Ottimizzare time-to-market, go-to-market e customer experience: sono gli elementi cardine su cui le organizzazioni aziendali stanno ridefinendo processi, tecnologia e più in generale l’approccio al business.
Partendo da questo nuovo paradigma, anche i reparti produttivi, storicamente legati a network isolati e con dinamiche proprie, hanno dovuto cedere il passo a nuove esigenze di organizzazione, favorendo l’interconnessione di sistemi industriali e una maggior diffusione dei dispositivi IoT.
Se da una parte, seguendo le ragioni del business, i plant di produzione risultano sempre più digitalizzati e automatizzati, dall’altra pongono il problema della sicurezza industriale e dell’esposizione ai rischi informatici, una tematica che di certo le aziende non possono più ignorare, a fronte anche dell’incremento sulla frequenza degli attacchi registrati negli ultimi tempi sfruttando proprio le vulnerabilità dei sistemi OT (Operational Technologies).
Indice degli argomenti
La vulnerabilità dei sistemi OT
Secondo una classifica dei rischi condotta dall’Osservatorio Information & Privacy della School of Management del Politecnico di Milano, tra i principali pericoli più temuti dalle aziende c’è senza dubbio il fermo produzione che preoccupa fortemente le organizzazioni (54%). La safety, minacciata dall’interazione sempre più diretta fra operatori e macchine (20%) a seguire il furto dei dati confidenziali (16%).
Perché la sicurezza industriale è considerata una “specializzazione” in ambito security?
Per rispondere alla domanda è fondamentale considerare la peculiarità e la complessità delle reti OT che nella maggior parte dei casi sono composte da un ecosistema (reti SCADA, sistemi ICS Industrial Control System, PLC, RTU etc.) di dispositivi collegati in rete proprietari (legacy), con un ciclo di vita molto lungo, spesso poco aggiornati e che hanno necessità di manutenzioni programmate, consentendo a terzi di operare con accessi remoti, a volte, non sufficientemente gestiti in sicurezza, (sistema di Strong Authentication e di Access Management mancanti) contribuendo a moltiplicare, la superficie di rischio.
Un aspetto ulteriore da considerare delle reti industriali è la scarsa visibilità dei sistemi che la compongono come anche gli asset, gli analytics, le comunicazioni e il traffico tra dispositivi in rete che rende complicata la lettura di eventuali anomalie dei servizi. Redigere un inventario aggiornato dei dispositivi e delle applicazioni in esecuzione nella rete è fondamentale, ma di difficile attuazione visto che su molte di queste specifiche reti non è possibile eseguire una scansione attiva con i metodi utilizzati per le reti IT, perchè potrebbero interferire con le prestazioni della rete o danneggiare sistemi come ad esempio i PLC.
Altro tema da valutare è che di fatto i team dell’area OT, nella maggioranza dei casi, non condividono le problematiche di sicurezza con i colleghi dell’area IT in tema di security, contribuendo ancor di più a un approccio separato tra i due team. Questa mancanza di convergenza spesso compromette la condivisione di una strategia di governance dei rischi in grado di prevenire intrusioni e nel caso di rispondere adeguatamente a un eventuale incident.
Implementare la cybersecurity
Il panorama delle minacce è evidentemente in continua evoluzione e senza dubbio sistemi come ICS, SCADA e DCS sono diventati un facile bersaglio per gli attaccanti che riconoscono in questi sistemi un portone d’ingresso di facile utilizzo; tuttavia, a fronte di un incremento di incidenti su infrastrutture critiche e plant produttivi, l’attenzione sulle tematiche di sicurezza OT cresce e, pur se lentamente, si comincia a ragionare su strategie di cybersecurity e gestione dei rischi informatici da implementare.
Laddove, infatti, l’approccio di sicurezza strategica è in fase di consolidamento l’Osservatorio Information & Privacy della School of Management del Politecnico di Milano stima che per mitigare i rischi legati alla business continuity, safety e perdita dati, le aziende procedono con attività di security assessment su sistemi e reti OT per individuare le aree a rischio e le potenziali minacce; con un approccio che preveda molteplici livelli di difesa ma anche la necessità di introdurre strumenti specifici per gestire la sicurezza in ambito industriale e avere maggior visibilità di tutti gli apparati in rete e contestualmente che riescano ad automatizzare efficacemente i processi di security management.
L’evoluzione dei criminal hacker
Anche i criminal hacker hanno subito una sorta di “specializzazione”, confezionando malware mirati e capaci di attaccare sistemi industriali e macchine di controllo. Tutto cominciò con l’ormai noto Stuxnet che nel gennaio 2010 colpì la centrale per l’arricchimento dell’uranio Natanz, in Iran, danneggiando i rotori delle centrifughe allo scopo di renderle inefficaci. il cyber attacco partì sfruttando vulnerabilità dei PLC Siemens adibiti proprio al controllo delle centrifughe. I più recenti attacchi tramite ransomware Ryuk non sono meno devastanti, tra le vittime anche il gigante dell’acciaio EVRaz che dopo l’incidente ha dovuto accertare gravi danni economici dovuti al conseguente stop di produzione, e danno reputazionale. Tra i malware ad alta specializzazione anche Ekans (anagramma di Snake) che individua come bersaglio proprio i sistemi di controllo ICS dei reparti produttivi.
Conclusioni
Il presupposto secondo cui non è il se, ma il quando si può cadere vittime di un attacco informatico, deve essere la prima consapevolezza che le aziende devono maturare per mettere al sicuro asset, persone e business. Ragionare secondo i criteri della security by design, investimenti adeguati per contrastare le sempre più sofisticate tecniche di attacco e una corretta formazione, non solo dei reparti IT, ma di tutti i dipendenti e collaboratori aziendali, aiuta senza dubbio a evitare di dover correre ai ripari quando ormai il danno si è già verificato e a non rimane altro che optare per la vecchia “logica del cerotto”.
