Nell’era digitale ogni impresa è un potenziale bersaglio poiché ogni asset aziendale vale soldi.
La manifattura internazionale sta cambiando pelle. Con il termine Industria 4.0 si definisce un processo di modernizzazione articolato su più fronti, ciascuno dei quali di forte portata innovativa: robot collaborativi interconnessi e rapidamente programmabili; comunicazione multidirezionale tra processi produttivi e prodotti; gestione di elevate quantità di dati su sistemi aperti; analisi di un’ampia base dati per ottimizzare prodotti e processi produttivi.
Industy 4.0 significa anche digitalizzazione dei processi. E’ in corso un processo di digitalizzazione del mondo dell’industria. Ciò che sta avvenendo è che i modelli di business stanno cambiando velocemente. Ogni macchinario e device viene connesso alla rete. C’è bisogno di accedere velocemente ai dati. Il numero di connessioni ricorrenti cresce a dismisura. Servono tecnologie che abilitino funzionalità avanzate, in grado di memorizzare grandi quantità di dati che arrivano dal campo.
Il mondo dell’Industrial IoT (IIoT) vs IoT
Internet of Things (IoT) è una delle parole che sentiamo di più quando si parla di Industria 4.0. L’utilizzo di questi oggetti intelligenti sta permettendo una vera e propria rivoluzione all’interno delle aziende che ora sono sempre connesse e sfruttano i dati per ottimizzare i loro processi produttivi.
Un termine meno comune ma comunque molto diffuso all’interno del contesto dell’Industria 4.0 è invece Industrial Internet of Things. Si tratta della stessa tecnologia? No. Un oggetto IIoT è in realtà un dispositivo IoT di recente sviluppo pensato esclusivamente per la sua applicazione all’interno della quarta rivoluzione industriale. Lo scopo degli oggetti IIoT è quello di ottimizzare i processi produttivi attraverso la connessione tra i macchinari, realizzare dei dati utili per un centro di analisi, avere un controllo preventivo sullo stato di salute delle macchine in uso e controllare i tempi della produzione industriale. Industrial Internet of Things è un’evoluzione dell’IoT che permette a un dispositivo intelligente di avere più connessioni contemporaneamente e di lavorare con una maggiore quantità di dati.
Gli attacchi informatici contro l’infrastruttura fisica sono sempre più alla portata di comuni cyber criminali
Durante la seconda metà del 2010, sono emersi dettagli sull’operazione di sabotaggio Stuxnet, il primo attacco informatico su un’infrastruttura fisica reso noto pubblicamente. I ricercatori di sicurezza iniziarono a studiarne i dettagli per cercare di capire quanto potesse essere replicabile un simile attacco. Non servì molto tempo per capire che i sistemi di controllo industriale, e l’infrastruttura che ruota attorno ad essi, sono entrambi insicuri e facili da attaccare e sfruttare. Ciò che emerse fu anche che quei sistemi vecchi di decenni non avrebbero potuto essere aggiornati in fretta.
Ma se simili attacchi fino a una manciata di anni fa richiedevano risorse e strumenti di uno Stato per poter essere portati avanti, alcune di quelle stesse capacità sono oggi nelle mani di comuni gruppi di cyber criminali. Stuxnet ha rappresentato il momento cruciale in cui le bande criminali hanno rivolto lo sguardo verso i sistemi di controllo industriale.
Arrivando poi agli ormai noti episodi di Petya e WannaCry, questi ultimi rappresentano solo la punta dell’iceberg di una costante attività cybercriminale volta al furto di dati, all’appropriazione indebita di segreti industriali, alla manomissione e al boicottaggio di macchinari e impianti. La perdita dei dati e il tilt della produzione possono avere un impatto devastante su un’industria. Ecco perché la cyber security finisce con l’investire anche il mondo dell’industria.
Attacchi opportunistici sull’infrastruttura fisica
Nel corso del 2016, analisti F-Secure della divisione Cyber Security Services (CSS) hanno risposto a incidenti informatici in cui i sistemi di controllo industriale sul campo soo stati ancora una volta attaccati. Questa volta però, i motivi dietro queste operazioni sembravano puramente finanziari. Rivolgendosi al settore manifatturiero, queste nuove campagne avevano comportato il blocco o il controllo dei sistemi chiave nell’organizzazione di una vittima e, successivamente, la richiesta di un riscatto. Le richieste di riscatto erano incentrate su due temi principali: la restituzione del controllo dei sistemi bloccati o il pagamento del riscatto per far sì che le operazioni non venissero spente da remoto.
