I trend dell’innovazione digitale si riflettono anche nel campo della sicurezza informatica, dove le nuove forme di attacco delle reti OT sono simili a quelle del mondo IT.
Undici esperti ci fanno riflettere su come contrastare le minacce in ambito industriale derivanti da cybercrime e hacker o, meglio, su quali fattori è indispensabile investire per proteggere il patrimonio d’informazioni.
di Luca Munari
Dall’edizione 2023 del rapporto Clusit sulla sicurezza ICT in Italia emerge un quadro preoccupante, anche se non inatteso, dove le ombre prevalgono sulle luci: attacchi in aumento a livello globale, l’Italia bersagliata significativamente e gli impianti produttivi sempre più sotto tiro. In tale contesto, quali sono le implicazioni per la security generate dai nuovi trend dell’innovazione digitale? In che modo contrastare le minacce in ambito industriale derivanti da cybercrime e hacker? O meglio, su quali fattori è indispensabile investire per proteggere il patrimonio d’informazioni? I pareri di alcuni esperti.
UN APPROCCIO INTEGRATO
Le tecnologie dell’informazione e della comunicazione sono sempre più connesse tra di loro e connesse al cloud, che espone maggiormente gli utenti ai cyber attacchi attraverso la sua costante connettività. L’ICT è spesso difficile da proteggere, in quanto le autorità di regolamentazione non consentono l’installazione di software e la scansione attiva spesso non è gradita, in quanto potrebbe bloccare o rallentare la produzione. D’altronde l’ICT è un obiettivo interessante per gli hacker che operano attraverso attacchi ransomware, in quanto il blocco della tecnologia operativa comporta un danno elevato.
Le aziende hanno bisogno di una buona visibilità del loro ambiente per combattere questo problema, oltre che di altre tattiche. Ciò include il filtraggio o la segmentazione della rete e soluzioni di sicurezza che siano OT-ready e comprendano, per esempio, il protocollo di comunicazione Modbus.
Le aziende dovrebbero altresì utilizzare il rilevamento delle anomalie affinché venga prontamente scoperto se i modelli di comunicazione dei dispositivi cambiano. Inoltre, bisogna sfruttare l’aumento dell’apprendimento automatico e dell’intelligenza artificiale e automatizzare dove possibile.
Importante è poi consolidare le soluzioni e integrarle nella rete e nell’infrastruttura, riducendo drasticamente il tempo dedicato alla configurazione e alla gestione delle soluzioni di sicurezza, diminuendo la superficie di attacco e i punti deboli. Infine, impiegare l’accesso zero-trust e la gestione dell’accesso all’identità lavorativa, che blocca i dati sensibili dietro barricate ancora più solide e consente di controllare le identità digitali. (Candid Wüest, Acronis)
Candid Wüest, Vice President Cyber Protection Research di Acronis.
INVESTIRE NELLA CONSAPEVOLEZZA
Le implicazioni dei nuovi trend dell’innovazione digitale hanno rivoluzionato il modo di lavorare: sempre più persone, infatti, operano in modalità mobile e ibrida, cambiando il concetto di perimetro lavorativo. Inoltre, gli asset fondamentali delle aziende, compresi quelli industriali, passano principalmente attraverso accessi web come CRM, ERP, e-mail o piattaforme cloud. Questo scenario aumenta il rischio di esposizione dei dati, quindi è essenziale adottare soluzioni che ne riducano la vulnerabilità.
Per contrastare le minacce derivanti da queste implicazioni, è necessario definire una strategia di cyber resilience che mappi tutti i processi, gli asset e le persone coinvolte, valutandoli dal punto di vista della sicurezza cibernetica. È altrettanto importante implementare soluzioni che rispondano alle esigenze e alle prove cibernetiche senza interrompere le operazioni aziendali. In caso di attacco, è fondamentale avere procedure di ripristino pronte per una risposta rapida e per limitare i danni.
Per proteggere il patrimonio d’informazioni, è indispensabile investire nell’awareness sia all’interno che all’esterno dell’azienda. A livello interno, è necessario sensibilizzare tutti i livelli dell’organizzazione, dal management ai dipendenti, attraverso iniziative e simulazioni di attacchi cibernetici al fine di far comprendere concretamente il rischio al consiglio di amministrazione. Inoltre, è fondamentale formare e sensibilizzare gli sviluppatori affinché diventino DevSecOps, integrando la sicurezza fin dalle prime fasi di sviluppo.
