Cybersecurity Ot: in fabbrica agli anticorpi ci pensano Cisco e il competence center Made!

di Renzo Zonin ♦︎ Con la stretta connessione all’It, anche le operation technology sono sottoposte a minacce. Demo uno: De Militarized Zone per separare l’area It dall’Ot. Demo due: soluzione di Visibility per individuare la fonte del problema e metterla in quarantena. Il Lef di Pordenone e l’Area 6 del Made. Ne parliamo con Antonio Loborgo e Cristian Perissinotto

La plancia di controllo dell'Area 6, da dove vengono condotte le demo di cybersecurity OT

Negli ultimi anni, complice l’adozione di Industria 4.0, si stanno moltiplicando le connessioni digitali fra reparti IT e reparti OT delle aziende. Ma c’è un problema: con la connessione all’IT, il mondo OT, fino a ieri relativamente tranquillo e sicuro, viene sottoposto alle stesse minacce cyber che da tempo e con frequenza crescente colpiscono i reparti IT. Con l’aggravante che l’OT si ritrova di colpo a fronteggiare un panorama di minacce evoluto e sofisticato, per il quale – a differenza dell’IT – non ha avuto il tempo per maturare adeguati anticorpi. In un contesto di questo tipo, per difendersi risulta fondamentale sfruttare l’esperienza di aziende che da sempre fronteggiano gli hacker nel mondo del networking e dell’Ict in generale, e che hanno sviluppato nel tempo soluzioni dedicate specificatamente all’OT. Una di queste aziende è Cisco, leader nel networking e nei prodotti, servizi e soluzioni di cybersecurity.

Da tempo Cisco ha avviato una serie di azioni tese ad aumentare negli ambiti OT la conoscenza dei problemi di sicurezza, e delle soluzioni che propone. In questo quadro si inserisce la collaborazione con Competence Center come il Lef di Pordenone (ne parliamo in questo video Lef, la fabbrica funzionante dove Cisco sviluppa nuove competenze per la manifattura, fa sistema e… – industria italiana) e il Made di Milano, quest’ultimo specializzato nell’Industria 4.0. Al Made, Cisco ha realizzato l’intera rete della struttura (cablata e wireless) ma non solo: Cisco è anche protagonista di una delle Aree Tecnologiche di Made, la numero 6, dedicata ai Big Data Analytics e alla Cybersecurity OT. I visitatori dell’Area 6 possono vedere all’opera due diverse demo sulla cybersecurity OT. Nella prima, un’azienda con rete non protetta subisce un attacco nei suoi uffici che provoca la perdita del flusso dati del sistema Scada (la fabbrica funziona, ma non può essere monitorata). Separando le due aree IT e OT con una cosiddetta Dmz, il problema viene risolto, la minaccia fermata e il flusso dati allo Scada riprende.







Nella seconda demo, l’azienda ha correttamente segmentato la rete e configurato il firewall e un sistema di controllo degli accessi, ma subisce un attacco dall’interno della zona protetta con conseguente blocco dei macchinari di produzione. In questo caso sarà una soluzione di Visibility, di fatto un software installato su un edge computer che monitora tutto il traffico di rete, a individuare la fonte del problema e a metterla in quarantena, riportando la situazione alla normalità. Industria Italiana è andata al Made appositamente per assistere a queste simulazioni di attacco. Siamo stati guidati nella visita da Antonio Loborgo, Digital Manufacturing Transformation Leader di Cisco nell’ambito del programma Digitaliani, e da Cristian Perissinotto, Technical Solutions Architect di Cisco, che ha curato personalmente la realizzazione della rete informatica del Made e delle demo dell’Area Tecnologica Cybersecurity.

 

Cybersecurity, la guerra cinquantennale

Antonio Loborgo, Digital Manufacturing Transformation Leader di Cisco nell’ambito del programma Digitaliani

