Come proteggere l’industria connessa

L’inarrestabile diffusione di Internet of Things e di Industry 4.0 con la conseguente conn essione in rete di un gran numero di sistemi e di oggetti ha messo in luce quanto sia indispensabile proteggere gli impianti e i dati dagli attacchi hacker. Da ICS Forum le “dritte” per partire con il piede giusto. Maurizio Cacciamani

Grande successo di pubblico - e non avrebbe potuto essere diversamente in quanto l’argomento è proprio “molto caldo” - per la prima edizione di ICS Forum - Industrial Cyber Security. Organizzato a Milano a fine gennaio da Messe Frankfurt in collaborazione con Innovation Post, rappresenta un’altra tappa di avvicinamento alla fiera SPS IPC Drives Italia.
Sul tavolo, dunque, il tema  “Cultura e tecnologie per l’industria connessa a protetta”.
La partecipazione di oltre 500 persone ha confermato, nei fatti, come l’interesse verso la Cyber Security (CS nel seguito, Ndr.) e gli strumenti per metterla in pratica siano quanto mai all’ordine del giorno.
In apertura lavori, l’AD di Messe Frankfurt Italia, Donald Wich, ha ribadito il proposito e la necessità di fare massima chiarezza sull’argomento. Così,  ricordando fra l’altro che «Connecting minds, creating the future» sarà il tema conduttore di Expo 2020 a Dubai, ha confermato che la CS terrà banco anche alla prossima SPS di Parma.
Fabio Marchetti di ANIE ha poi sottolineato come l’entrata in vigore del piano Calenda abbia fatto da detonatore in questo ambito, dato che il software industriale è elemento fondamentale per il funzionamento dei sistemi Industry 4.0 cui bisogna garantire la massima sicurezza.

Lo stato di fatto
I sistemi industriali che, con qualche eccezione, erano praticamente segregati (forse anche a causa di una certa arretratezza), ora si trovano improvvisamente a subire attacchi esterni che in passato coinvolgevano solo la parte IT delle aziende.
È, questa, una situazione destinata a peggiorare: bisogna infatti guardarsi non solo dai malware ma anche da attacchi criminali che tentano di impossessarsi dei segreti aziendali ovvero della proprietà intellettuale (brevetti in studio, ricette, disegni, piani strategici). È in aumento non solo il numero degli attacchi ma anche la loro intensità e la loro gravità, con incrementi a 2 cifre.
Tutti pensano che gli attacchi siano mirati, in realtà sono standard e prevedibili e i criminali prediligono sistemi facili da colpire come quelli non o poco protetti.
Dato che è molto semplice reperire in rete informazioni relative alle persone che contano in ambito IT e anche OT o HR, gli attaccanti studiano email ad hoc per potersi insinuare nei sistemi di queste persone.
Gli hacker attaccano gli oggetti “deboli”, come quelli basati su sistemi Android, utilizzati anche sulle automobili per info-entertainment. Che la CS non sia ancora presa in considerazione seriamente è dimostrato dal fatto che, in rete, vi sono gli indirizzi di 147 PLC collegati che possono quindi essere attaccati facilmente.
La cosa positiva è che, nella realtà, le connessioni non sono ancora numerose:  per esempio, negli USA solo il 14% delle aziende è interconnesso.

Che fare?
Ricordando che non esiste protezione completa dagli attacchi hacker, è molto importante fare opera di sensibilizzazione sulla CS a tutti i livelli aziendali. Allo scopo è utile la formazione di comitati, che comprendano anche i vertici aziendali, per pianificare, controllare le attività di implementazione della CS e del monitoraggio degli attacchi.

Analisi di fattibilità (assessment). Molti si fermano a questa fase che, pur importante, non è sufficiente a proteggere: non basta sapere dove sono gli accessi insicuri! È comunque indispensabile capire cosa bisogna implementare prima di iniziare.

Cyber Security Check. Per cominciare può essere d’aiuto rispondere alle 14 semplici domande del Cyber Security Check di Assolombarda, per valutare il livello di sicurezza e di esposizione dell’azienda e ottenere un giudizio complessivo relativo al livello di rischio. Chi lo desidera, può chiedere ad Assolombarda un’assistenza individuale (cybersecurity.assolombarda.it).

Studiare le normative americane, la IEC 62443 e le norme europee ISO 27001. Questo complesso di norme indica, nelle diverse parti, come gestire la security, gli aspetti delle soluzioni, i prodotti da utilizzare, come segmentare la struttura di rete (celle, collegamenti, protezione).
Quali sono i vantaggi della certificazione? Anzitutto vengono applicate attività di buona pratica, misure di prevenzione e di valutazione. La normativa americana è la prima a mettere in relazione la sicurezza dell’uomo e della macchina (IEC 61508) con la CS (IEC 62443).

