Dodici riflessioni sulla cybersecurity indicano le tendenze in atto

L’evoluzione tecnologica di Industry 4.0 è una realtà complessa, nella quale la preoccupazione dei lavoratori non è rivolta solo all’automazione industriale, ma anche e soprattutto alla sicurezza informatica.

Quali sono le tendenze in atto nel mercato sul tema cybersecurity a livello industriale? A quali elementi le aziende danno più rilevanza e su quali aspetti si stanno concentrando i loro maggiori investimenti? Vi presentiamo uno scenario della situazione attuale, dove alcuni fornitori di soluzioni, nella nuova era della sicurezza, spiegano il loro punto di vista. Grazie a una ricerca e a undici riflessioni dei principali attori del comparto scopriamo le vie da seguire per un ambiente totalmente sicuro.

di Mario Galli

Barometro Cybersecurity è una survey, realizzata da NetConsulting cube (www.netconsultingcube.com) in collaborazione con EUCACS (https://www.eucacs.org), da luglio a ottobre 2018, ideato d’intesa con InTheCyber e condotta sia in modalità web sia tramite interviste dirette a Chief Security Officer, Chief Information Officer, Chief Information Security Officer e Chief Technology Officer di 72 aziende di media e grande dimensione, Enti Pubblici locali e istituti sanitari pubblici e privati accreditati. Dalla ricerca emergono Telecomunicazioni, Banche e Utility i settori più maturi e un ritardo di PA e Sanità. Cresce l’esposizione di sistemi SCADA e IoT, non ancora adeguatamente protetti, mentre risulta critico il gap di risorse e competenze.

Lo scenario emerso rappresenta dunque il persistere di gap su alcuni fronti, pur in presenza di un progresso rispetto agli scorsi anni per effetto di una maggiore consapevolezza dei rischi connessi alle minacce cyber e grazie alla pressione esercitata sulle aziende dall’entrata in vigore della GDPR.

I gap da colmare riguardano principalmente: competenze sul fronte tecnico e formazione delle risorse, considerato che il fattore umano continua a rappresentare un anello debole non trascurabile; le Policy by design, che devono sempre più essere integrate nei processi di sviluppo software, così come essere embedded nei nuovi dispositivi connessi; gli ambienti IoT e SCADA, maggiormente esposti al rischio di cyberattacchi, soprattutto per l’elevata dispersione sul territorio, e ad oggi non ancora adeguatamente protetti; la necessità di un ulteriore processo di sensibilizzazione, compreso il miglioramento del rapporto tra partner, fornitori e clienti in ottica di shared responsibility.

Il potenziamento delle capacità di analisi predittiva, attraverso tecnologie di Artificial Intelligence e di Threat intelligence (oltre che di team dedicati, siano essi interni o esterni) rappresenta un ulteriore fattore che consentirà di migliorare strumenti di difesa e di prevenzione, aumentando il livello di protezione dalle minacce.

Una maggiore diffusione di standard in grado di permeare l’intera organizzazione consentirà di acquisire un approccio e un modello di governance, oltre che una maggiore consapevolezza dell’importanza della cybersecurity a tutti i livelli aziendali.

La cyberdifesa di un’organizzazione non può prescindere da quella componente umana che, involontariamente, costituisce una delle principali vulnerabilità. A programmi di formazione specifica deve essere affiancata una struttura organizzativa in grado di reagire e prevenire le minacce cyber, una criticità alla quale le organizzazioni intervistate pongono rimedio con la ricerca di profili specialistici e skill innovativi, non sempre però facilmente reperibili sul mercato del lavoro.

Su questo aspetto si rende indispensabile una maggiore focalizzazione dei programmi universitari su temi che consentano nel medio-lungo termine lo sviluppo di competenze in grado di rispondere alle esigenze delle aziende.

Infine, è auspicabile una collaborazione attiva tra gli stakeholder in grado di fornire quel contributo alla difesa complessiva delle stesse organizzazioni, oltre che a livello di Sistema Paese che, invece, i regolamenti “costringono ad introdurre”, ma con i tempi lunghi che la burocrazia impone.

