Cybersecurity, digitalizzazione e Industry 4.0

L’impatto sul quadro geopolitico internazionale e, più in concreto, sul mondo industriale e della manifattura: le riflessioni di Arturo Di Corinto, che da anni analizza le problematiche della sicurezza informatica, aiutano a definire i rischi e la necessità di specifiche strategie di difesa da adottare.

A cura di M. Costanza Candi

Nel 2021, gli attacchi informatici a livello mondiale sono aumentati del 10% rispetto al 2020, con conseguenze gravi sul funzionamento dei sistemi al centro delle azioni criminali e una distribuzione geografica globale.

Al primo posto, il continente americano con il 45% dei casi, seguito da Europa con il 21% di eventi e un +5% rispetto al 2020. Infine l’Asia, con il 12% dei casi e un incremento del 2%.

Per quanto al centro dell’attenzione si trovino settori sensibili come quello governativo e militare, il comparto informatico, quello sanitario e dell’istruzione con le loro grandi infrastrutture di servizio, anche il mondo del mobile comincia a essere sempre più investito da questo trend: un dato rilevante anche per le infrastrutture distribuite basate sui terminali mobili tipiche dell’Industry 4.0 e adottate dalle industrie manufatturiere. 

In Italia, ad esempio il 50% degli attacchi è destinato ai settori Finanze e PA, sebbene l’industria abbia registrato l’incremento più significativo, con un salto dal 7% nel 2020 al 18% del 2021.

Secondo il Security Operations Center (SOC) di FASTWEB, sono stati oltre 42 milioni gli eventi di sicurezza rilevati, con un significativo +16% rispetto all’anno precedente (Dati: rapporto Clusit).

Arturo Di Corinto

A questa fotografia si aggiunge la crisi politica internazionale in corso, con il suo impatto sulla sicurezza informatica e le recenti notizie sull’attacco scatenato contro FS da un gruppo hacker russo-bulgaro di nome Hive. Un insieme che rende evidente come il tema sia al centro dell’agenda delle aziende, impegnate in sempre più complessi percorsi di digitalizzazione, tra industry 4.0, data analysis e gestione centralizzata di linee di produzione distribuite.

Per avere un quadro della situazione, che aiuti a definire i rischi e la necessità di specifiche strategie, ItaliaImballaggio ha incontrato Arturo Di Corinto, giornalista, scrittore, esperto di lungo corso di cybersecurity e Docente all’Università La Sapienza di Roma, dove tiene il corso di Identità digitale, Privacy e Cybersecurity.

La situazione politica internazionale alla luce dei temi di cyber-sicurezza

«Sappiamo che il conflitto armato in corso in Ucraina è anche un conflitto cibernetico» esordisce Di Corinto. «D’altronde, nel mondo di oggi, qualsiasi conflitto armato implica l’utilizzo di strumenti e reti di comunicazione, un “retaggio evoluto” delle operazioni di spionaggio, sabotaggio e propaganda d’altri tempi tipiche di ogni guerra. E questa non fa eccezione.

Un tempo, però, la disinformazione colpiva direttamente persone in posizione decisionale, ministri, capi di stato, diplomatici, mentre oggi fake news e propaganda usano le agorà virtuali dei social network. Le strutture centralizzate, quindi, avviano campagne di percezione per creare insicurezza e sconcerto, guardando ai paesi dove si ritiene che l’opinione pubblica possa ancora condizionare l’operato dei Governi. Parlare di cyberwar oggi non è corretto, ma sappiamo che gli strumenti cibernetici servono a questo, con evidenze che spaziano da Cambridge Analytica e l’impatto che ebbe sulla campagna elettorale americana, all’inquinamento del dibattito tra Trump e Clinton nel 2016».

Strumenti diversi con un solo obiettivo: danneggiare, bloccare, sottrarre dati e informazioni

«Oggi lo spionaggio viene realizzato con gli stessi strumenti tecnologici, via internet, facendo uso dei cosiddetti advanced persistent threats o APT, rappresentati da gruppi organizzati che si infiltrano nei sistemi informativi dell’avversario per scatenare attacchi con obiettivi diversi. Il sabotaggio, di matrice APT o originato da militari e servizi segreti, ha in genere come obiettivo di interrompere completamente le comunicazioni dell’avversario, impedendo, ad esempio, di approvvigionare le truppe al fronte. Ma significa appunto anche propaganda e spionaggio esercitati attraverso internet, di cui si sono visti numerosi casi in questo periodo di conflitto Russia Ucraina».

