Siamo nell’era dell’impresa connessa. La superficie di attacco delle industrie manifatturiere non ha più confini e diventa terreno fertile per il cybercrime. Dipartimenti IT e OT dialogano tra loro, dati e e informazioni viaggiano in tutte le direzioni, tra Erp e Mes, tra IoT Edge e cloud. Attacchi ransomware, data breach, fermi macchina, blackout produttivi. Milioni di euro persi e danni reputazionali. «In assenza di una strategia di cybersecurity gli effetti possono essere devastanti. In Italia e all’estero l’elenco delle imprese vittime del cybercrime si allunga di mese in mese. La sicurezza non può e non deve essere trascurata», afferma Gianluca Crecco, managing director della divisione industrial & automotive di Txt e-Tech. Insomma, se in passato la cybersecurity era un tema da club informatico oggi diventa un pilastro per la sostenibilità economica, per una produttività tendenzialmente zero downtime. Per tutti, la priorità è rendere l’infrastruttura resiliente, attenuare i pericoli potenziali che derivano da un’esposizione in rete degli asset aziendali.
«Serve una strategia di cybersecurity. E non può che partire da un’attenta risk analysis», dice Crecco. È questa la strada maestra che il gruppo guidato da Daniele Misani ha voluto intraprendere per dare risposte concrete ed efficaci alle imprese che vogliono predisporre un piano operativo per reagire alle minacce informatiche. Centrale in questo contesto il ruolo della piattaforma cloud Armis, una tecnologia agentless, supportata da un potente motore di intelligenza artificiale in grado di fare discovery di asset managed e unmanaged. «È lo strumento che consente di rilevare tutti i dispositivi, sistemi, macchinari e apparati connessi in rete, individuare e risolvere eventuali vulnerabilità, avere visibilità su possibili criticità e impostare interventi correttivi in base a livelli di priorità», dice Nicola Altavilla, country manager di Armis Italia (qui un approfondimento).
Orientare le aziende nella definizione delle misure di contrasto al cybercrime, rispondere ad attacchi informatici sempre più mirati e sofisticati, determinare gli impatti potenziali sui processi e servizi aziendali, definire e gestire il sistema dei controlli interni, predisporre politiche di sicurezza coerenti con obiettivi di business e framework normativi. La partnership con Armis è parte integrante della offerta di cyber resilience del gruppo Ttx basato su consulenza, attività di assessment e di risk analysis, di definizione delle architetture e di sviluppo di soluzioni OT e IT. Attività che sono declinate all’interno delle varie società del gruppo. Da una parte la componente consulenziale fornita da TLogos e Hspi, dall’altra le capacità di sw engineering e di system integration che appartengono all’universo TxT e-Tech (vedi “Il manifesto TxT e-tech per la cybersecurity”). «La collaborazione con Txt è un perfect match. Insieme rendiamo possibile una gestione del rischio informatico», dice Crecco.
Non solo sicurezza. Le potenzialità della piattaforma di asset management
Armis può diventare una vera centrale di orchestrazione per tutti i processi di service management, per controllare lo stato delle macchine e il funzionamento complessivo del plant. Una tecnologia, quindi, che si integra con il dominio di conoscenza di Txt e-Tech, la società controllata al 100% da Txt e-Solutions con competenze di digital engineering, di sistemi e processi in ambito Mes e Industrial Iot.
La piattaforma di Armis offre una visuale unificata e multidimensionale di ogni risorsa (IT, cloud, IoT, OT, edge), incluse le risorse che normalmente non vengono rilevate, sono sotto-gestite o non vengono messe in sicurezza
«Grazie a una conoscenza di quello che sarà il carico di lavoro su quell’apparato o macchina, in un certo giorno e ora, i responsabili di produzione possono pianificare interventi di assistenza più puntuali», dice Crecco. «Ci amiamo definire il “Google Map” della sicurezza, aggiunge Altavilla. Con la visibilità in tempo reale di tutti gli oggetti connessi in rete si è a conoscenza delle criticità che possono compromette la continuità operativa. Una conoscenza che mette le persone nella condizione di modulare o alterare i flussi di traffico in funzione di una logica di sicurezza». L’intelligenza artificiale di Armis apprende comportamenti anomali facendo leva sull’Armis Intelligence Engine che comprende miliardi di appararti fisici o virtuali in tutto il mondo. «Con un numero sempre più elevato di apparati censiti, riusciamo a fare deep analysis per monitorare i comportamenti reali del device e rilevare eventuali disallineamenti e anomalie per intraprendere azione di remediation», dice Altavilla.