DIFESA “FULL SPECTRUM” 

L’evoluzione tecnologica di Industry 4.0 è una realtà complessa, nella quale la preoccupazione dei lavoratori non è rivolta solo all’automazione industriale, ma anche e soprattutto alla sicurezza informatica. Il sistema produttivo sempre più digitale e interconnesso su cui si basano le smart factory comporta inevitabilmente una maggiore vulnerabilità informatica, con l’aggravante dell’impatto che i sistemi industriali comportano anche sul mondo fisico. Per queste ragioni, le aziende stanno cercando di divenire sempre più rapide e flessibili nel limitare la propria vulnerabilità, fornendosi di un’infrastruttura applicativa altamente fruibile e sicura. In modo particolare, A10 Networks, azienda specializzata in Application Visibility Performance and Security, rileva come le aziende negli ultimi anni hanno notevolmente investito nell’upgrade delle proprie applicazioni per ottenere un livello di efficienza maggiore e divenire a mano a mano “Full-Cloud”. Questo comporta la loro maggiore esposizione ad attacchi malevoli come gli attacchi denial of service distribuiti (DDoS), divenuti ormai sempre più imprevedibili e complessi. Le strategie di attacco DDoS, infatti, non si limitano più alle ondate massive di traffico malevolo, ma agiscono ormai anche “lentamente e con basso profilo”, in modo che l’attacco non possa essere immediatamente rilevato fino a quando non è effettivamente in corso. Per questa ragione, le aziende manifatturiere devono munirsi di una difesa aziendale “Full Spectrum” per rilevare e mitigare questi attacchi e A10 Networks (https://www.a10networks.com) lavora costantemente proprio per garantire loro protezione ed efficienza produttiva.

Mettiamo a disposizione un’unica soluzione avanzata per proteggere le fabbriche dei nostri clienti da attacchi DDoS on-premise e con scrubbing cloud, supportata dal nostro team DDoS SIRT. La precisione chirurgica e l’approccio ibrido a spettro completo di questa soluzione permettono alle organizzazioni di essere resilienti agli attacchi DDoS in modo efficace e con investimenti contenuti. (Alberto Crivelli)

 

Alberto Crivelli, Country Manager di A10 Networks Italia.

APPROCCIO MULTILIVELLO 

Alcune aziende hanno dimostrato di portare il tema della cybersecurity sul tavolo esecutivo, ma purtroppo non si tratta ancora di un comportamento adottato da tutte le organizzazioni. Tuttavia, molti hanno capito che non è più possibile rimandare l’appuntamento con la sicurezza. Tutti i settori, infatti, stanno affrontando attacchi di quinta generazione, che si caratterizzano per la portata su larga scala e la rapidità di diffusione in tutti i settori. Questi attacchi così sofisticati, che coinvolgono le reti aziendali, i sistemi cloud e i dispositivi mobili, aggirano facilmente le tradizionali protezioni basate sul rilevamento statico attualmente utilizzate dalla maggior parte delle organizzazioni. Analizzando lo stato dell’arte della sicurezza informatica contro gli attacchi di quinta generazione, abbiamo rilevato che solo il 3% delle organizzazioni impiega strumenti e tecniche di quinta generazione.

Threat prevention, cloud security e mobile security sono, quindi, i tre punti nevralgici che costituiscono la strategia di Check Point Software Technologies (https://www.checkpoint.com) e sui quali ogni organizzazione dovrebbe puntare per una solida sicurezza informatica, attraverso l’adozione di un approccio multilivello, capace di implementare una tecnologia che sia in grado di far fronte a tutti i tipi di attacchi e minacce. È necessario rispondere agli attacchi Gen V con una sicurezza Gen V: una protezione avanzata dalle minacce che prevenga in modo uniforme gli attacchi, tutelando l’intera infrastruttura IT aziendale. Questo approccio colmerà saldamente il divario nella generazione di sicurezza e garantirà che rimanga chiuso. (Marco Urciuoli)

 

Marco Urciuoli, Country Manager Italy di Check Point Software Technologies.

