Industria e cyber security

Chi volesse avere un’idea precisa del cyber crime nel mondo non ha che da scorrere le pagine del Rapporto Clusit 2016, pubblicato ogni anno dall’Associazione Italiana per la Sicurezza Informatica. Lì potrà trovare la descrizione puntuale di casi di attacchi informatici e dei suoi esiti nefasti, che non hanno risparmiato nessuno: colossi del mondo bancario, grandi gruppi internazionali dell‘e-commerce, multinazionali dell’abbigliamento, catene di negozi di bricolage mettendoli in grande difficoltà. Sono casi concreti, quelli che hanno colpito JP Morgan Chase, Ebay, Home Depot. E questi sono solo alcuni dei casi più eclatanti del 2015. Per l’anno che si sta chiudendo, il 2016, nell’elenco dei più clamorosi cyber attack di tutto il mondo (Rapporto Clusit di quest’anno; nda) troviamo quelli a una primaria compagnia di assicurazione sanitaria, la Anthem, a cento istituti di credito di trenta paesi del mondo vittime di una cyber rapina e nientemeno che al Dipartimento di Stato degli Stati Uniti che ha subìto l’aggressione alla propria rete e-mail.

Ma la sicurezza informatica non riguarda solo, come si è spesso portati a credere, i gruppi multinazionali che operano nei settori dell’informatica, dell’innovation tecnology, ma anche le medie e grandi aziende dell‘industria manifatturiera.

Nonostante le dimensioni del fenomeno, la consapevolezza dei rischi che corrono anche le imprese metalmeccaniche, tessili, chimiche del nostro paese è ancora scarsa, quasi inesistente: e questo vale sia per il mondo delle imprese sia per l’opinione pubblica più in generale. Ciò che va fatto capire agli imprenditori italiani, come a quelli internazionali, è la necessità di formare, a tutti i livelli e in tempi rapidi, una cultura estesa riguardo i rischi che può colpire il cosiddetto spazio cibernetico.

 

Un rischio che costa

Il Rapporto Clusit 2016 stima il costo medio per le aziende italiane di incidenti cyber in un miliardo e 980 milioni di euro, con un aumento rispetto al 2012 del 70%. I dieci settori più colpiti sono finanza, farmaceutica, consumer, industria, servizi, tecnologia, comunicazione, trasporti, media, retail, turismo e, infine, pubblica amministrazione.

A livello mondiale, la spesa per la cyber security ammonta a 70 miliardi dollari Usa, mentre il danno, sempre a livello globale, è di 500 miliardi di dollari. Per l’Italia si conferma la tendenza all’aumento degli attacchi definiti gravi e di dominio pubblico: negli ultimi cinque anni, infatti (i dati Clusit sono del Rapporto 2015, quindi riferiti all’anno precedente; nda), ne sono stati analizzati 1.012, contro gli 873 del 2014 (+14%).

 

I rischi e le contromisure

Il rischio informatico riguarda anche il settore industriale. Di questo importante segmento di mercato si è discusso di recente in un convegno dal titolo “Cyber Security nell’automazione industriale”, promosso da Phoenix Contact, società internazionale di componentistica elettronica e di soluzioni e sistemi di ingegneria elettronica e di automazione industriale, in collaborazione con Lutech, società di consulenza in ambito Ict, e di Clusit.