A livello esterno, è importante richiedere ai fornitori di compilare documenti che certifichino le misure di sicurezza adottate, seguite da adeguati provvedimenti di sicurezza. È consigliabile anche stabilire procedure standard per la selezione dei fornitori e istruire i dirigenti aziendali sull’applicazione di tali procedure per lavorare con fornitori qualificati e affidabili.
In conclusione, le implicazioni dei nuovi trend dell’innovazione digitale richiedono un approccio olistico alla sicurezza. È necessario investire nell’awareness, nella formazione, nella definizione di strategie di cyber resilience e nell’applicazione di adeguate misure di sicurezza per proteggere il patrimonio d’informazioni dalle minacce emergenti nel contesto digitale. (Lorenzo Asuni, Ermes Cyber Security)
Lorenzo Asuni, CMO di Ermes Cyber Security.
NESSUNO PUÒ COMBATTERE DA SOLO
Fino a pochi anni fa, gli ambienti OT erano intrinsecamente protetti in quanto chiusi e certificati. Negli ultimi anni, per ragioni di business e a causa della velocità nell’adottare nuove tecnologie, il gap di separazione tra i sistemi IT e quelli OT si è ridotto, ponendo nuovi rischi per la sicurezza. Tutto questo è inarrestabile perché, sempre di più, la digitalizzazione significa competitività per le aziende.
Attualmente, le infrastrutture OT italiane non hanno soluzioni di sicurezza all’avanguardia attive, beneficiano al più di Next Generation Firewall nel punto di contatto tra IT e OT e, molto più raramente, utilizzano sensori basati su AI e ML per il monitoraggio dei flussi. Per raggiungere un’architettura di sicurezza all’avanguardia bisognerebbe avere molto altro come switch capaci di isolare apparati all’interno della VLA, sistemi di deception, sistemi di sandboxing, SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response), Secure SD-WAN (Software-Defined Wide-Area Network), ZTNA (Zero Trust Network Access) …
Un’altra evoluzione della sicurezza, una delle più interessanti e importanti per il futuro, è rappresentata da meccanismi di automazione nella collaborazione, come il threat sharing e lo scambio di IoC (Indicators of Compromise), questo perché oggi nessuno da solo può combattere contro il cyber crime, neanche le big corporation.
In termini di investimenti, la prima cosa da fare è una Gap analysis per capire qual è l’attuale postura di sicurezza dell’azienda e quale si vuole ottenere, e per mettere in ordine le priorità necessarie per raggiungere l’obiettivo. A questo punto ci sono diversi elementi sui quali investire: un approccio di tipo security mesh, con soluzioni di sicurezza state-of-the-art, è l’ideale in questo momento storico. Il personale specializzato, che sia in grado di usare correttamente e al pieno potenziale le soluzioni, e un programma di training e awareness, per formare il personale non specializzato, sono un altro elemento verso cui destinare i propri investimenti dedicati alla sicurezza. (Aldo Di Mattia, Fortinet Italia)
Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet Italia.
VULNERABILITÀ DELLE RETI OT
I trend dell’innovazione digitale si riflettono anche nel campo della sicurezza informatica, dove le nuove forme di attacco delle reti OT sono simili a quelle del mondo IT. I cybercriminali non fanno distinzioni, individuano un obiettivo e lo attaccano con l’unico scopo di trarne profitto. Negli ultimi cinque anni, la situazione si è complicata poiché reti OT e IT convergono sempre di più, intersecandosi in molti casi. In un contesto in cui le minacce più comuni sono ransomware e data stealer, non è raro che gli attaccanti colpiscano un’azienda che ha anche reti OT a seguito di un attacco a quelle IT.
Nel settore industriale è importante scegliere soluzioni specifiche, tenendo conto delle diverse esigenze, e applicare alle reti OT le stesse metodologie di protezione utilizzate per quelle IT, come l’analisi dei rischi e la valutazione delle vulnerabilità. Se, in passato, le reti industriali venivano considerate sicure perché non connesse, oggi questa prospettiva non è più valida e le aziende devono considerare la digitalizzazione come un elemento essenziale anche per le reti OT se vogliono evitare interruzioni alla produzione a causa di attacchi informatici.