Una guerra di gruppi super specializzati e spesso vicini ai governi

«Esistono gruppi simpatizzanti delle due fazioni in conflitto che si stanno affrontando, di cui 35 riconducibili all’Ucraina e 15 circa alla Russia. Questi gruppi, i cui numeri sono in costante evoluzione, hanno condotto attacchi DDOS (distributed denial services attack) per rendere temporaneamente inutilizzabile una risorsa esposta sul web. Facendo richieste ripetute e frequenti, infatti, i server che le ricevono collassano e i contenuti diventano inaccessibili.

Oltre ad attacchi DDOS a Ministeri e istituzioni russe, da Telegram e Twitter si è avuta notizia di attacchi diretti a paesi che sostengono l’Ucraina, anche finalizzati a esfiltrare e sottrarre illegalmente informazioni da aziende e amministrazioni russe. Il primo ad agire in questo senso è stato il gruppo GhostSecurity, sedicente Anonymous, di cui ho ricostruito con molte probabilità la vicinanza alla sfera dei contractor militari americani. Non sono mancati attacchi per manomettere punti critici che hanno reso non funzionanti computer in Ucraina, Lituania e Lettonia. Abbiamo naturalmente anche notizie di centinaia di indicatori di compromissione di reti e sistemi informativi attribuibili a gruppi filo-russi, come Unknown1152ghostwriter, noti per essere attivisti bielorussi».

Runet: l’improbabile e quanto mai dannosa uscita dall’Internet della Russia

«Tutti questi elementi, hanno fatto pensare agli strateghi di Putin che fosse il caso di chiudere la rete Russa all’esterno per limitare gli attacchi riducendo anche l’accesso alle informazioni da fonti diverse circa il reale andamento del conflitto. Ma escludere un paese da internet, significa intervenire sui DNS (Domain Name System) primari della rete geografica e renderli irrintracciabili dal sistema mondiale di identificazione dei domini. Il DNS è infatti basato su 13 computer, che operano in tutto il mondo da quando internet si è diffusa.

Staccare un territorio geografico e inibire l’accesso a un DNS primario come .ru, il dominio che identifica la Russia, significa creare un’interferenza nelle comunicazioni con effetti che ancora non si conoscono. L’autorità per l’assegnazione di dominio ha infatti risposto che si tratta di una richiesta irricevibile. Inoltre, la Russia, nonostante si sia attrezzata per gestire i suoi DNS interni e isolarsi dalla rete globale per proteggersi, non si è di fatto ancora staccata da internet, perché otterrebbe un isolamento inutile. Guardando al conflitto geopolitico, infatti, tutti sperano che cessi a breve.

Dal punto di vista russo, infine, entrare in Ucraina e occuparla stabilmente richiederebbe anche l’uso delle infrastrutture di comunicazione locali, tra cui internet: non c’è quindi alcun interesse reale a compiere questa operazione per quanto abbia avuto ampia eco sui media. Infine, ICANN (Internet Corporation for Assigned Names and Numbers), l’ente che si occupa dei nomi di dominio, ritiene che indurre la Russia a isolarsi impedirebbe ai cittadini del paese di accedere a informazioni estranee alla sola propaganda governativa».

Sottolinea ancora Di Corinto: «Il tema della connessione alla rete globale, infine, interessa anche il mondo industriale e il suo percorso di digitalizzazione, esponendolo a notevoli rischi soprattutto in caso di misure estreme come quella che stiamo commentando. Specialmente in occidente, che ha deciso ampie misure restrittive sul piano economico, nessuno ha interesse, ad esempio, a interrompere le relazioni con paesi da cui viene il 30% del grano mondiale, il gas e una elevata percentuale di farmaci. L’effetto sarebbe un ritardo o addirittura l’inceppamento della produzione, cosa che non conviene a nessuno e che metterebbe certamente a rischio anche il sistema dell’industria connessa».

In che misura, il mondo industriale è interessato dalla conflittualità

«Dalle cronache dedicate ai diversi attacchi, sappiamo che è stata colpita e messa offline per qualche giorno, una delle infrastrutture industriali che gestiscono la produzione e l’erogazione di greggio, di cui, va ricordato, il paese è il terzo produttore mondiale. Curiosamente, i danni si sono verificati più in Germania che in Russia, a dimostrazione di quanto siano preparati su questo fronte ma anche del grado di interdipendenza.

Ma è più interessante quello che è successo prima, con il virus Tardigrade, che ha attaccato e bloccato la produzione delle facilities farmaceutiche che producono vaccini, coinvolgendo anche in Italia i produttori di tecnologia per la catena del freddo, fondamentale per quelli anti Covid. Si è trattato spesso di attacchi all’apparato industriale, basati su strategie di phishing, ideate per raccogliere informazioni dai pc dei dipendenti, in modo da guadagnare un vantaggio competitivo di carattere industriale, in particolare per la produzione e la gestione dei vaccini, al centro di una vera e propria competizione tra Stati. Si sono verificati anche attacchi all’OMS, alle aziende che producono farmaci, ai centri di ricerca e cura come lo Spallanzani a Roma.