INVESTIRE IN SOLUZIONI INTELLIGENTI 

Gran parte del nostro tessuto industriale fatica ad avvantaggiarsi dell’integrazione tra IT e OT e a guadagnare una maggior consapevolezza dei rischi che si corrono da un lato nell’autoescludersi da un contesto digitale con cui, volente o nolente, ci si deve confrontare, e, dall’altro, nell’affrontare questa rivoluzione alla leggera, esponendo su Internet sistemi vitali per l’impresa senza una sufficiente protezione (circa 11.000 in Italia nel 2017). L’automazione e gestione remota dei processi produttivi richiede che si considerino attentamente alcune specificità del settore: gran parte dei sistemi che gestiscono i macchinari industriali montano spesso OS obsoleti e, in taluni casi, purtroppo non aggiornabili, quindi altamente vulnerabili. Sistemi un tempo isolati, che oggi entrano in contatto non solo con Internet, ma anche con device mobili o dispositivi esterni al perimetro che rappresentano un enorme fattore di rischio in termini di produttività industriale e garanzia di integrità del patrimonio d’informazioni. Riteniamo urgente investire in soluzioni di cybersecurity intelligente, che, al di là di una essenziale cifratura del traffico da e verso l’Impresa 4.0, blocchino eventuali minacce interne o esterne con tecnologie next-gen, consentano di inventariare qualsiasi dispositivo connesso alla rete, di monitorarne lo stato operativo, di facilitare il patching tempestivo (ove possibile) e di gestire centralmente le policy di sicurezza di ogni host, indipendentemente dal luogo in cui esso si trovi o dalla tipologia dello stesso (https://www.gdata.it). (Giulio Vada)

 Giulio Vada, Country Manager G DATA Italia.

ELEMENTO CENTRALE DEL BUSINESS

L’Industry 4.0 ha rivoluzionato il settore Manufacturing, un comparto dove la digital transformation impone obiettivi sempre più sfidanti e trasformazioni sempre più radicali. L’implementazione di numerose tecnologie connesse come IoT e cloud, pongono il tema della cybersecurity ancora elemento centrale nella gestione del business e in particolare della supply chain, al cui interno gli utenti operano sempre più in mobilità, utilizzando anche i propri device quali smartphone e tablet.

MHT (https://www.mht.net), come digital innovation partner di Microsoft da più di 20 anni, ha verificato che l’attenzione alla cybersecurity continua ad essere certamente importante, ma quello che accade più spesso è dover spiegare al cliente che i potenziali dubbi e pregiudizi che potrebbe avere su questo tema sono veri solo parzialmente.

Una supply chain iperconnessa, che si avvale delle funzionalità di intelligenza artificiale (AI) e machine learning, guadagna in termini di costruzione di un modello efficace, velocità produttiva e gestione dei macchinari utilizzati. L’investimento dell’azienda deve pertanto orientarsi verso la creazione di una partnership con vendor di soluzioni in grado di offrire sia funzionalità e opportunità tecnologicamente più avanzate, sia i livelli di sicurezza indispensabili per la protezione dei dati e degli accessi. Microsoft offre molteplici strumenti dedicati alla cybersecurity, assicurando anche le funzionalità applicative all’interno dei propri data center e predisponendo la crittografazione delle informazioni. (Claudio Valtorta)

 

Claudio Valtorta, Pre-Sales Manager di MHT.

IMPEGNO GLOBALE 

La crescente interconnessione degli oggetti e l’IIoT offrono ai cybercriminali un numero sempre maggiore di potenziali obiettivi, ampliando il perimetro e incrementando esponenzialmente il rischio di cadere vittima degli attacchi informatici. La protezione dalle minacce si basa sulla gestione del rischio e coinvolge sia l’aspetto fisico sia l’aspetto virtuale: è quindi essenziale affiancare alla sicurezza della rete la protezione dell’identità e del dato. Sulla base della nostra esperienza, notiamo che il mercato italiano ha ancora bisogno di essere sensibilizzato su questi temi: le criticità maggiori sono rappresentate dalla mancanza di cultura e sensibilità al problema, dalla cattiva gestione degli aggiornamenti, dall’uso di metodologie di autenticazione obsolete e dal limitato utilizzo di soluzioni cloud e nuove tecnologie avanzate che potrebbero aiutare a mitigare il problema. Per questa ragione, Microsoft (https://www.microsoft.com/it) è impegnata sia localmente nella condivisione di studi sulle nuove modalità di attacco e linee guida sulle misure più efficaci di prevenzione e risoluzione dei rischi, sia a livello globale, investendo ogni anno più di 1 miliardo di dollari in ricerca e sviluppo indirizzati al tema della security. L’impegno di Microsoft in tema di protezione informatica dei dispositivi connessi si concretizza principalmente su due fronti: da un lato c’è l’Intelligent Cloud con la piattaforma Azure, che garantisce i più avanzati standard di sicurezza IT e conformità al GDPR, dall’altro l’Intelligent Edge, con Microsoft Azure Sphere, una nuova soluzione per realizzare dispositivi dotati di microcontrollori (MCU) connessi a Internet e caratterizzati da elevati livelli di protezione. (Carlo Mauceli)