“I nuovi paradigmi di Industry 4.0 o Smart Factory stanno mutando il modo di produrre – ha affermato Roberto Falaschi, direttore sales & marketing di Phoenix Contact –. La mass customization e le tecnologie abilitanti, che semplificheranno sempre più i processi e la gestione della produzione attraverso l’integrazione informatica, rappresentano le vere novità odierne. Cambierà anche il modo di produrre e di consumare energia. Cambierà radicalmente il modo di lavorare, a distanza e basato su piattaforme collaborative. Sta cambiando il modo in cui comunichiamo e ci relazioniamo: in pochi anni la smart technology ha cambiato le nostre abitudini. Con lo sviluppo dell’IoT questa tendenza si consoliderà ancora di più. Allo stesso tempo, la realtà virtuale diverrà una tecnologia sempre più pervasiva e alla portata di tutti. Tutto ciò è abilitato da un comune denominatore tecnologico: la comunicazione tramite Internet. Accanto agli effetti positivi, tuttavia, la comunicazione via Internet ha, come diretta conseguenza, il rischio di attacchi informatici capaci di causare enormi danni, spesso difficilmente calcolabili e sempre più frequentemente mirati a colpire impianti e macchine che sono totalmente esposti sulla rete senza alcuna protezione. Per evitare di essere presi in contropiede è fondamentale essere consapevoli del fatto che il mondo sta cambiando velocemente e che i rischi, che per molto tempo abbiamo creduto essere solo degli altri, sono oggi anche rischi per ciascuno di noi e per ognuna delle nostre aziende. Ma ciò che ancora manca nel mondo industriale, e in particolare di quello impegnato nella costruzione delle macchine industriali, è la consapevolezza di dover progettare e realizzare prodotti già equipaggiati con sistemi di cyber security. Serve un approccio, come si usa dire, cyber security by design, da non considerare come un aggravio dei costi di produzione, bensì un fattore di innovazione e quindi di competitività di mercato. Questo è un obiettivo a cui tendere, prima ancora che questo approccio diventi un obbligo di legge. Anche su questo terreno si gioca la competitività delle nostre imprese sui mercati internazionali”.

Ma quali sono i settori industriali più ricettivi e quelli meno?

“La consapevolezza del rischio di attacco cibernetico – sostiene Giuseppe Ieva senior account manager di Lutech – purtroppo è ancora bassa. C’è quasi un retaggio di ordine psicologico nel dover ammettere di essere un soggetto sotto attacco. È però in corso un cambiamento legato alla nuova normativa sulla privacy, di prossima emanazione, che imporrà di denunciare gli attacchi subìti. In generale, occorre però dire che, rispetto ai paesi nordici e anglosassoni, l’Italia è in netto ritardo sul tema della consapevolezza del rischio cibernetico. Al mondo delle imprese occorre anche far comprendere che il costo per dotarsi di sistemi e attrezzature contro il rischio informatico, per imprese di medie e piccole dimensioni, non debbano per forza di cose corrispondere a centinaia di migliaia di euro e che in realtà rientrano nella voce investimenti a protezione dei propri asset. Al contrario sono le aziende che operano nei settori energetico e manifatturiero detentrici di brand importanti a dimostrare una buona attenzione ai temi della cyber security”.

Se da un lato è ormai evidente che oggi gli attaccanti hanno industrializzato e automatizzato i loro strumenti e agiscono su larga scala, è altrettanto certo che il crescente impiego di soluzioni digitali porta a una crescita del volume di elementi complessivamente esposti al rischio di attacchi molto più rapida dello sviluppo della capacità di proteggerli. Si sta insomma evidenziando una crescente asimmetria economica tra attaccanti e difensori: per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, il costo sopportato dai difensori è di milioni di dollari. Tutto ciò rende necessario cambiare le strategie difensive e diventare consapevoli del fatto che la vera questione non è più se, ma quando si subirà un attacco informatico e soprattutto quali saranno gli impatti conseguenti.

Si pone dunque la necessità di mantenere un’attenzione sempre elevata e di seguire alcune regole di base, senza confondere la compliance alle normative con l’effettiva security.

“Un’analisi dei più recenti e spesso clamorosi episodi di cybercrime – sostiene Andrea Zapparoli Manzoni, del direttivo di Clusit e coautore del Rapporto 2016, – evidenziano infatti che tra le principali cause o facilitatori di incidenti informatici vi sono la non conoscenza delle minacce e l’errore umano. In particolare, i fatti dimostrano che oggi non esistono più bersagli poco interessanti: a prescindere dai dati o dai sistemi gestiti, chiunque può diventare obiettivo o un involontario ponte per colpire altri soggetti, con ripercussioni in termini operativi, d’immagine e spesso anche legali. È dunque necessario applicare un processo integrato e articolato di cyber security, basato su logiche di (cyber) risk management, a tutti i livelli – cittadini, imprese, governo – puntando molto su educazione, prevenzione e l’introduzione della cybersecurity già in fase di progetto quando i costi legati a questo tema sono molto più bassi che in un eventuale intervento post-installazione”.