Che negli ambienti OT ci sia poca consapevolezza dei problemi di cybersecurity è purtroppo un dato di fatto. Del resto, gli ambienti IT hanno iniziato a combattere con malware e hacker ormai mezzo secolo fa, quando i virus erano elementari, spesso pressoché innocui, e in genere si diffondevano lentamente da un personal computer all’altro, trasportati via floppy disk – allora, i Pc raramente erano collegati in rete. Negli anni, gli hacker hanno alzato il tiro e dall’altra parte della barricata gli informatici si sono attrezzati mano a mano con strumenti, dagli antivirus ai firewall, dalle Dmz alle HoneyPot, in grado di contrastare il malware, bloccare le intrusioni, segmentare le reti, e magari prendere in trappola l’hacker di turno. La situazione per l’OT è molto diversa: di fatto, la trasformazione digitale ha fatto bruciare le tappe agli impianti produttivi, e oggi ci ritroviamo intere fabbriche completamente vulnerabili verso l’esterno. Dove non ci sono più i ragazzini nerd degli anni ’80, bensì malware sofisticati prodotti da gruppi organizzati di cybercriminali, spesso aiutati da coperture governative. Non c’è stato, per l’OT, il tempo per capire il fenomeno, imparare come gestirlo e creare le adatte contromisure.

Proprio perché ci si trova senza armi davanti a un nemico che ha anni di esperienza, non è possibile procedere come si è sempre fatto nel mondo della produzione, ovvero imparando mano a mano dai propri errori, formando negli anni le competenze necessarie: non c’è proprio il tempo per adottare un approccio del genere, vorrebbe dire rimanere per anni vulnerabili. L’unica vera alternativa (considerato che è impossibile interrompere il processo di digitalizzazione, pena una rapida esclusione dal mercato) è di sfruttare la competenza di chi, con hacker e malware, è abituato a confrontarsi, ovvero con le aziende del settore IT. Ovviamente, bisogna che l’interlocutore capisca la “lingua” della produzione, e non parliamo soltanto di standard diversi per le apparecchiature, ma soprattutto di diverse esigenze. A partire dalla necessità di hardware capace di essere installato in modo diverso da quello tipico IT (per dire, anche i rack sono differenti), di resistere a condizioni ambientali estreme, e di collaborare con dispositivi che parlano tramite protocolli a volte inusuali, a volte proprietari. Per arrivare all’esigenza di processare i dati in modo diverso, perché quello che conta è la disponibilità dell’informazione in real time, la sicurezza di funzionamento e la velocità di reazione dei dispositivi, mentre i mantra dell’IT (tipo la conservazione dei backup, la pulizia dei dati eccetera) passano in secondo piano.

 

Reti e sicurezza

Cristian Perissinotto, Technical Solutions Architect di Cisco, che ha curato personalmente la realizzazione della rete informatica del Made e delle demo dell’Area Tecnologica Cybersecurity

Nel mondo IT, quando si parla di reti e di sicurezza il primo nome cui si pensa è Cisco. L’azienda di San Jose, che ha chiuso l’anno fiscale 2022 con 51,6 miliardi di dollari di fatturato (+3%), è leader mondiale nel settore del networking – la maggior parte dei nodi Internet usa apparecchiature Cisco – ma opera anche nella cybersecurity con servizi all’avanguardia come Talos, uno dei maggiori team di security intelligence al mondo. Quello che pochi sanno è che Cisco vanta anche una notevole esperienza nel complicato settore della cybersecurity OT, per la quale dispone di prodotti dedicati e di personale con know-how specifico. Fra le iniziative intraprese da Cisco per far conoscere meglio i suoi prodotti e il suo approccio alla digitalizzazione dell’OT, c’è la collaborazione con enti come i Competence Center, punti d’incontro ideali fra i detentori del know-how IT e tecnologico e le aziende che a quel know-how devono attingere.

 

La collaborazione fra Cisco e il Made

Uno dei Competence Center dove Cisco è presente è il Made di Milano, realtà nata dal Mise (Ministero Italiano dello Sviluppo Economico) specializzata nell’b, che simula nella sua struttura di 2.500 mq, situata nel campus di via Durando (zona Bovisa) del Politecnico di Milano, una fabbrica digitale e sostenibile. Made è un interlocutore tecnico cui le imprese possono rivolgersi per farsi supportare durante la fase della transizione digitale verso la fabbrica intelligente. Per fare ciò, Made fornisce un ampio panorama di conoscenze, metodi e strumenti nell’ambito delle tecnologie digitali: dalla progettazione all’ingegnerizzazione del prodotto, dalla gestione della produzione alla logistica, fino alla gestione della fase finale del ciclo di vita del prodotto. Dal punto di vista tecnologico, Made mette a disposizione una ventina di “dimostratori”, vere e proprie isole tecnologiche tematiche dedicate ad argomenti quali la stampa 3D, la robotica collaborativa, la Lean Production, il Digital Twin e via discorrendo.