Investire in soluzioni di prevenzione adatte agli apparati industriali per proteggere il patrimonio di informazioni e i processi industriali è fondamentale. L’obiettivo è limitare la superficie di attacco e affrontare le vulnerabilità delle reti OT. È necessario aumentare la visibilità sui rischi e sulle minacce, cercando di anticipare e bloccare gli attacchi fin dai primi stadi, senza aspettare incidenti più gravi. Si tratta di un approccio complesso, soprattutto nel settore manifatturiero italiano, dove la propensione alla spesa di cybersecurity è bassa e gli attacchi informatici sono frequenti e dannosi. È essenziale adottare un approccio proattivo anziché reattivo per ridurre l’impatto e le conseguenze degli attacchi informatici. (Fabio Sammartino, Kaspersky Italia)
Fabio Sammartino, Head of Pre-Sales di Kaspersky Italia.
CENTRALITÀ DELLA FORMAZIONE
Lo scenario attuale degli attacchi informatici non è una novità. Da diversi anni, l’aumento degli incidenti legati alla sicurezza avviene con una certa costanza. Sicuramente tra le ragioni principali che favoriscono questo scenario c’è la lentezza nel procedere verso un percorso di ammodernamento tecnologico che sia in linea con il mondo in cui viviamo. Elemento particolarmente presente se guardiamo al mondo industriale. Ricordiamoci che le tecnologie obsolete non possono essere, nella stragrande maggioranza dei casi, protette adeguatamente con i moderni sistemi di prevention e detection. La logica conseguenza è che non esiste un criterio unico per offrire a tutte le componenti in gioco un livello di sicurezza adeguato. A questo si aggiunge il fatto che, pur esistendo una strategia nazionale cyber ben definita, purtroppo, non c’è un criterio di verifica del livello di sicurezza di tutti gli attori né, tantomeno, fondi e sgravi fiscali rivolti a questo scopo.
Per mitigare le minacce in ambito industriale, inoltre, credo che l’isolamento rispetto al mondo IT sia doveroso e necessario. Gli incidenti di sicurezza che abbiamo gestito, purtroppo, hanno dimostrato come gli attacchi rivolti al mondo IT si siano propagati all’interno dell’ambiente industriale e viceversa. Inoltre, dal momento che la sicurezza è un percorso senza fine, per proteggere il patrimonio d’informazioni, è necessario investire su una strategia di sicurezza che abbia come priorità la formazione e l’analisi delle vulnerabilità e dei rischi. (Carlo Mauceli, Microsoft Italia)
Carlo Mauceli, National Digital Officer di Microsoft Italia.
PROTEGGERE LE IDENTITÀ
Lo scenario preoccupante nel quale ci troviamo è figlio di un tardivo approccio strutturato alla sicurezza informatica. Lo scenario degli attacchi e soprattutto degli attaccanti è cambiato enormemente negli anni e purtroppo non siamo riusciti a stare al passo. Basti pensare che si è passati da singoli individui che provavano a impossessarsi di dati, a un vero e proprio mercato parallelo, dove software house producono e vendono RaaS (Ransomware As A Service) e aziende di Hacking si appoggiano a questo cloud per svolgere le loro attività (criminali).
In questo nuovo contesto, arrivare in ritardo sulla cybersicurezza significa essere il terreno fertile per queste aziende che, con molto meno sforzo, riescono a trarre il maggior profitto, proprio come succede in un normale contesto di business quando si aggredisce un nuovo mercato. Come tutti i report dimostrano, l’anello più debole della catena è proprio l’identità aziendale, che in un mercato già scoperto di suo, si trova soggetta a un vero e proprio bombardamento. Non a caso l’ITDR (Identity Treath Detection and Response) è stata identificata da Gartner come priorità dei CISO a livello mondiale.
Proteggere le identità, cercando di renderle sempre più sicure e mantenere sempre al massimo la nostra postura di sicurezza, potrebbe fare la differenza in caso di attacco. Ma bisogna anche sempre ricordarsi che noi giochiamo in difesa e avere un piano di resilienza che ci permetta di tornare in attività nel minor tempo possibile è fondamentale e parimenti importante. (Bruno Filippelli, Semperis).