Attacchi informatici: dai dati ai fatti

Un aspetto tecnico, spesso sottovalutato, riguarda le reti wi-fi, che offrono indubbi vantaggi operativi in diverse situazioni industriali, ma d’altro canto comportano un’esposizione maggiore al rischio di intrusioni nella rete di fabbrica. “Non essendo infatti confinato all’interno delle mura aziendali – ha sottolineato Francesco Faenzi, head of cybersecurity business platform di Lutech – il segnale wi-fi può venire intercettato da eventuali attaccanti che, restando nei pressi della struttura, possono usare dei semplici tool gratuiti disponibili online per carpire le credenziali di un operatore e accedere alla rete. A questo punto risulta agevole per l’attaccante verificare quali elementi connessi non siano adeguatamente protetti e attaccarli, ad esempio fornendo comandi scorretti ai dispositivi in campo, anche provocando danni notevoli. L’impiego di strumenti di monitoraggio della rete può aiutare a identificare l’attacco, mentre l’adozione di un router-firewall può facilmente contrastarlo”.

Anche per quanto riguarda i collegamenti VPN, utilizzati ad esempio per attività di manutenzione remota su un macchinario, potrebbero avvenire delle intrusioni, che sfruttando la VPN potrebbero avere libero accesso alla rete dopo aver illecitamente carpito le credenziali d’accesso di un operatore. Così come l’abitudine di utilizzare una stessa password per effettuare accessi a servizi diversi può diventare un potente veicolo di pericolose intrusioni.

“Questa prassi – continua Faenzi – è infatti alla base della crescente diffusione di attacchi finalizzati a carpire le credenziali impiegate dagli utenti di tantissimi servizi online, come ad esempio piattaforme di mailing, hosting, social networking.  Dati che vengono poi testati da parte di alcune organizzazioni e rivenduti ai cyber criminali. L’attaccante può così entrare direttamente nella rete bypassando il firewall e andare ancora una volta a manomettere la produzione. Anche in questo caso, l’applicazione di opportuni sistemi di protezione può sventare l’attacco”.

 

Cyber Security: scenari e misure di difesa

Il compito di indicare le soluzioni per garantire con successo l’industrial cyber security, senza compromettere le performance degli impianti, è toccato a Emanuele Temi, product specialist cyber security control & industry solution di Phoenix Contact, che ha anche chiarito le differenze tra la cyber security in ambito office e l’industrial cyber security.

“A differenza dell’ambito office – afferma Temi – in quello industriale è necessario adottare dispositivi specifici in grado di proteggere il sistema produttivo e lavorare in ambienti tipici di fabbrica: temperatura, vibrazioni, tensioni di alimentazione, disturbi EM eccetera. Da molti anni società come la nostra sono impegnate su questo fronte e sviluppano proposte in grado di proteggere il sistema informatico salvaguardando il know-how e i dati sensibili che costituiscono il patrimonio dell’azienda e dell’intero processo produttivo. Uno dei vantaggi nell’adottare soluzioni mGuard, che noi adottiamo, è la possibilità di proteggere gli impianti esistenti senza compromettere l’architettura di sistema in essere e senza la necessità di dover aggiornare eventuali certificazioni. Oggi esistono numerose soluzioni che spaziano dall’hardware al software fino ai servizi di assistenza. Il cliente può così usufruire di una consulenza a tutto tondo, dalla progettazione alla realizzazione in impianto fino al supporto post implementazione”.

Leggi l’articolo anche su City Life Magazine