E se il Made è il posto dove le aziende manifatturiere possono conoscere le tecnologie dell’Industria 4.0, è anche il posto dove i detentori del know-how possono farsi conoscere dalle aziende stesse. Ecco spiegata la presenza di Cisco fin quasi dalle origini del Made, come ci conferma Antonio Loborgo. «La presenza di Cisco al Made si inquadra in una strategia più ampia, che nello sviluppo della relazione tra Cisco e i suoi clienti ha l’importante obiettivo di entrare in contatto con tutto quell’ambiente di operation, definito OT, che per noi nella nostra storia è sconosciuto, così come noi siamo sconosciuti a quell’ambiente – spiega Loborgo – Ecco quindi che il fatto di entrare in contatto con attori diversi, che sono poi gli artefici di ciò che succede nel mondo produttivo, è per noi un fattore di estrema importanza. Ci siamo però resi conto dei limiti che avrebbe la nostra organizzazione se facessimo leva solo sulle nostre capacità. Ecco quindi che la collaborazione con istituzioni o luoghi dove c’è un interscambio tra il mondo accademico, il mondo industriale della domanda e il mondo dell’offerta tecnologica è per noi un fattore basilare. Qui non solo si possono concretizzare delle relazioni tra stakeholder, ma anche un fattore estremamente importante per il quello che è il mondo industriale: quello di toccare con mano, di sperimentare in luoghi sufficientemente sicuri, dove poter mettere alla prova le tecnologie in un ambiente consono».

 

Collaborazione, interscambio, networking

La rete del Made è decisamente complessa. Questo è un dettaglio di uno dei tre principali armadi di cablaggio

Se lo scopo quindi è creare relazioni, il Made è il posto giusto: al suo interno collaborano un ente pubblico (l’Inail), quattro diverse università e ben 46 aziende private, oltre a una serie di partner tecnologici a vario titolo. Cisco è un “Silver partner” del Made dal 2020, anche se collabora attivamente con la struttura fin quasi dalla sua fondazione.

«Al Made abbiamo trovato una visibile effervescenza proveniente dal mondo accademico, dove si studiano le rivoluzioni di processo, le innovazioni, il mondo dell’offerta tecnologica e soprattutto della domanda, cioè il mondo dei clienti – prosegue Loborgo – Che è fatto di aziende che qui possono trovare un ambiente adatto per sperimentare». Le sperimentazioni, difficili da attuare in fabbrica, qui trovano invece un ambiente ideale ed estremamente ricco di stimoli. Un ambiente dove, tra l’altro, si possono inserire facilmente anche le startup, che possono portare linfa nuova al mondo della produzione della fabbrica, nel mezzo di una vera e propria rivoluzione.

 

L’apporto di Cisco al Competence Center: reti e sicurezza

Uno degli access point Cisco della rete wi-fi del Made

Ma al di là degli obiettivi a lungo termine, come si concretizza la presenza di Cisco al Made? «Qui abbiamo messo in opera le expertise che ci contraddistinguono da quasi 40 anni nel mondo del networking – spiega Loborgo – Quindi per prima cosa abbiamo realizzato la componente che non si vede mai, quella che realizza la connettività».

E infatti, l’intera rete interna del Made, che collega tutti i dimostratori tecnologici dislocati nelle 6 aree, oltre ai computer dei ricercatori, dei visitatori eccetera, è stata progettata e realizzata con apparecchiature Cisco. Sul fatto che non si veda, ebbene, la cosa è voluta. Da un punto di vista “logico”, la rete dovrebbe apparire “trasparente” all’utilizzatore, ovvero non dovrebbe indurre complessità aggiuntiva al sistema informatico. Ma c’è anche un aspetto di invisibilità “fisica”: per esempio, gli access point della rete wireless Cisco, che copre l’intera struttura, sono stati scelti nella variante bianca per amalgamarsi con l’ambiente, ed effettivamente risultano difficili da individuare: noi, per poterli fotografare, abbiamo dovuto farceli indicare da chi ha messo in opera la rete.