 

Carlo Mauceli, National Digital Officer di Microsoft Italia.

IL CLOUD, UNA SCELTA SICURA 

In ambito manifatturiero è più che mai necessario adottare un approccio alla cybersecurity di tipo end-to-end, assicurandosi che tutto – dal singolo componente al controllo, fino ai sistemi e al software di più alto livello – risponda all’esigenza di proteggere l’operatività e il business.

Per questo settore si tratta, però, soprattutto di un cambiamento culturale: bisogna educare gli operatori a considerare la sicurezza digitale alla stregua della sicurezza fisica, con la stessa attenzione e lo stesso rispetto delle regole e delle buone pratiche, trovando il giusto equilibrio con le esigenze di continuità di produzione.

Qualunque azienda si trovi oggi di fronte alla ridefinizione dei propri processi in chiave digitale, deve guardare a soluzioni basate su un approccio alla cybersecurity di tipo “by design” – cioè fin dalla progettazione –, non come qualcosa da aggiungere a posteriori; per fare un salto di qualità, inoltre, è opportuno dare il giusto valore alle proposte che affidano a processi il più possibile automatizzati operazioni quali ad esempio l’aggiornamento, il patching, ovvero la risoluzione di vulnerabilità o di bug riscontrati in corso d’opera.

Tutto questo si può ottenere con soluzioni in cloud: il cloud rende possibile la convergenza tra dati provenienti da diversi sistemi, macchine, processi aziendali legati alla produzione e permette di fruire di applicazioni innovative che permettono di sfruttare al meglio le opportunità della digitalizzazione; allo stesso tempo il cloud di Oracle rappresenta una scelta sicura perché fornisce un aggiornamento costante dei sistemi e della security degli stessi, facilitando il compito di chi opera sul campo che può così focalizzarsi sulle proprie priorità operative (https://www.oracle.com/it). (Simone Marchetti)

 

Simone Marchetti, SCM Sales Development Leader di Oracle Italia.

CONOSCERE PER PROTEGGERSI 

Oggi l’Industria 4.0 implica grandi cambiamenti nel settore manifatturiero, soprattutto nei reparti legati all’innovazione di processo, di prodotto, di servizi e di gestione, con impatti significativi sugli impianti, sulle informazioni e sui comportamenti delle persone. Inoltre, proprio l’ampliamento dello status “always-on”, dove tutto è sempre connesso, accentua ulteriormente il rischio degli attacchi di cybersecurity per le imprese. Dal punto di vista di Qualys (https://www.qualys.com), pioniere e fornitore leader di soluzioni di sicurezza e compliance basate sul cloud, le aziende manifatturiere devono provare a ridurre la superficie vulnerabile tramite una gestione prioritizzata del ciclo di vita delle vulnerabilità stesse.

Di fronte alla complessità introdotta dal dissolvimento dei perimetri e dalla trasformazione digitale, diventa indispensabile intervenire sulla conoscenza del proprio ambiente per difenderlo adeguatamente, rimediando alle vulnerabilità in modo organizzato e tracciato. La prioritizzazione deve avvenire in base a metriche quali: posizione degli asset vulnerabili, disponibilità di un exploit per sfruttare la vulnerabilità, disponibilità di una patch, utilizzo della vulnerabilità da parte di attaccanti e cybercriminali, e così via. Questo processo, certamente possibile e non costoso, porta ad una riduzione degli eventi rilevanti ai fini della sicurezza, ad un minore impatto sulle risorse e ad una maggiore efficacia delle difese.