Bruno Filippelli, Sales Director Italia di Semperis.
MIX DI STRATEGIE PREVENTIVE
La messa in sicurezza degli impianti industriali (come nel campo delle utility) richiede strumenti adeguati e correttamente configurati. La mancanza di tali strumenti potrebbe portare a riduzioni delle prestazioni o addirittura al downtime di un processo produttivo o di erogazione di un servizio. Oltre ai danni di immagine e alla perdita di denaro causati dalla mancata produzione, si potrebbero verificare anche problemi legati alla sicurezza delle persone e, in alcuni casi, danni ambientali.
In questo contesto, ServiTecno offre alcuni consigli utili.
Applicare una strategia di Anomaly Detection; è fondamentale rilevare il prima possibile anomalie, obsolescenze e non conformità relative a sistemi operativi, applicativi, reti e traffico di rete. Monitorare in modo passivo questi elementi consente di intervenire chirurgicamente senza impattare sulla produzione.
Aumentare la disponibilità dei sistemi fino alla Fault tolerance; esistono molte tecniche per migliorare l’uptime (sia su dispositivi fisici che per applicazioni 100% virtualizzate) e raggiungere percentuali elevate come il 99,99% o addirittura il 99,999%.
Ripartenza lampo: è determinante avere un “piano B” in caso di downtime non programmato. ServiTecno raccomanda di eseguire il versioning degli applicativi di processo, verificare accuratamente i cambiamenti e, soprattutto, effettuare backup costanti degli applicativi. Questo può fare la differenza in termini di tempo quando si devono riavviare macchine e impianti dopo un attacco informatico o un incidente.
In conclusione, la cybersecurity industriale richiede una combinazione di strategie preventive e soluzioni tecnologiche avanzate ma anche un approccio olistico che comprenda IT e OT. (Francesco Tieghi, ServiTecno)
Francesco Tieghi, Marketing e comunicazione di ServiTecno.
PIÙ CULTURA DELLA SICUREZZA
Nel contesto attuale, in cui le minacce informatiche si sono moltiplicate e l’Italia è un bersaglio significativo, diventa indispensabile investire in specifici fattori per garantire la protezione dei sistemi informatici.
Uno degli ambiti chiave in cui è necessario concentrare gli investimenti è rappresentato dalle tecnologie emergenti. L’intelligenza artificiale e l’apprendimento automatico possono svolgere un ruolo fondamentale nel rilevare e prevenire le minacce cibernetiche in modo rapido ed efficiente. Grazie alla capacità di analizzare grandi quantità di dati e riconoscere modelli anomali, queste tecnologie possono aiutare a identificare attività sospette e adattare le misure di sicurezza di conseguenza.
Allo stesso modo, la protezione dei dati e delle infrastrutture deve essere una priorità assoluta. Le organizzazioni devono investire in soluzioni avanzate di crittografia e autenticazione per garantire che le informazioni sensibili siano protette e che solo le persone autorizzate abbiano accesso ad esse. Inoltre, è fondamentale implementare politiche di backup e disaster recovery per mitigare gli effetti devastanti di un attacco informatico e ripristinare rapidamente le operazioni normali.
Oltre alla tecnologia, la formazione e la consapevolezza sono fattori determinanti. Gli utenti devono essere adeguatamente istruiti sulle best practice di sicurezza informatica, come l’utilizzo di password complesse, l’attenzione agli allegati sospetti e la protezione dei dispositivi personali. Una cultura della sicurezza informatica all’interno delle organizzazioni è essenziale per prevenire attacchi e garantire che tutti i dipendenti siano a conoscenza dei rischi informatici che potrebbero interessarli.
Infine, la collaborazione tra il settore pubblico e privato è cruciale. Le autorità competenti devono promuovere la condivisione delle informazioni sulle minacce e favorire la creazione di partnership tra le imprese per affrontare in modo efficace le sfide comuni. Solo attraverso una sinergia di sforzi e una cooperazione stretta sarà possibile mitigare le minacce e proteggere l’ambiente informatico in un contesto sempre più interconnesso e vulnerabile.