Da start-up a software company da 100 milioni di dollari
La piattaforma Armis agisce come “orchestratore” di tutto l’ecosistema di soluzioni presenti in azienda per la rilevazione dei rischi, la risposta ad eventuali attacchi e un monitoraggio continuo dello stato di sicurezza dell’intera infrastruttura. Una tecnologia innovativa per la visibilità, l’intelligence e la sicurezza degli asset, che ha fatto di Armis una delle aziende di cybersecurity in più rapida crescita. Oltre al manifatturiero la piattaforma è utilizzata da aziende che operano nel finance, nel retail, nell’energy e nell’healthcare. Nata nel 2015, Armis ha oggi superato il traguardo dei 100 milioni di dollari di ricavi annui ricorrenti, passando da 1 milione a 100 milioni in meno di 5 anni. Nei soli sei primi mesi di quest’anno i clienti sono aumentati dell’80%. Le ambizioni non mancano. La prossima pietra miliare sarà il raggiungimento del miliardo di fatturato in meno di cinque anni. A seguito di un round di investimento da 300 milioni nel novembre 2021, Armis è stata valutata 3,4 miliardi di dollari, diventando una delle software company più interessanti nel settore della cybersecurity. È sostenuta da investitori di livello mondiale, tra cui Insight Venture Partners, CapitalG, Brookfield, One Equity Partners e Georgian.
Asset discovery per una due diligence. Armis come strumento di valutazione di un’azienda
Il fattore differenziante e competitivo di Armis? «Ci distinguiamo da altri player di mercato per essere cloud native, risponde Altavilla. Utilizziamo un grande data lake dove poter eseguire un’infinità di relazioni, preservando l’integrità delle risorse IT e OT». L’utilizzo di Armis, come già accennato, non è però confinato alla sola sicurezza. «E’ una soluzione che può essere di grande utilità per tutte quelle aziende che fanno acquisizioni e hanno necessità di fare un inventario dei nuovi asset, dice Crecco. Quale il numero dei dispositivi presenti in azienda? Spesso, la realtà supera l’immaginazione. Ci siamo confrontati con aziende che pensavano di avere 5 mila asset, racconta Crecco. Ebbene, con Armis si è scoperto che ce n’erano 15mila in full visibility e 4 mila in limited visibility. Una bella differenza. Senza questa conoscenza sarebbe impossibile stabilire un sistema di difesa e implementare una strategia di cybersecurity». Attenzione, quindi, vale sempre un principio generale: non si può mettere in sicurezza ciò che non si conosce. «Il più delle volte si inizia a usare Armis nella parte IT e poi la si estende all’ambiente industriale, continua Altavilla. E’ il punto di partenza per sapere quali sono i dispositivi, apparati, sistemi e macchine collegati in rete. Con Armis si fa un preciso censimento degli oggetti IT con mappatura della superficie di attacco su cui potrebbero svilupparsi azioni cybercrime».
Armis come orchestratore delle soluzioni e tecnologie cyber presenti in azienda
Competenze, tecnologie e processi per una produzione sicura al 100%. Piena visibilità e trasparenza su tutto quello che accade in fabbrica. «Armis è una soluzione enterprise adatta ad aziende di medio grandi dimensioni con una struttura IT-OT organizzata, dice Crecco. La tecnologia è complementare alla security perimetrale e si integra perfettamente nell’ambito delle soluzioni che proponiamo per il manifatturiero. Ci consente di avere una proposizione end-to-end per valutare analizzare e minimizzare il rischio di business e produttivo». I dati acquisiti e analizzati permettono di gestire i cicli di produzione Mes e Iot e al tempo stesso intervenire chirurgicamente per ottimizzare la spesa di security. Un vantaggio non da poco considerato che i ciso (chief information security officer) devono spesso fare i conti con budget limitati.