Quest’ultimo scenario è quello che motiva fortemente il pagamento del riscatto. Se i macchinari di un impianto di produzione vengono chiusi, possono essere necessari giorni o settimane per riportarli online. Questo perché i sistemi devono essere fatti funzionare con un certo ordine. Uno spegnimento incontrollato avviato da un attaccante esterno non addestrato può danneggiare i macchinari (se lo spegnimento non è eseguito nella sequenza corretta). Tali scenari causeranno sempre alla vittima gravi perdite operative e finanziarie, e forse addirittura rotture dei macchinari o danni alle infrastrutture.
La cosa interessante di questi attacchi è che non sono strettamente mirati. Sono opportunistici. Gli attori che stanno dietro questo tipo di operazioni eseguono scansioni su Internet di ampia portata, alla ricerca di sistemi con vulnerabilità note e facilmente sfruttabili. Gli aggressori cercano tra i loro risultati di scansione alla ricerca di potenziali bersagli. Lavorando su un elenco prioritario, gli aggressori accedono manualmente ai sistemi delle vittime, distribuiscono il loro malware e poi richiedono il riscatto.
Dato il numero di sistemi vulnerabili, privi di patch e non aggiornati, direttamente connessi a Internet, questo modus operandi è molto efficace. Così efficace, infatti, che intere famiglie di ransomware sono state progettate per svolgere tali operazioni. Petya è un esempio: una famiglia di crypto-ransomware che rende l’intero sistema non avviabile (tramite un MBR crittografato) fino al pagamento del riscatto. Anche se completamente impraticabile nei confronti di un normale sistema consumer (non è possibile pagare il riscatto se non si può nemmeno usare il computer), Petya è lo strumento ideale per un blocco su larga scala di terminali di pagamento, server, console di controllo e altre infrastrutture aziendali.
Queste campagne provengono ormai da varie aree geografiche, e in molti casi sono sferrate contro aziende manifatturiere a causa delle loro scarse pratiche di sicurezza informatica.
Contromisure. Cyber security e Intelligenza artificiale
Quando si parla di Industria 4.0 è essenziale essere consapevoli dei rischi che il nuovo paradigma si porta dietro. Ogni apparato connesso alla rete costituisce una potenziale vulnerabilità e un possibile punto di attacco da parte di attori mossi da cattive intenzioni.
Oggi molte aziende affidano i loro dati e buona parte, se non tutto, il processo produttivo e amministrativo a strumenti digitali connessi alla rete. E molti prodotti in commercio, a partire dalle auto e dagli elettrodomestici, sono costantemente connessi a internet, quindi se non necessariamente protetti rischiano di divenire accessibili e violabili.
La cyber security secondo F-Secure è un processo continuo di miglioramento costante, che si evolve e si adatta con la stessa rapidità degli attacchi. Non funziona come una bacchetta magica, ma richiede una combinazione di competenza professionale e tecnologia in costante miglioramento per prevedere, prevenire, rilevare e rispondere alle violazioni in modo completo.
Con un approccio chiamato “Live Security”, F-Secure coniuga la potenza del machine learning con la competenza umana degli esperti presenti nei suoi laboratori di sicurezza. Le attività da svolgere per gestire la sicurezza di un’organizzazione sono oggi più complesse ed eterogenee rispetto al passato. F-Secure, che nel 2018 taglia il traguardo dei 30 anni di attività nella sicurezza informatica, a tal proposito ha lanciato nuove soluzioni tra cui F-Secure Radar, soluzione per la gestione del rischio delle vulnerabilità, in grado di mappare tutta la superficie attaccabile includendo qualsiasi genere di device in rete, descrivere dettagliatamente le vulnerabilità rilevate, quindi indicare la remediation, e F-Secure Rapid Detection Service, servizio che, ad attacco avvenuto, si occupa della gestione dello stesso attraverso un modello di cooperation man-machine che si appoggia all’attività di un SOC europeo.
Resta inteso che nel mondo dell’IIoT occorre instaurare un dialogo tra il responsabile IT e il responsabile di produzione al fine di formulare una strategia comune di sicurezza che rispetti le esigenze di entrambi. Troppo spesso vengono ancora sfruttate vulnerabilità dovute all’assenza di un processo di Vulnerability Management, alla presenza di software obsoleti, alla mancanza di patch o a comuni errori di configurazione o configurazioni di default.