In conclusione, investire in tecnologie avanzate, protezione dei dati, formazione e collaborazione è essenziale per contrastare le minacce cibernetiche e proteggere le infrastrutture informatiche. Solo attraverso un approccio olistico e una consapevolezza diffusa sarà possibile affrontare le sfide emergenti e garantire una cybersecurity solida e resiliente. (Gregorio Andreoli, Siemens)
Gregorio Andreoli, Cybersecurity & Network Engineer di Siemens.
TECNOLOGIE E SINERGIE
Per quanto il quadro generale mostri una costante esposizione delle nostre aziende alle minacce cyber, è da evidenziare che l’impatto di attacchi che possono essere classificati come comuni, risulta essere sempre meno drammatico. Questo fenomeno trova spiegazione nel fatto che le aziende e i prodotti stanno evolvendo e le rispettive strategie di difesa riescono sempre più a limitare l’efficacia di questo tipo di azioni.
Quanto esposto non deve portare il lettore a prospettive rosee, al contrario deve essere spunto di riflessione in quanto come ogni mercato, anche quello del cybercrime ha le sue dinamiche. Statisticamente le operazioni criminali che vengono registrate quotidianamente sono operazioni a scopo di lucro, esse hanno come modello il collaudato ransomware, ossia rendere indisponibili i sistemi tramite cifratura dei dati e prospettare una rapida soluzione a fronte di un pagamento. Questo tipo di attacchi evidentemente vede nell’efficacia dell’operazione di cifratura la variabile determinante per il successo, se le strategie di difesa riescono a prevenire o a reagire a questo tipo di minaccia, viene meno il guadagno. Partendo da questa analisi diviene evidente quanto il mondo del cybercrime sia motivato nell’esplorare nuove frontiere e tecniche di attacco e il mondo industriale rappresenta proprio questa opportunità.
Fino ad oggi attenzionare le dinamiche proprie di questo contesto è stato per le organizzazioni criminali poco conveniente. Si deve considerare un attacco agli impianti non solo un attacco IT come quello descritto in precedenza, ma nuove tecniche di manomissione incentrate sulla manipolazione e la compromissione del processo, vero asset strategico nel contesto dell’Operational Technologies. In questo contesto, le tecnologie e le strategie di difesa risultano spesso acerbe e poco efficaci, chiaramente un’occasione per le organizzazioni criminali che cercano di sfruttare per il proprio tornaconto proprio queste situazioni.
Occorre quindi iniziare a investire in nuove tecnologie e sinergie in grado di colmare questo gap. In un contesto di Skill Shortage e rapida evoluzione come quello odierno, è fondamentale adottare una strategia dinamica basata sull’ausilio di competenze esterne e soprattutto su tecnologie di sicurezza che possano certificare elevati standard di qualità. Una strategia di difesa efficace, volta a creare un sistema di prodotti e competenze in grado di garantire un adeguato livello di visibilità e controllo sull’intera infrastruttura, contestualizzato con le attività operative e conforme ai più recenti framework di sicurezza, quali IEC 42443 e NIS2. (Davide Pala, Stormshield)
Davide Pala, Presales Engineer di Stormshield.
SALVAGUARDIA A TUTTI I LIVELLI
La sicurezza in ambito Industry 4.0 deve essere intesa come un percorso e per proteggersi al meglio è bene agire simultaneamente sia da un punto di vista della cultura e della formazione sia dal punto di vista tecnico. Per quanto riguarda quest’ultimo, è necessario introdurre specifiche soluzioni dedicate proprio alle parti produttive e integrate con l’intera strategia di security. Da un punto di vista formativo, culturale e umano, invece, i responsabili della security degli impianti di produzione e gli addetti ai lavori devono essere consapevoli dei nuovi rischi e di come questi riguardino le proprietà intellettuali, gli asset strategici, la reputazione dell’organizzazione in caso di furti di dati, ma anche la possibilità di danni fisici a cose o persone, sia all’interno degli impianti che all’esterno.