Appoggiarsi a centri istituiti dai fornitori. È il caso di ABB o GE, che hanno  messo a punto dei centri per le utility, dotati di sistemi di monitoraggio e di back up per poter ripartire velocemente in caso di attacco. Anche Saipem fornisce ai propri clienti servizi del genere, mentre l’Uni Roma3 ha sviluppato un software dedicato che può essere utilizzato sia dalle utility sia dalle aziende.

I problemi da affrontare
Riassumiamo nel seguito le problematiche emerse nel corso delle tavole rotonde.
- Il fattore umano nella CS conta, eccome! Una recente ricerca ha mostrato come il 60% delle persone clicca là dove non dovrebbe, il 43% (anche dirigenti) fornisce le credenziali aziendali.
- La mancanza di dialogo tra IT e OT, che hanno sempre lavorato in ambienti diversi, è un ostacolo: l’IT vive la CS come una sfida, cerca di stare al passo, simula gli attacchi; l’OT è più conservativo, poco propenso al cambiamento, rimane in attesa degli attacchi anche se ora è più sensibile all’argomento. Il concetto Internet-Cloud-hardware-sofware non è stato ancora metabolizzato dagli operatori OT.
- IoT e Industry 4.0 hanno favorito l’utilizzo di componenti non progettati per la nuova comunicazione, per cui vengono utilizzati sistemi molto insicuri e non certificati.
- È necessario essere consapevoli che l’intrusione nei sistemi produttivi, oltre a comportare il furto dei dati, può potenzialmente arrecare anche danni fisici agli operatori causati dal software corrotto.
- Nei sistemi OT si usano protocolli diversi e a volte anche obsoleti (basati su Windows XP non più aggiornabili) e, in genere, l’aggiornamento è piuttosto lento; di solito i sistemi operano in condizioni ambientali critiche che favoriscono gli attacchi. In ambito industriale i sistemi più attaccabili sono SCADA, robot, AGV, i tablet e i telefonini.
- Le vecchie abitudini sono difficili da estirpare: in ambito industriale si usa ancora la chiavetta USB per aggiornare i software… Uno dei cavalli di troia del malwere!
- In Italia l’imprenditore molto reattivo al mercato investe in nuovi sistemi trascurando la CS, oppure prendendola in considerazione solo in un secondo momento.
- Permane la difficoltà di aggiornamento del software industriale, dato che richiede sempre un fermo macchina non tollerato in azienda: è più importante il funzionamento continuo, e quindi la produttività, della CS.

Come proteggersi?
Il miglior antivirus è... il buonsenso.
• Occorre anzitutto rendere consapevoli le persone che operano in azienda sul fatto che il dubbio non è “se” ci sarà un attacco, ma “quando” avverrà.
Premesso che la sicurezza non è un costo ma un investimento a lungo termine, conviene applicare subito in fabbrica come minimo le protezioni usate nell’IT.
• Fare il monitoraggio stringente per individuare in tempo i sintomi di attacchi in corso, pianificare i possibili attacchi ed essere in grado di tornare nel tempo più breve possibile alle condizioni iniziali. Spesso le aziende si accorgono di essere sotto attacco dopo mesi, qualcuno dopo un anno!
• Il cloud può essere la soluzione della CS, ma prima vanno risolti i problemi di security degli impianti industriali. Il cloud comunque espone il dato agli attacchi, per cui è prudente non utilizzarlo, per esempio, come qualcuno stava per fare, come archivio brevetti e disegni!
• Fondamentale è mantenere aggiornatissimi i sistemi operativi dei sistemi e delle macchine. I sistemi operativi però devono essere installati solo dopo il test di compatibilità (in genere effettuato dal fornitore), per cui non va installata qualsiasi patch che, se non testata, può essere un rimedio peggiore del male.
• Utilizzare solo prodotti CS garantiti, privilegiando fornitori premium. La garanzia deve valere anche durante la fase del trasporto del prodotto per evitare la duplicazione. Scegliere tecnologie testate e “by designed” per poter risolvere i propri specifici problemi di CS.
• Fare un’assicurazione che copra i danni dovuti ad attacchi degli hacker per responsabilità civile/inadempimento dovuto, interruzione attività di terzi, interventi di ripristino, costo delle notifiche, investigazione forense, interruzione propria attività. Non è possibile assicurare il danno reputazionale, il danno legato al rischio di impresa oltre, ovviamente, all’aggiornamento software e all’aggiornamento del personale. È consigliabile rileggere i contratti con i fornitori alla luce della stipula di un contratto di assicurazione. Un’assicurazione, come dimostrato da casi recenti, può salvare la vita dell’azienda!
• Addestrare il personale è fondamentale non solo sulle nuove norme che regolano la privacy (se ne parlerà più avanti) ma anche sulla CS. Come già detto sopra, l’aspetto umano è uno dei lati deboli. Possibili contromisure? L’internal phishing per esempio, campagne awarness, attacchi simulati per capire il grado di reazione delle persone in azienda, il tutto ovviamente fatto e studiato in collaborazione con l’HR.