La soluzione Qualys indirizza 6 aree distinte per la sicurezza dei sistemi IT delle imprese manifatturiere, tramite un insieme di cloud apps perfettamente integrate, quali: IT Asset Management, IT Security, Web Security, Cloud Security, Certificate Security e Compliance. Il modello di licensing segue principi OPEX di tipo “pay as you go”. (Marco Rottigni)

 

Marco Rottigni, Chief Technology Security Officer EMEA di Qualys.

SISTEMI DI CONTROLLO EFFICACI 

In effetti i sistemi di controllo sono scarsamente protetti in termini di sicurezza delle informazioni. Gli attacchi riusciti hanno esposto le aziende non solo a perdite finanziarie. Modifiche o interruzioni non autorizzate hanno causato blackout e indisponibilità prolungati dei sistemi di controllo, mettendo a rischio anche vite umane.

I rischi per la sicurezza dei sistemi industriali sono causati da molti degli stessi fattori riscontrati nelle altre reti aziendali. Noi riteniamo che fra le principali vulnerabilità sul perimetro di un sistema di controllo industriale si possano includere l’utilizzo di versioni software vulnerabili non più supportate dal fornitore, la mancata installazione di patch e la fragilità dei sistemi di gestione delle password, dei privilegi e degli accessi adottati.

Le versioni obsolete di software, come i Webserver, i sistemi operativi e le applicazioni, spesso contengono vulnerabilità critiche che possono essere sfruttate dagli aggressori per ottenere il controllo dei sistemi. Gli strumenti per sfruttare molte di queste vulnerabilità sono disponibili gratuitamente online. I difetti di configurazione possono essere ugualmente pericolosi: se si applicano eccessivi privilegi, chi ottenga fraudolentemente l’accesso ha facilmente la possibilità di eseguire i comandi del sistema operativo su di un server con i privilegi massimi. Se un server sul perimetro della rete ha un’interfaccia Intranet, anche limitare i privilegi del sistema operativo potrebbe non impedire l’uso del server in attacchi all’infrastruttura interna.

Le aziende adottano un’ampia varietà di approcci alla struttura delle loro reti informatiche per proteggerle attraverso tecniche di segmentazione che spesso non trovano applicazione in ambito industriale.

Le regole chiave per la segmentazione di un network industriale dovrebbero includere la segregazione totale della rete industriale dal sistema informativo aziendale e dalle reti esterne, in particolare Internet. Inoltre, le informazioni sullo stato dei processi e delle apparecchiature industriali devono essere inviate al sistema informativo aziendale tramite l’implementazione di una DMZ (Demilitarized Zone). I comandi di controllo non devono essere inviati dal sistema informativo aziendale direttamente ai componenti di controllo.

Sfortunatamente, queste regole sono spesso solo procedure su carta o non seguite affatto e i test di penetrazione interna rivelano spesso diversi vettori di attacco alle reti industriali.

Esistono tre livelli principali di componenti della rete industriale: stazioni di monitoraggio (SCADA) e di lavoro; controllori programmabili (PLC), DCS e stazioni di lavoro; dispositivi di campo, solitamente collegati direttamente ai PLC.

Il controllo delle macchine e degli impianti dovrebbe essere possibile solo dalle stazioni di lavoro e di monitoraggio all’interno della rete industriale. I componenti di controllo non dovrebbero essere mai accessibili dal sistema informativo aziendale o altre reti esterne. Sulla rete industriale, l’accesso a Internet dovrebbe essere vietato.

I servizi di sicurezza industriale di Rockwell Automation (https://www.rockwellautomation.com) affrontano i rischi che possono derivare da una maggiore connettività. Possiamo aiutare le aziende a proteggere la propria infrastruttura di network, la proprietà intellettuale e le risorse e mantenere la disponibilità dell’intera architettura di controllo e lo facciamo attraverso valutazioni di sicurezza, misure di protezione difensive, monitoraggio e rilevamento delle minacce, piani d’azione di risposta, backup e ripristino. (Roberto Motta)

 

Roberto Motta, Business Development Lead Network & Security Services di Rockwell Automation.