Le minacce all’Industry 4.0 sono in costante aumento e mutazione. Attraverso indagini dei nostri laboratori abbiamo scoperto, per esempio, vulnerabilità nei protocolli IoT industriali, nelle interfacce uomo macchina degli impianti idroelettrici, nei radio controlli dei cantieri che pilotano gru e macchinari e nei robot delle catene di produzione. Abbiamo anche indagato su come alcune caratteristiche dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e permettere a un aggressore di creare nuove tipologie di malware. Per proteggere i processi industriali si deve pensare a una strategia di security che metta in sicurezza l’intera organizzazione, non solo alcune parti. L’infrastruttura va protetta a tutti i suoi livelli, a partire dagli endpoint (PC, tablet, ma anche macchinari) e passando per le reti, server ...
Per quanto riguarda soluzioni specifiche in ambito Industry 4.0, Trend Micro, con la sua divisione TxOne, propone soluzioni di protezione bordo macchina e rete. Tra le soluzioni a bordo macchina troviamo TXOne StellarProtect, che abilita una security nativa per gli endpoint ICS in grado di proteggere da malware conosciuti e non, attraverso il machine learning. Inoltre, questa soluzione si caratterizza per avere un limitato impatto sulle prestazioni del dispositivo OT attraverso un approccio di tipo Lock Down in grado di consentire la sola esecuzione di ciò che è presente sul sistema e quindi funzionale all’esecuzione del compito previsto all’interno della catena produttiva. Altra soluzione sempre orientata al bordo macchina è Portable Security, uno strumento di analisi e rimozione malware sotto forma di unità flash USB che si può utilizzare in ambienti in cui la connessione Internet non è disponibile o dove non può essere installato il software anti-malware.
Infine, proponiamo anche soluzioni di protezione a livello rete, chiamate TxOne EdgeIPS ed EdgeFirewall, che implementano l’analisi del network OT con specifiche funzionalità di protezione da vulnerabilità IT/OT e protocol filtering. Questo tipo di soluzioni sono in grado di proteggere i dispositivi IIoT attraverso la rete ove essi risiedono senza la necessità di richiedere una riprogrammazione della stessa. È bene però non limitarsi a implementare solo soluzioni specifiche per proteggere questa tipologia di impianti, ma anche soluzioni di più ampio respiro che abilitino una strategia completa, come Trend Micro Deep Discovery, la soluzione più completa sul mercato per rilevare gli attacchi mirati e i movimenti laterali sulla rete in tempo reale avvalendosi anche di capacità di machine learning e custom sandboxing. (Alex Galimi, Trend Micro Italia)
Alex Galimi, SE Team Leader di Trend Micro Italia.
IN PRIMIS IDENTIFICARE LA DIFESA
Il rapporto del Clusit fotografa la realtà nazionale che non si discosta molto rispetto a ciò che accade in Europa e nel mondo. Da una nostra indagine relativa al 2022, realizzata con Frost & Sullivan è emerso, tra l’altro, che il 94% degli incidenti cyber nel mondo IT impattano le Operations, che il 70% degli intervistati ha tentato di estendere soluzioni di protezione degli endpoint IT nel mondo OT - naturalmente con risultati negativi - e che il 66% delle vulnerabilità in un impianto industriale sono generate dal comportamento del personale di Automation. Da queste informazioni si deduce che è indispensabile proteggere le Operations con tecnologie OT native, che riconoscano automaticamente i protocolli industriali, e addestrare contemporaneamente il personale di Automation a produrre o erogare servizi al cittadino con un’attenzione particolare alla cybersecurity.
Noi di TXOne Networks consigliamo ai nostri clienti di identificare prima di tutto una strategia di difesa e di risposta agli incidenti cyber, in questo caso proponiamo la strategia OT Zero Trust che blocca le minacce cyber con il concetto del “Least Privilege Manner”, ovvero chi non è autorizzato a circolare nella rete industriale viene immediatamente bloccato, evitando o mitigando il fermo impianto.
Le tecnologie Stellar AV/AM con OTEDR - a protezione degli endpoint industriali a partire dal Windows XP, Windows 7 in su - le tecnologie Edge di IPS/IDS a Firewall a livello shop floor, e la tecnologia di Security Inspection agent free consentono di supportare con successo l’approccio OT Zero Trust, così come viene confermato dai nostri più di 3.600 clienti nel mondo. (Maurizio Milazzo, TXOne Networks) ©ÈUREKA!
Maurizio Milazzo, Director South Europe di TXOne Networks.