Con l’avvento dell’industry 4.0 gli impianti manifatturieri e industriali sono diventati uno dei bersagli preferiti del cybercrime. Secondo gli esperti del Clusit negli ultimi 4 anni, nel solo settore energy, gli attacchi andati a buon fine sono più che raddoppiati. Non se la passano meglio le imprese della logistica, del manifatturiero e del retail, che nel corso del 2023 hanno registrato un aumento degli attacchi rispettivamente del 41%, del 25% e del 26%.
Insomma, gli investimenti in sicurezza non sono più rinviabili. In prima linea nello sviluppo di soluzioni e servizi cyber, il gruppo Reply, gruppo internazionale di consulenza, system integration e digital services, che nel 2023 ha raggiunto un fatturato di 2,1 miliardi. Come dice Giorgio Basanisi, partner di Spike Reply, società del gruppo focalizzata sulla cybersecurity, «in gioco vi è la business continuity, la protezione dei dati e, in ultima analisi, la resilienza delle imprese».
Come raggiungere i più alti livelli di prevenzione e resilienza al cybercrime e mettersi al riparo da incidenti informatici? «Vanno messe in sicurezza tutte le risorse su cui transita il traffico del sito produttivo, spiega Basanisi. Si parte con l’approntamento delle funzioni basic, implementando un’adeguata sicurezza perimetrale basata su tecnologie di firewalling per poi installare sistemi di intrusion detection (Ids) che analizzano il traffico di rete, identificano eventuali attacchi e danno ai direttori di stabilimento la visibilità di tutto lo stato dei sistemi connessi alla rete». Non meno importante la messa a regime di sistemi di sicurezza per l’accesso remoto, uno dei grandi rischi dei sistemi industriali.
Soluzioni cyber che iniziano ora ad estendersi ai costruttori di macchina, per i quali diventa importante certificare dispositivi di sicurezza e servizi di condition monitoring. «Con nostre soluzioni è possibile sapere chi si collega e quando, stabilire l’accesso secondo profili di utilizzo. In buona sostanza si monitora l’attività di fornitori terze parti, che nelle grandi aziende sono tantissimi», dice Basanisi. Attività di sviluppo di soluzioni di contrasto al cybercrime industriale che si affiancano a quelle di advisory e consulting. «Partendo da un assesment iniziale, utile a fotografare lo stato dell’arte della rete, andiamo ad identificare i rischi e le vulnerabilità, e poi a definire una roadmap di interventi per raggiungere livelli di security sempre più avanzati», racconta Basanisi. Gestione della sicurezza che può essere affidata in outsourcing al Cyber Security Operation Center di Reply o mantenuta on prem, anche se l’approccio da parte delle grandi aziende è soprattutto di tipo ibrido. Come dice Basanisi, «si delega al security operation center di terze parti il monitoraggio di primo livello e si centralizza internamente tutta la parte più operativa di risoluzione dei problemi».
Oil & gas, energy, automotive, manifatturiero. L’insicurezza informatica è diventata il new normal industriale
Il primo episodio di attacco informatico che ha interessato impianti industriali e infrastrutture critiche risale al novembre 2008 quando fece la sua comparsa Stuxnet, il virus che aveva come bersaglio i sistemi Scada, tecnologia tipicamente dedicata al monitoraggio di gasdotti, oleodotti e reti di erogazione dell’acqua o dell’energia elettrica così come centrali elettriche e nucleari.
Da allora l’insicurezza informatica è diventata il new normal. «Le reti industriali non sono nate per la cybersecurity, ma per l’uptime: devono funzionare, sempre. Per molto tempo qualsiasi intervento restrittivo – segmentazioni del network, autenticazioni, sistemi di controllo traffico – è stato visto come un potenziale fattore di riduzione della produttività. Ora non più», dice Basanisi. «Negli ultimi anni c’è stato un crescente interesse da parte delle grandi realtà industriali che operano nel mondo oil & gas, energy, automotive, manufatturiero, verso la definizione di un piano di sicurezza, che per definizione è un work in progress poiché il cybercrime è in continua evoluzione», aggiunge Basanisi.
Soluzioni ad hoc per la cybersicurezza di un ambiente industriale. Quali le priorità e i criteri da seguire?
Le linee industriali sono state tradizionalmente monitorate in termini di funzionamento produttivo ma raramente dal punto di vista della sicurezza. Un limite che deve ormai essere superato. Identificare gli asset critici e le potenziali minacce informatiche. Prioritizzare i rischi in base alle probabilità e gravità dei possibili attacchi. Sfruttare le vulnerabilità identificate utilizzando tecniche di hacking per simulare un attacco reale. Sviluppare politiche di sicurezza per definire responsabilità e autorizzazioni coerenti con ambienti di produzione. Formulare e approvare procedure di risposta agli incidenti stabilendo i passaggi da seguire in caso di violazione cibernetica. «Nel mondo industriale la sicurezza informatica va progettata in maniera diversa da quanto si è finora fatto in ambiente IT. Tutti i sistemi vanno configurati per avere una protezione specifica. A partire dai sistemi di rilevamento delle intrusioni (Ids), che prevengono rischi cyber industriali scansionando i flussi di comunicazione dei vari protocolli dell’automazione», osserva Basanisi.