Cosa c’è nel futuro 
Grazie allo sviluppo dei block chain verranno semplificate e automatizzate le operazioni di sicurezza che diventeranno sempre più complesse. Sistemi  decentralizzati, layer applicativo open source molto piccolo, informazioni non cancellabili sono i vantaggi offerti da questa tecnologia. Nonché utilizzo dell’intelligenza artificiale per analizzare il malware.

La prossime scadenze, in sintesi
• Il 25 maggio 2018 scattano le nuove regole relative alla protezione di dati personali che tutelano le informazioni relative a dipendenti e clienti e cosiddette GDPR, General Data Protection Regulation - Regolamento UE 2016/679. La speranza è che contribuiscano a cambiare la prospettiva: da regole sulla privacy da rispettare ad attività pianificate di protezione dei dati personali.
Secondo la nuova norma, le violazioni devono essere valutate e comunicate al garante. In caso di grave anomalia occorre informare anche i clienti con conseguente perdita di immagine. Da sottolineare che, da quella data, il furto di informazioni è sottoposto a procedimento penale. Si spera che questa nuova legge funga da stimolo per sbloccare i budget delle aziende da dedicare alla CS. Coloro che fossero interessati a gestire internamente all’azienda il GDPR possono trovare ulteriori informazioni nel sito del Garante della privacy (http://bit.ly/Garante_GDPR).
• Entro il 9 giugno 2018 il Governo italiano deve approvare la nuova Direttiva europea 943 sulla protezione del know-how e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti. Le aziende si trovano quindi nella situazione di organizzare attività efficaci in modo da proteggere il segreto industriale ovvero devono provare la sua esistenza. Questo significa organizzare misure di difesa e affrontare costi per mantenere il segreto relativo a clienti, fornitori, piani strategici, ecc.
• A settembre 2018, per aiutare società ed enti a difendere le infrastrutture strategiche (energia, trasporti, difesa) dai cyber attacchi, la commissione Europea istituirà la nuova Agenzia Europea per la Difesa Cibernetica che sostituirà quella attuale che giunge al termine del mandato.
• Approvazione a livello italiano della Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. L’obiettivo della direttiva è raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE.
I tre punti chiave della direttiva NIS sono: migliorare le capacità di CS dei singoli Stati dell’Unione; aumentare il livello di cooperazione tra gli Stati dell’Unione; obbligo di gestione dei rischi e di riportare gli incidenti di una certa entità da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali. Ogni Stato infatti dovrà dotarsi, qualora già non l’avesse, di una strategia nazionale di cyber security che definisca gli obiettivi strategici, le politiche adeguate e le misure di regolamentazione. Tra gli aspetti che una strategia nazionale dovrebbe comprendere vengono citati gli obiettivi strategici, le priorità nazionali, la governance, l’individuazione di misure preventive, di risposta e di ripristino; sensibilizzazione, formazione ed istruzione; incentivazione della cooperazione tra settore pubblico e settore privato; lista degli attori coinvolti nell’attuazione della strategia.      

Tavole rotonde e workshop
A ICS Forum - Industrial Cyber Security (30 gennaio, Milano) si sono svolte 4 tavole rotonde: 2 al mattino coordinate da Franco Canna di Innovation Post, e due al pomeriggio coordinate da Jole Saggese della rivista Class, con la partecipazione di una trentina di relatori, che hanno stimolato l’attenzione intorno ai seguenti argomenti:  
- La cyber security industriale nel percorso di digital transformation delle imprese manifatturiere. I numeri del cyber rischio, assessment e indicazioni per le PMI.
- Dalla direttiva NIS (Network and Information Security) al GDPR (General Data Protection Regulation): aspetti legali e normativi della cyber security. Strategie di gestione del rischio.
- I protagonisti e le tecnologie per l’industria connessa e sicura.
- Dissecting Scara (in)security.
Otto workshop con Siemens, Phoenix Contact, Schneider Electric, Gruppo Sigla/Stormshield, Kaspersky, ESA Automation/KPMG, Fortinet e Servitecno completavano l’intenso programma. Il Forum prevedeva anche un’area espositiva con la partecipazione di una ventina di aziende, enti ed editori.

Maurizio Cacciamani
Marcom specialist & technical writer about automation, innovation and packaging                                                           

 

Il nostro network