Una piattaforma cloud, non invasiva, in grado di integrarsi in tutti gli ambienti di fabbrica
Visibilità sullo stato degli asset, per comprendere lo stato di resilienza, per risolvere vulnerabilità. La conoscenza resa disponibile da Armis mette le aziende nella condizione di prendere le decisioni più corrette in termini di interventi risolutivi per minimizzare i rischi e realizzare una strategia di difesa in risposta ad epidemie malware. «È una soluzione cloud based implementabile in tempi molto rapidi. Si acquisiscono dati relativi a tutti gli asset monitorati e li si analizzano in cloud.
È una tecnologia non invasiva, che valorizza gli investimenti pregressi. Applicando uno strato di intelligence e di orchestrazione si valorizzano le scelte tecnologiche fatte dalle aziende. Il fatto di non dover installare nulla a bordo macchina, o più in generale nello stabilimento, consente di evitare “invasioni di campo” dell’IT in fabbrica, spesso malviste dai responsabili di produzione», sottolinea Altavilla.
Competenze, consulenza, deployment. Una soluzione che può essere gestita in autonomia o in full outsourcing
Come detto in precedenza, la strategia di cyber resilienza del gruppo Txt viene declinata in attività consulenziali e di analisi del rischio. «La nostra attività è basata sul dominio di conoscenza dei processi di fabbrica e degli strumenti di difesa, dice Crecco. Con Armis possiamo lavorare con il cliente a 360 gradi. Non ci limitiamo al solo deployment della soluzione. Supportiamo le aziende nell’estrazione e comprensione dei vari report che vengono generati dalla piattaforma. Il nostro ruolo viene definito in funzione di quelle che sono le esigenze di analisi dei dati. C’è chi ha le risorse per avere una sua autonomia, chi preferisce esternalizzare tutti i processi e aver una piattaforma gestita integralmente in outsourcing, con persone dedicate che si occupano di individuare le vulnerabilità e interfacciare il team di remediation per attivare tutti quei processi di service che consentono di mantenere un alto livello di resilienza». In definitiva, Armis è il tool ideale per avere visibilità degli oggetti gestiti e non gestiti tipici del mondo OT, da dispositivi IoT e Scada. Come dire, esegue supervisione e monitoraggio di tutti gli oggetti presenti in una fabbrica. Un tool di asset discovery con un motore di intelligenza artificiale che sniffa il traffico e il comportamento dei device. «In ambiente industrial IoT il 90% di oggetti connessi in rete sono tipo unmanaged, non gestiti, ovvero apparati su cui non è possibile installare a bordo un software di protezione poiché sarebbe necessaria una nuova certificazione dei diversi dispositivi, dice Altavilla. Un problema enorme, che noi risolviamo grazie a una logica di implementazione agentless».
Workstation, plc, server scada, ups, switch… Ecco i bersagli del cybercrime in ambito industriale
Una recente indagine Armis ha rilevato che le engineering workstation e i server Scada sono i dispositivi OT che subiscono il maggior numero di tentativi di attacco. Dallo studio emerge che il 56% delle workstation presenta almeno una vulnerabilità critica senza patch. Gli attacchi prendono di mira anche i gruppi di continuità. Secondo l’indagine sono la terza tipologia di dispositivo a subire di tentativi di attacco. Come si legge nel report, “Sebbene siano fondamentali per garantire la continuità operativa in caso di interruzione dell’alimentazione, i dati mostrano che il 60% dei dispositivi UPS presenta vulnerabilità di gravità critica che potrebbero potenzialmente portare i criminali a causare danni fisici al dispositivo stesso o ad altre risorse ad esso collegate”. Non ultimi i PLC. Secondo la ricerca il 41% di essi è un potenziale veicolo per portare a segno attacchi cyber. Se compromessi potrebbero causare interruzione della produzione oppure non ricevere più supporto hardware e firmware. Altri dispositivi che rappresentano un rischio per il settore manifatturiero sono i lettori di codici a barre, gli switch industriali gestiti, le telecamere e le stampanti.
