le soluzioni di rete pre-ingegnerizzate, il monitoraggio e la gestione della rete. Questi servizi possono accelerare l’integrazione di nuove apparecchiature e sistemi, migliorare notevolmente la sicurezza e ridurre i fermo macchina con l’accesso alle risorse tecniche.
Una piattaforma “open” concepita in ottica cyber security è la proposta di Schneider Electric.
EcoStruxure – illustrata da Alessandro Galmuzzi – è una piattaforma ad architettura aperta, basata su standard e abilitata dall’Industrial Internet of Things. Tutte le soluzioni specifiche, i componenti, i software e i servizi che la compongono sono nativamente concepiti in ottica cybersecurity, assicurandone la compliance con le più stringenti direttive di settore. In aggiunta, i servizi di difesa di Schneider Electric sono flessibili e adattabili alle caratteristiche di ogni infrastruttura e impianto anche già esistenti, tanto da consentirne l’applicazione nel rispetto degli standard di riferimento, su sistemi OT e IT propri e di altri brand oltre che di varie generazioni tecnologiche.
ABB – nella persona di Massimo Scanu – sottolinea l’importanza di testare le patch di sicurezza prima di condividerle con gli end-users. Solo un aggiornamento veloce e continuo del sistema consente all’azienda di proteggersi dalle minacce di attacco. In quest’ottica, ABB (grazie alla partnership con Microsoft®) riceve in anteprima le patch in modo da poterle testare prima sui propri sistemi. Una volta certificate dal reparto di ricerca e sviluppo, le patch vengono caricate sul portale aziendale dove i clienti iscritti possono scaricare in completa sicurezza tutti gli aggiornamenti.
Secondo Servi Tecno – Enzo Maria Tieghi, CEO di ServiTecno oltre che Presidente dello Steering Committee di ICS Forum – nei prossimi anni l’Operational Technology dovrà dimostrarsi all’altezza di una duplice sfida: mettere finalmente in sicurezza il “Plant Floor” e farlo in un momento in cui la spinta di Industria 4.0 sta di fatto eliminando perimetri fisici e limiti di connettività. Il concetto di Security-by-Design è l’unico applicabile in un ambiente di processo, dove la complessità degli impianti è cresciuta a volte attraversando un arco temporale di venti o trenta anni, che hanno dato vita a “macchine” più inclini al risultato finale che alle performance e all’interazione con altri sistemi. È necessario “cucire la security” direttamente sugli impianti e sui loro Sistemi di Controllo e Supervisione”. Elevare il livello di sicurezza delle comunicazioni tra gli strumenti di controllo e le infrastrutture tecnologiche correlate è un obiettivo chiave anche per ESA Automation, con cui concludiamo questa carrellata. Per la tutela dei volumi di dati che circolano sulla rete aziendale e su piattaforme Cloud, l’impegno di ESA Automation si concretizza nel suo servizio di manutenzione remota Everyware.
Sviluppato per garantire la massima sicurezza grazie all’implementazione di soluzioni come la double authentication, a valutarne l’efficacia è stata la società KPMG, che ha rivelato la sua affidabilità con una buona mitigazione dei rischi informatici.