Orange Business Services, un approccio globale alla sicurezza industriale
I trend, le minacce, la strategia da seguire. Pier Giuseppe Dal Farra, IoT Industry Business Expert della società, indica la strada per alzare il livello di cybersecurity delle aziende in linea con le attuali evoluzioni degli attacchi.
Siamo soliti pensare all’industria come un’entità a sé, separata dalla vita quotidiana delle persone comuni: ma cos’è, in realtà, un sistema industriale? Da definizione: “Qualsiasi dispositivo hardware o software utilizzato per controllare processi fisici o meccanici”. Ne deriva che “industria” sono anche le centrali elettriche, o gli impianti per il trattamento delle acque, ingranaggi fondamentali su cui si basa il normale svolgimento delle nostre vite. E all’interno del sistema industriale sempre più dispositivi sono esposti alla minaccia del cybercrime perché includono componenti “embedded” che li mettono in connessione. Dato che il trend dell’Internet of Things (IoT) è in netta crescita, sempre più oggetti saranno connessi tra loro, con la conseguenza che queste minacce continueranno a crescere. Ne parliamo con Pier Giuseppe Dal Farra, IoT Industry Business Expert di Orange Business Services.
Chi c’è dietro gli attacchi?
Gli attacchi ai sistemi industriali possono provenire da hacker isolati, da organizzazioni private, o essere sferrati da altri Stati: in questo caso si configura uno scenario propriamente di guerra. Dopo le armi atomiche, biologiche e chimiche, la C di questo tetro ABC dei conflitti della modernità si sdoppia per indicare i cyber attacchi.
E le conseguenze di un attacco possono essere distruttive: lo abbiamo visto – solo per fare un esempio – quando nel maggio scorso Colonial Pipeline, sistema di oleodotti che ha origine a Houston, Texas, e trasporta benzina e carburante per aerei, ha subito un attacco ransomware che ha costretto il governo americano a dichiarare lo stato di emergenza perché i problemi nelle forniture di gas non mettessero in ginocchio il paese.
Come avvengono?
Per i cyber criminali, reperire le informazioni necessarie è diventato più facile: su Internet è infatti possibile trovare mappature di tutti gli oggetti connessi, grazie ad esempio al motore di ricerca Shodan, che consente di individuare tutti i dispositivi collegati a internet. Inoltre, come per qualunque argomento sotto il sole, su Internet proliferano i tutorial dedicati.
Gli attacchi sfruttano le vulnerabilità: per ogni oggetto connesso a Internet esiste automaticamente una componente di rischio, legato al software embedded. Per mitigare questo rischio, è fondamentale mantenere il software regolarmente aggiornato, ma è molto frequente che questo non accada: anche le semplici webcam dentro casa, ad esempio, contengono software, che con il passare degli anni si fanno sempre più obsoleti e quindi vulnerabili.
Questo non vale solo per l’ambito domestico: di frequente i sistemi industriali hanno sistemi operativi molto datati, come Windows XP: questo accade perché fino a che continuano tecnicamente a “funzionare” non ci si preoccupa di fare upgrade, magari perché governano una specifica macchina, dove l’operatore ha una singola interfaccia utente. Non bisogna dimenticare, però, che una volta connessa alla rete la macchina non rimane isolata, e se il sistema operativo non è aggiornato è a rischio di essere attaccato: rappresenta un punto di ingresso alla rete industriale, dal quale i malintenzionati possono estendere l’attacco ad altre zone.
Questo scenario è molto frequente anche perché l’upgrade non sempre è facile: se un sistema funzionante ha un sistema operativo troppo obsoleto non è possibile fare aggiornamenti, ma sarà necessario installare una nuova macchina: questo processo potrebbe comportare costi alti e complicazioni impreviste (perché è possibile che il fornitore dell’attrezzatura datata, ad esempio, non sia più in attività).
Quali sono le ragioni degli attaccanti?
