Sapete cos’è il Cybersecurity Readiness Index? È un’indagine che Cisco conduce annualmente per valutare la capacità delle aziende di reagire a un attacco cibernetico. L’edizione di quest’anno ha visto partecipare i responsabili della sicurezza di oltre 8.000 aziende di 30 diversi Paesi (Italia inclusa), e contiene alcuni risultati sconfortanti, accanto ad altri che inducono a un tiepido ottimismo.
Il primo dato sconfortante è che, globalmente, solo il 3% delle aziende ha un’infrastruttura di sicurezza che possiamo definire “matura”, quindi in grado di gestire con successo una situazione di attacco. E a livello italiano, questa percentuale si riduce a un modesto 1%, con 4 aziende su 5 ampiamente sotto la sufficienza. Ma la cosa realmente preoccupante è che circa il 30% delle imprese italiane intervistate è convinta di poter passare più o meno indenne attraverso un attacco informatico. Ora, basta fare due più due per capire che c’è in Italia un 29% di aziende che, al primo vero attacco, avrà un’amara sorpresa. Anche perché, secondo i dati della Ncsa, il 60% delle Pmi fallisce entro 6 mesi dopo aver subito un attacco informatico.
A indurci invece un cauto ottimismo è il dato sugli investimenti in cybersecurity. La quasi totalità delle aziende, infatti, dice di aver investito pesantemente in sicurezza negli ultimi due anni, e oltre il 90% afferma di voler continuare anche nei prossimi. Insomma, anche molte aziende che si ritengono protette continuano a migliorare la propria infrastruttura di sicurezza, cosa che ci fa pensare che almeno il concetto di “sicurezza come processo di miglioramento continuo” sia stato sdoganato, sostituendo quello di “sicurezza un tanto al chilo” che sembrava andare per la maggiore anni fa. E un’altra cosa che emerge dai dati è che il settore dell’industria, dell’OT, non è quello messo peggio. Insomma, anche qui una certa consapevolezza del problema è arrivata. Di qui a implementare soluzioni di sicurezza pari a quelle in uso da anni in ambito IT, purtroppo, ce ne corre. Soprattutto perché le reti OT sono pensate non per la cybersecurity, ma per l’uptime: devono funzionare, punto. E qualsiasi inserimento di policy, segmentazioni, autenticazioni, sistemi di monitoraggio viene visto come un potenziale fattore di riduzione della produttività. Ma questa impostazione comporta rischi gravissimi oggi che l’integrazione fra IT e OT è in fase avanzata, con protocolli e tecnologie condivise, scambi di dati orizzontali e verticali continui e sempre più allargati a un elevatissimo numero di dispositivi, e una situazione geopolitica che fa crescere esponenzialmente il rischio di attacchi mirati a qualsiasi azienda che possa avere un ruolo importante nel Paese.
Ora, mettere in sicurezza un’azienda manifatturiera non è una cosa da poco: la superficie d’attacco potenziale è enorme, e se l’IT magari ha già in uso strumenti e metodiche di protezione, l’OT generalmente è all’anno zero. Da cosa cominciare, dalla fabbrica o dagli uffici? Dalla protezione del cloud o dai dispositivi personali dei dipendenti, responsabili di gran parte dei “security breach”? Ne abbiamo parlato con Marco Tagliabue, sales specialist leader IoT di Cisco, che ha commentato con noi i dati, ha esaminato i motivi della mancanza di sicurezza in ambito manufacturing e ci ha raccontato il modo di procedere di Cisco quando deve mettere al sicuro un’azienda.
Un problema di percezione del rischio
Quanto sono pronte a reagire le aziende italiane, in caso di attacco cyber? Poco, molto poco. Leggendo i dati dell’edizione 2024 del report State of Global Cybersecurity Readiness, pubblicato da Cisco, c’è di che rimanere sconfortati. Soprattutto se poi si va a guardare con più attenzione alle aziende italiane, e in particolare al segmento manifatturiero.
Il report suddivide le aziende in quattro categorie, secondo la loro preparazione a sostenere un attacco, dalla più bassa alla più elevata: beginner, formative, progressive e mature. Ebbene, solo il 3% delle aziende a livello globale, e appena l’1% fra le italiane, possono qualificarsi nella categoria “mature”. In Italia, quattro aziende su cinque ricadono nelle due categorie più basse, con il 64% nel gruppo “formative”, definite come aziende che hanno installato una o più soluzioni di sicurezza ma ottengono risultati sotto la media.