Non meno importante tutta la componente di vulnerability management, un servizio di verifica continua delle vulnerabilità che possono essere presenti nell’infrastruttura aziendale. «In questo modo si ha sempre una visione puntuale e aggiornata dello stato delle vulnerabilità realizzando una miglior risposta a potenziali attacchi», afferma Basanisi
Segmentazione della rete, tecniche e meccanismi per minimizzare l’impatto di un attacco cyber
«Una volta individuati i sistemi di cybersicurezza perimetrale e di monitoraggio più adeguati, si interviene sull’ottimizzazione della rete, con segmentazione di parti della stessa in modo da evitare che criticità in determinati punti dell’impianto possano propagarsi in altre aree, tenendo sempre presente che, anche nelle situazioni più difficili, l’obiettivo è mantenere attiva la produzione», dice Basanisi.
Interventi che possono essere implementati con logiche molto restrittive, a protezione del singolo macchinario, o della singola linea. Le soluzioni di cybersicurezza devono poi tenere conto di tutti dispositivi presenti in plant e impianti industriali, dove esistono tuttora un gran numero di apparecchiature con a bordo sistemi operativi di vecchia generazione, come Windows XP. «In questi caso si devono trovare soluzioni cyber verticali per il mondo OT che supportino ancora quel sistema operativo oppure sviluppare soluzioni white listing, ovvero definire la lista dei processi in carico a quello specifico end point e fare in modo che sia autorizzato ad eseguire soltanto quelli», afferma Basanisi.
Come garantire l’accesso a sicuro a tutti fornitori di servizi che operano da remoto
Dal Covid in poi gli impianti sono territorio off limits per i fornitori servizio. Tranne eccezioni, chi fa delle attività di manutenzione le fa da remoto. L’accesso da remoto espone alla vulnerabilità degli attacchi informatici ed è dunque fondamentale dotarsi di misure per l’autenticazione e l’accesso che supportino la pianificazione degli interventi in modo tale da ridurre al minimo i disservizi di produzione. Le soluzioni che Spike Reply propone prevedono il controllo autorizzato degli accessi e implementano logiche di Identity and Access Management per garantire che gli utenti ottengano i diritti di accesso, in modo rapido e appropriato alle loro esigenze, in linea con le politiche di sicurezza aziendale. «Nell’era dell’Industria 4.0, le soluzioni per l’accesso remoto sono diventati elementi cruciali per la sicurezza e la produttività degli impianti industriali. Consentono di gestire e controllare l’accesso degli utenti alle risorse aziendali, come reti, sistemi e dati, garantendo che solo gli utenti autorizzati possano accedere a ciò di cui hanno bisogno per svolgere il proprio lavoro».
Soluzioni cyber per i costruttori di macchinari industriali e per la sicurezza dei dispositivi IoT
L’interconnessione dei macchinari è ormai uno standard. Nessuna sorpresa, quindi, che la cybersecurity sia diventata una questione di primaria importanza per tutti i machine builder. Garantire la sicurezza della macchina è fondamentale non solo per proteggere i propri dati e la propria reputazione, ma anche per la sicurezza degli utenti finali e per la protezione dell’ambiente di produzione. Spike Reply sviluppa quindi progetti per gli oem che vogliono fornire servizi digitali o che hanno l’obiettivo di vendere macchinari certificati in termini di cybersicurezza o, ancora, per certificare dispositivi per l’edge computing. «Come dire, addizioniamo le macchine installando l’opportuno livello di cybersecurity», dice Basanisi. Per gli oem Spyke Reply si occupa anche di penetration testing, per la valutazione del livello di sicurezza dell’hardware. «Per i dispositivi Iot siamo in grado di analizzarne l’architettura e fornire raccomandazioni precise, in grado di migliorare il livello di sicurezza, arrivando anche a simulare un attacco informatico per identificare le vulnerabilità e garantire la protezione dei dati e delle funzionalità del dispositivo», racconta Basanisi.
Servizi di security operation center. Alle aziende la possibilità di scegliere tra full o hybrid outsourcing
Spike Reply ha strutturato i propri servizi di managed security con l’obiettivo di fornire monitoraggio della rete e installazione delle infrastrutture di monitoraggio on-premise, in public o private cloud. «Negli ultimi anni l’outsourcing ha rappresentato una tendenza rilevante nell’ambito della cybersecurity perché offre la possibilità di ridurre i costi e di liberare risorse. Tuttavia, il servizio standard non corrisponde quasi mai alle esigenze della singola azienda. Ecco, quindi, che per raggiungere questo obiettivo, lavoriamo in collaborazione con i nostri clienti per definire i diversi livelli di responsabilità, racconta Basanisi. L’obiettivo di molte grandi aziende è far convergere monitoraggio IT e OT in unico Soc. Una volta era tutto on prem, poi c’è stato il periodo in cui si è preferito esternalizzare. Oggi si tende ad avere un approccio ibrido: si delega all’outsourcer un servizio di primo livello, quello di rilevazione della minaccia, mentre si si mantengono all’interno le successive attività che riguardano le possibili risposte alla risoluzione degli incidenti. La novità in questo ambito è l’intelligenza artificiale, che diventa l’assistente dei soc analyst: hanno un enorme quantità di dati da gestire e l’intelligenza artificiale è in grado di analizzarli molto più velocemente».