Tutte operazioni con il solo fondamentale obiettivo di acquisire informazioni strategiche. Ad oggi, comunque, il rischio legato all’industry 4.0 non si è ancora manifestato pienamente, ma in un mondo interconnesso da reti di comunicazione, pensate per il trasferimento di informazioni, il trasporto di energia o di materiali, gli attacchi di questo tipo sono destinati ad aumentare ed è necessario guardare allo scenario completo per definire delle strategie di difesa».

I settori più a rischio di attacchi

«I dati raccolti da fonti aperte, dicono che 1/5 degli attacchi del 2021 ha interessato l’Europa. In Italia gli attacchi all’industria manifatturiera sono raddoppiati tra il 2020 e il 2021. I settori più colpiti sono quello governativo militare al 15%, in crescita del 3% rispetto al 2020, 14% informatico, 13% sanitario farmaceutico, 8% istruzione. Ma si tratta certamente di dati per difetto.

Gli attacchi gravi nel 2021 sono stati circa 2000. Non si tratta di una semplice scansione dei propri sistemi sul web, altrimenti parleremmo di miliardi di casi, ma di attacchi andati a buon fine, a settori specifici e in paesi specifici. Le più colpite in Italia sono comunque le aziende manifatturiere. Il fatto inatteso è che i gruppi che sferrano attacchi ransomware, finalizzati cioè a bloccare i sistemi chiedendo un riscatto, puntano principalmente a piccole industrie e studi professionali, notai, architetti, ingegneri.

Questo dimostra che si tratta dell’anello debole della catena, perché non c’è diffusa formazione del personale umano su questi temi, anche se sono i dipendenti a tutti i livelli, responsabili del 95% degli attacchi andati a buon fine. Purtroppo non si investe abbastanza in sicurezza informatica, perché il nostro Paese è andato incontro a una digitalizzazione a tappe forzate, anche a causa della pandemia, quindi l’aggressività degli attaccanti e la debolezza degli attaccati sono le cause principali alla base di questa situazione».

Quanto vale l’autonomia tecnologica

ACN, l’Autorità nazionale per la cybersicurezza ha di recente evidenziato i rischi legati a Kaspersky, l’antivirus di produzione Russa su cui il Governo si è subito mosso con un decreto legge, che indica l’obbligo per le PA di una rapida sostituzione su tutto il territorio nazionale.

L’emergenza Kaspersky ha evidenziato la dimensione strategica della produzione di software europeo e nazionale per il mondo produttivo a tutti i livelli. Questa l’opinione di Di Corinto al proposito. 

«Kaspersky è un prodotto eccellente, sviluppato da grandi team di ricerca, ma con un quartier generale in un paese che ha fatto un’azione militare come fossimo nel secolo scorso, negli anni ’50. Sta, purtroppo, dalla parte sbagliata della storia, anche se mi auguro che tra qualche mese, la situazione si stabilizzi.

L’antivirus, su cui ACN ha diramato una comunicazione dei rischi, può essere un cavallo di troia, o trojan, sia per un pc privato che per le aziende. Lo è come qualsiasi software che sul nostro computer, si aggiorna in automatico. L’Italia ha perso la Seconda Guerra Mondiale e con ciò anche la sua autonomia rispetto all’innovazione tecnologica, spinta dai paesi vincitori verso la sola manifattura. Questo non ha impedito al nostro Paese, di dare vita a un percorso di innovazione avionica, farmaceutica, industriale, che non ha avuto eguali al mondo… Pensiamo ad Adriano Olivetti con la Perottina, primo PC della storia, o a Enrico Mattei che volle tenere testa alle Sette Sorelle: due esempi che rimandano al dibattito odierno sull’autonomia tecnologica italiana ed europea, in particolare legato al tema della dipendenza delle tecnologie informatiche.

La vicenda Kaspersky in particolare e qualunque tecnologia venga dall’estero in generale, riapre il dibattito sull’importanza dello sviluppo di un’industria nazionale su questi temi. L’Europa, con Cybersecurity Made in Europe Label, sta provando a qualificare aziende che basino il proprio sviluppo su standard europei, con attività svolta sul territorio europeo, nel rispetto della legge come, ad esempio, il GDPR. Con ECSO (European Cybersecurity Organisation), infine, l’Unione Europea sta cercando di mettere in relazione i produttori informatici di 27 paesi membri, proprio per spingere nella direzione di uno sviluppo software che rispecchi le esigenze, anche di natura geopolitica, del sistema industriale europeo».