Ma i dati che suscitano i maggiori interrogativi sono quelli che riguardano la percezione del rischio da parte delle aziende. Circa il 73% di esse ritiene che un incidente di cybersicurezza potrebbe colpire la loro attività entro i prossimi due anni, ma il 31% delle aziende confida di riuscire a gestire gli incidenti cyber senza riportare danni particolari. Ora, è vero che l’anno scorso le aziende che sostenevano di essere “sicure” erano anche di più, ma il numero rimane alto: di fatto, un terzo delle aziende pensa di essere in grado di sopravvivere senza danni a un attacco, quando in realtà potrebbe farcela, in Italia, poco più di un’azienda su 100.
Questi numeri ci dicono che c’è un problema di percezione del rischio, che il più delle volte viene ampiamente sottovalutato. I motivi possono essere diversi, e vanno dalla falsa sicurezza data dall’installazione di soluzioni di cybersecurity sub-standard, alla scarsa conoscenza del panorama delle minacce, che obiettivamente è in evoluzione velocissima: hacker e criminali sono sempre aggiornatissimi sulle tecnologie da usare per gli attacchi, e dispongono di armi sempre nuove che possono impiegare contro un’area di attacco sempre più vasta e complicata da difendere.
Nuovi exploit “zero day”, nuove tecniche di social engineering, utilizzo dell’intelligenza artificiale: l’hacker sembra essere sempre un passo avanti in questa sorta di gioco di guardie e ladri fra loro e i security manager.
Tuttavia, c’è nel report un dato che induce a un cauto ottimismo: il 91% delle aziende ha aumentato in modo significativo il suo budget di spesa per la cybersecurity l’anno scorso, e le previsioni per il prossimo anno sono in linea. Quindi, la quasi totalità delle aziende sta investendo in sicurezza, comprese quelle che si ritengono “sicure”.
Cybersecurity e OT, a che punto siamo?
Se il mondo IT, che ha uno storico di almeno quarant’anni nella battaglia con i cybercriminali, incontra difficoltà, come sarà la situazione nel mondo OT, dove il problema dei cyber-attacchi è sorto decisamente più di recente?
Per anni, l’OT è stato un mondo chiuso e, anche quando è iniziata l’introduzione del digitale, tale è rimasto: protocolli proprietari, “standard” che standard non erano, e un isolamento totale dalle altre aree aziendali hanno tenuto al riparo per anni lo stabilimento dalle minacce informatiche. Ma con l’integrazione fra OT e IT, e in particolare con Industry 4.0 e la necessità di connettere le macchine, l’isolamento è saltato e con esso l’immunità agli attacchi. Oggi, in assenza di contromisure, macchinari critici possono essere raggiunti dagli hacker, i loro processi possono essere alterati, e si rischiano conseguenze molto pesanti.
Ma a che livello è la “readiness”, la capacità di rispondere agli attacchi, nel mondo industriale? «Il report che abbiamo pubblicato abbraccia oltre 8.000 aziende di vari settori, e quello che viene fuori è che sì, il livello di preparazione è ancora basso, da migliorare – afferma Tagliabue – ma ci sono dei settori come il manufacturing e altri settori industriali dove, rispetto alla media, la situazione non è così drammatica. Questo perché è già avvenuta la presa di coscienza dell’esistenza delle minacce. L’altra cosa positiva che si legge nel report è che la stragrande maggioranza delle aziende intervistate sta pianificando o ha già pianificato un aumento delle spese per tutto ciò che riguarda la cyber security.
Globalmente, il 91% delle aziende intervistate ha dichiarato che aumenterà la spesa in cyber security nei prossimi 12/24 mesi. In Italia siamo addirittura al 94%. C’è anche da dire che, nonostante ci sia la presa di coscienza del fatto che ci sono delle minacce, la presunzione di sicurezza o presunzione di capacità di essere in grado di affrontare una minaccia non è così bassa, perché più del 30% degli intervistati ha dichiarato, se dovesse subire un attacco, di essere in grado di mantenere le operazioni in funzione, di essere resiliente, per usare un termine che va di moda».
Il punto critico è la connessione IT/OT
Se secondo il report solo l’1% delle aziende è realmente protetto, ma un terzo di esse “crede” di esserlo, abbiamo un problema. Ma da dove nasce tutto questo? «In ambiti industriali, soprattutto in aziende mediamente strutturate, l’attenzione oggi è veramente a livello elevato – puntualizza Tagliabue – e questo proprio per come si sta evolvendo la tecnologia di network utilizzata in quei contesti. Nel contesto industriale, parte tutto dal trend della convergenza tra le reti OT, che stanno alla base del funzionamento degli impianti industriali, e l’IT.