Le motivazioni degli hacker classici erano soprattutto sabotaggio e spionaggio industriale, ma negli ultimi anni si fa sempre di più preponderante la spinta economica: bande di hacker organizzati mettono fuori uso i sistemi industriali e chiedono un riscatto in denaro, in genere in criptovaluta: una tecnologia che ha reso molto più facile incassare i riscatti, visto che diventa arduo seguire la transazione e individuare i responsabili.
Quali sono i danni dei cyber attacchi?
Un primo ordine di conseguenze negative causate dai cyber attacchi è di tipo operativo, e consiste nello stop della produzione, con le sue ricadute: accumulo delle materie prime e di semilavorati, danni agli impianti bloccati improvvisamente – ad esempio nel caso di sistemi di depurazione delle acque – o rischi per la sicurezza del personale: se macchine pesanti o pericolose si bloccano improvvisamente, chi lavora su di esse può trovarsi in pericolo.
Un secondo ordine di conseguenze riguarda invece le perdite finanziarie – nel caso di grandi aziende, ogni ora di blocco comporta perdite difficili da quantificare – e l’impatto negativo sulla reputazione del brand, che può tradursi molto rapidamente in una perdita finanziaria nel caso di una società quotata. Si tratta quindi danni enormi, distribuiti e ramificati.
Dove può migliorare il sistema industriale?
È necessario intervenire sui limiti del sistema industriale: oggi, già il 40% dei sistemi industriali hanno una connessione diretta a Internet (una percentuale che non farà che crescere, come abbiamo visto), e di questi il 53% installa sistemi operativi datati. Più di un sistema industriale su due (il 57%) non ha adottato alcuna protezione dei terminali.
Qual è, allora, l’approccio da tenere alla cybersecurity?
La cybersecurity dei sistemi industriali è un elemento chiave per dare una serie di garanzie, che Orange Business Services identifica con l’acronimo RAMS: R di reliability cioè affidabilità – garantire che il sistema industriale continua a funzionare; A di availability, cioè disponibilità (l'interruzione in caso di attacco rimane confinata); Maintainability o manutenibilità da remoto e Safety, sicurezza nel senso industriale, con le ricadute già descritte sulla protezione delle persone impegnate al lavoro.
Come portare la sicurezza OT nell’ecosistema industriale?
L’approccio di Orange Business Services è un ciclo virtuoso in cinque step, che comincia con le azioni che consentono di anticipare gli attacchi: la prima fase è l’analisi, il cui scopo è prendere consapevolezza dei rischi potenziali, facendo l’inventario di ciò che è disponibile, di cosa è connesso a livello di fabbrica, e ambisce a far lavorare insieme le funzioni IT e OT. Segue l’identificazione, in cui si procede alla segmentazione della rete IT da quella OT: spesso la rete OT veniva vista come un’estensione della rete aziendale, invece queste due funzioni sono differenti ed è necessario introdurre una separazione di sicurezza tra questi due mondi.
Una volta impostati i primi due passaggi, segue la protezione attiva: dando per acquisiti antivirus e firewall, l’approccio consiste invece nel cercare di individuare in tempo reale eventi anomali. Questo è possibile con il monitoraggio continuo del traffico di rete, grazie a tool dedicati che individuano carichi di lavoro anomali in specifiche porte, tramite le quali potrebbe essere in corso un attacco.
Nel caso un attacco fosse identificato, è necessario rispondere tempestivamente e in modo efficace: la risposta può variare dal disconnettere la singola porta, all’isolamento completo della rete in tempo quasi reale. Lo step numero 5, infine, riguarda la prevenzione degli attacchi, che coinvolge la divisione che occupa di cyber defense: il suo ruolo è di individuare le vulnerabilità, anche con simulazioni ad opera dei “red team”, cioè le squadre – il cui nome è preso in prestito dall’ambito militare – che simulano un attacco per cercare i “punti deboli” del sistema.