COLLABORAZIONE TRA I MONDI IT E OT 

Negli ultimi anni, i rapidi progressi tecnologici hanno dato origine all’Industrial IoT e all’interconnessione degli impianti con l’IT. Ma ciò che fa funzionare tutto questo è una connettività sicura e deterministica. Ecco perché le imprese industriali che desiderano perseguire la digitalizzazione end-to-end delle loro operazioni devono considerare le reti OT come la spina dorsale strategica delle loro operazioni.

La sicurezza e l’accesso ai dati e alla rete sono fondamentali per prevenire le intrusioni degli hacker e l’integrità dei dati compromessa e la privacy.

Se fino ad oggi le aziende hanno implementato soluzioni di security unicamente in ambito IT, è solo nel recente periodo che si è iniziato ad affrontare le tematiche di sicurezza nel reparto produttivo.

Per Siemens (https://www.siemens.com/it) la chiave per affrontare la security riguarda la stretta collaborazione tra i mondi IT e OT: realizzando cioè una rete di dorsale strategica sicura e che sfrutti i rispettivi punti di forza e soddisfi le loro esigenze. Questa collaborazione può fornire il “meglio di entrambi i mondi” per facilitare la digitalizzazione end-to-end necessaria per ottenere guadagni quantificabili in efficienza operativa, trasparenza, flessibilità e appunto sicurezza.

Inoltre, Siemens, con il concetto di Defense in Depth, fornisce, per la security della fabbrica, un approccio di difesa strutturato su più livelli, offrendo una protezione completa e approfondita. Il concetto si basa su prodotti e soluzioni per la “Plant security”, “Network Security” e “System Integrity” come raccomandato dai più importanti standard sulla cybersecurity ISA99/IEC 62443. (Cristian Sartori)

 

 Cristian Sartori, Sales Specialist Industrial Networks di Siemens Italia

TECNOLOGIE MULTIPLE 

La cybersecurity è oggi un tema centrale nello scenario tecnologico: l’ampia diffusione dei dispositivi mobili, la rapida crescita del cloud e degli oggetti IoT, la scomparsa del perimetro fra le reti interne ed esterne contribuiscono all’aumento esponenziale degli attacchi informatici. Uno dei settori maggiormente colpiti è certamente quello manifatturiero, dove si temono sempre più i furti alla proprietà intellettuale (patrimonio informativo di ogni impresa), pur considerando che spesso le fabbriche sono dotate di macchinari obsoleti (facile bersaglio degli hacker) e che devono fare i conti con la carenza di personale competente.

SonicWall (https://www.sonicwall.com), azienda leader nel campo della sicurezza informatica, protegge oltre un milione di reti in tutto il mondo e, con la sua gamma di soluzioni perfettamente integrate, supporta imprese e fabbriche con la combinazione di tecnologie multiple per rispondere ad ogni tipo di minaccia.

In particolare, come strumenti per la difesa dell’endpoint è disponibile SonicWall Capture Client, un anti-malware leggero di nuova generazione in grado di rilevare, attraverso sistemi di intelligenza artificiale (machine learning), anche attacchi “fileless” e di analizzare localmente il traffico cifrato. Tutti i firewall convenzionali di SonicWall prevedono un’architettura hardware multicore scalabile, che permette l’ispezione del traffico garantendo bassi livelli di latenza.

I nostri clienti riscontrano minacce informatiche anche a causa di negligenza nel comportamento dei propri dipendenti, con serie conseguenze a livello produttivo e di immagine. Fin dagli anni ’90, utilizziamo tecniche di apprendimento automatico per raccogliere e analizzare dati sulle minacce informatiche e questo impegno a favore dell’innovazione ci consente di assicurare, a partner e clienti di tutto il mondo, soluzioni efficaci per il rilevamento e la prevenzione delle violazioni in tempo reale. (Fabrizio Cirillo). ©ÈUREKA!

Fabrizio Cirillo, Senior Channel Sales Manager di SonicWall Italia.

Sponsor

Mediapartners