La convergenza sta portando un aumento esponenziale degli oggetti che sono connessi. Prima c’era una netta divisione, con l’IT sopra, che ha una rete disegnata per essere sicura, per rispettare le policy, e sotto l’OT che tutto sommato poteva essere visto come un po’ un’isola a sé stante, quasi disconnessa dal resto del mondo. Ed era una rete progettata per funzionare, per accendere uno switch e lasciarlo con un uptime di anni senza mai dover riavviare, aggiornare, mettere le patch, senza far niente, perché uptime vuol dire efficienza». In effetti, si puntava a progetti semplici, pensando che più un’infrastruttura era semplice, meno richiedeva gestione e meno era esposta a rischi. Un’impostazione che ancora oggi in alcuni casi riaffiora. Ma la situazione oggi è diversa. «Purtroppo la verità è che le cose non possono più essere lasciate da sole, perché interagiscono con molti più oggetti, con molti più device via wireless o anche con connessioni cablate, per cui le minacce sono molto superiori rispetto a quello che c’era prima» spiega Tagliabue. E, oltre a esserci più dispositivi, ci sono anche molti più dati. Perché l’evoluzione delle tecnologie OT ha portato le aziende a voler leggere le informazioni da strati sempre più bassi delle reti, fino ai Plc, fino ai sensori, per migliorare l’efficienza operativa. Ecco quindi che crescono i flussi di dati che attraversano “verticalmente” le reti, dall’OT all’IT, cosa che prima non succedeva. «Qui nasce la necessità di consentire solo le comunicazioni che servono, e di impedire che oggetti che non devono parlarsi comunichino fra loro» commenta Tagliabue.
Cloud e intelligenza artificiale complicano ulteriormente il quadro
Le cose si complicano ulteriormente quando entra in gioco il cloud. Oggi chi progetta un impianto da zero tende sempre più a fare ricorso a servizi cloud, perché consentono di realizzare un’architettura più flessibile, che può essere modificata e adattata più rapidamente a eventuali cambiamenti nelle esigenze produttive.
«È vero che da un lato per l’utilizzatore è più semplice usare il cloud, perché i provider di servizi cloud hanno i loro meccanismi di security – dice Tagliabue – però è anche vero che nel momento in cui ho robot, macchine, operatori che devono accedere a servizi multicloud, le aziende si devono dotare di proprie procedure comuni per tutti i servizi in uso. Non possono chiedere agli utilizzatori di conoscere tutti i sistemi di sicurezza di ogni singolo provider cloud, e di usare decine di strumenti diversi».
Oltre al cloud, un altro fattore che aumenta la complessità dell’infrastruttura è l’impiego sempre maggiore dell’intelligenza artificiale. Che è ormai trasversale su tutti diversi pilastri della cyber security: all’autenticazione degli utenti, alla gestione dei dispositivi, alla sicurezza della rete e alla sicurezza del cloud. «L’utilizzo dell’intelligenza artificiale in questi ambiti richiede maggiore attenzione, significa anche dover stare più attenti, doversi preoccupare di eventuali possibili attacchi malevoli o funzionamenti malevoli legati all’uso dell’IA – ipotizza Tagliabue – Da questo punto di vista, però, l’arrivo del nostro prodotto HyperShield cambierà le cose, e renderà molto più semplice l’adozione dell’intelligenza artificiale anche in contesti di sicurezza, soprattutto a livello di data center».
Sicurezza nel manifatturiero: le prime cose da fare
Insomma, le medie/grandi aziende manifatturiere hanno capito il rischio, le piccole molto meno, ma praticamente tutte devono lavorare su una strategia di cybersecurity: chi per impostarla praticamente da zero (prevalentemente le Pmi) e chi per renderla snella, automatizzabile, e soprattutto non complicata da gestire per il personale.
Ma cosa bisogna fare se, appunto, una strategia vera e propria non la si è ancora messa in cantiere? «Con i clienti industriali, quello che cerchiamo di fare è di porre le fondamenta di una rete che permetta di garantire la cybersecurity. Perché se a livello di cloud e di data center, a livello di IT, da tempo vengono adottate policy di sicurezza, in ambito OT questo non è mai stato fatto». Tanto è vero che, curiosando negli stabilimenti, si scopre spesso che gli switch a livello di campo, quelli che connettono Plc, robot, macchinari in genere, spesso sono di tipo “unmanaged” e quindi non monitorabili. Cosa che rende impossibile un controllo reale di ciò che succede in rete, anche alla luce del fatto che il traffico dati è sempre maggiore, non solo in verticale verso l’IT, ma anche in orizzontale fra le macchine. Chiaramente è possibile arrivare a un certo livello di sicurezza con metodologie tradizionali (firewall fra IT e OT, segmentazione della rete, controllo accessi e così via) ma avere una parte importante della rete che non posso fisicamente monitorare rappresenta una forte criticità. Con gli switch unmanaged, per esempio, un virus caricato direttamente su un Plc (magari entrato tramite la chiavetta Usb di un manutentore) può liberamente diffondersi ad altre macchine collegate, portando magari a interruzioni della lavorazione o magari a danni fisici all’impianto. Vi ricordate di Stuxnet? Ecco.
Ma torniamo alle cose da fare per iniziare a mettersi in sicurezza. Dando per scontato che sia già stata creata una suddivisione fra IT e OT, tramite il classico firewall, quali sono le prime tre cose su cui concentrarsi? «I consigli base che noi di solito diamo sono tre – spiega Tagliabue – Prima cosa, si deve avere la visibilità, quindi sapere quali sono gli oggetti, i dispositivi che ho sulla rete, e sapere come parlano fra loro. Quando ho la visibilità e so cosa parla normalmente con cosa, capisco i protocolli, so che il tal dispositivo ha delle porte che parlano con determinati altri dispositivi, conosco le versioni del firmware, le vulnerabilità note, con tutte queste informazioni posso fare anche una analisi del rischio. Dopodiché, basandomi su questa analisi e conoscendo le esigenze dell’impianto posso cominciare ad adottare delle best practices, quelle che suggeriscono anche le normative in vigore o in arrivo a breve (vedi Dis 2). E soprattutto, posso iniziare a fare della segmentazione». La segmentazione è importante perché la maggior parte del traffico in una rete industriale non risale tra i diversi livelli, ma resta orizzontale fra dispositivi posizionati negli stessi livelli. «Se a quei livelli bassi, come la rete di campo, la rete tra i robot e la rete tra i Plc non ho monitoraggio, io quel traffico non lo vedo – continua Tagliabue – può succedere qualsiasi cosa ma chi sta monitorando i livelli superiori non può saperlo. Se qualcosa fa bloccare una macchina, si ferma la produzione e nessuno sa perché.
Terza cosa, una volta che ho fatto la segmentazione posso creare delle routine di “incident detection and response”, ovvero dei processi per cui quando succede qualcosa, per ogni possibile problema che posso prevedere so già quale sarà l’azione successiva. Questo ovviamente è un riassunto sintetico di quello che facciamo quando si parla di server in contesto industriale».
La vera criticità è il “brown field”
In una situazione ideale, il team di sicurezza dovrebbe entrare in gioco quando si sta progettando un impianto, per consentire di ottenere quella che viene definita “security by design” ed è un po’ il santo graal della cybersecurity. Ma nel mondo reale, la maggior parte delle volte ci si trova a dover operare in “brown field”, ovvero dover mettere in sicurezza uno stabilimento dove sono già in uso strumenti di cybersecurity, spesso scelti senza un progetto unitario. E questo è un problema.
«Una delle criticità, non lo so se questa cosa nel report viene rilevata, è data dai contesti nei quali ci sono tanti diversi stakeholder, ognuno responsabile del suo pezzettino di rete, o della cyber security, o dell’engineering – ammette Tagliabue – E con tante teste diverse, soprattutto in ambienti molto strutturati, il vero problema è di ridurre il numero di soluzioni di cyber security che vengono utilizzate. E fare in modo che i diversi strumenti abbiano qualcosa in comune, possano parlare fra loro, rendendo più semplice ed efficiente la gestione. Questa è un po’ la filosofia che seguiamo noi. Tutte queste cose che ho citato, la visibilità, la segmentazione, l’analisi, la rilevazione e la risposta alle minacce, si fanno con prodotti diversi, ma che sono tutti integrabili all’interno della stessa piattaforma. E l’altra cosa importante, anche proprio a livello hardware, è riuscire a concepire la rete in modo che sia facile trasformare gli apparati di rete in sensori, cioè in sonde che analizzano il traffico. Fare questo evita di dover installare in seguito delle sonde, degli analizzatori di traffico in punti specifici della rete. È l’approccio che seguiamo noi: nel momento in cui un apparato di rete, uno switch industriale, può anche fare da sonda e mandare informazioni al tool che analizza il traffico, per garantire la famosa visibilità di qui parlavamo prima, diventa tutto più flessibile, più semplice e più gestibile anche dall’IT aziendale».