 

Cybersecurity OT, il focus della collaborazione Cisco/Made

Le componenti OT installate sono (da sinistra) lo switch IE3400, il gatewayedge computer IC3000 e il firewall ISA3000

Dicevamo quindi che il network nel quale scorrono tutti i dati del Made, composto da rete cablata e wireless, è stato progettato e realizzato usando apparecchi, tecnologie e servizi di rete Cisco. Ma questa è solo una parte della storia. «Oltre a realizzare il network, ci siamo focalizzati su un ambito estremamente importante, che è quello della cyber sicurezza» puntualizza Loborgo. Argomento, come abbiamo già detto, alquanto spinoso in ambito OT. Dove purtroppo non mancano solo gli skill e le competenze per contrastare il fenomeno hacker/malware, ma spesso manca anche completamente la percezione del problema stesso.

E sappiamo che le aziende più a rischio sono quelle che non percepiscono il pericolo. Anche se, secondo Loborgo, per questo aspetto la situazione sembra stia migliorando. «In seguito all’ondata dell’industria 4.0, anche il mondo dell’OT si è reso conto che non è più così chiuso e protetto come era in passato – spiega – Ecco che la nostra componente esperienziale viene messa a disposizione del mondo OT attraverso tool, soluzioni tecnologiche e competenza che abbiamo maturato in più di 30 anni di ambiente Ict e cybersecurity Ict».

 

L’impegno di Cisco nell’Area 6 del Made

Il rack dedicato all’Area 6, Big Data & Cybersecurity OT. La parte superiore riproduce il network IT aziendale, quella inferiore la rete OT

Come accennato più sopra, la fabbrica 4.0 intelligente e sostenibile del Made è divisa in 6 Aree Tecnologiche, che partono dal Virtual Design per proseguire con Digital Twin, Robotica collaborativa, Controllo Qualità, Monitoraggio Smart e, infine, Cybersecurity Industriale e Big Data Analytics. È proprio quest’ultima, l’Area 6, quella che vede Cisco impegnata in prima persona, grazie all’allestimento di due unità dimostrative. Ce ne parla Cristian Perissinotto, Technical Solutions Architect di Cisco, che è la persona che ha seguito da vicino la realizzazione dei dimostratori. L’obiettivo dei dimostratori è far vedere a un’azienda quanto è vulnerabile se non segue le elementari precauzioni di sicurezza, e come la situazione possa cambiare una volta introdotti gli strumenti e le “practice” corrette. Far comprendere il pericolo, insomma, è la prima cosa da fare.

«Il tema della Cyber Security sta diventando fondamentale per il mondo manifatturiero – commenta Perissinotto – Un dato molto interessante emerge dagli ultimi due report sulla Cybersecurity di Ibm. Sia nel 2021, sia nel 2022 il settore manifatturiero è stato il verticale che ha subito il maggior numero di attacchi, addirittura più del settore finanziario. Quindi è sicuramente un verticale dove c’è un forte interesse da parte di chi attacca». Alla luce di questo dato, è chiaro che la cybersecurity non può più essere una tecnologia accessoria da sacrificare al primo giro di ottimizzazione del budget, ma va interpretata come una tecnologia fondamentale per garantire l’operatività dell’azienda. «Deve essere pensata alla stessa stregua delle tecnologie che garantiscono la continuità produttiva – conferma Perissinotto – così come ridondo le linee di alimentazione che portano l’elettricità al mio impianto, così devo inserire soluzioni di cybersecurity per proteggere la mia produzione».

 

I dimostratori dell’Area 6 – cosa c’è nel rack

A simulare la fabbrica nell’installazione del Made troviamo un singolo motore, dotato di sensori che trasmettono in tempo reale i dati al sistema Scada

Per realizzare le demo presenti in Area 6, Cisco ha allestito un armadio rack che riunisce in un unico punto fisico i due “mondi” IT e OT. «Nel rack abbiamo riprodotto su scala ridotta la rete di un’azienda, sia per quanto riguarda la parte OT sia per quella IT – descrive Perissinotto – In particolare, sulla parte OT abbiamo riprodotto l’architettura di riferimento di Cisco per la rete industriale, inserendo anche le componenti di cybersecurity OT. Quindi iniziamo con lo switch industriale, l’IE3400, che fornisce connettività a tutti i dispositivi industriali di una linea di produzione. Questo costituisce una prima cella di produzione, che viene protetta da un Firewall apposito, il quale protegge tutti i flussi in ingresso e in uscita per i dispositivi industriali di quella cella». Si tratta di un componente della linea Isa3000, dove Isa sta per Industrial Security Appliance. Nella parte OT dell’armadio c’è un ulteriore componente della stessa linea, ed è il Cisco Ic3000 Industrial Compute Gateway, un router/gateway industriale che in questa installazione viene sfruttato per compiti di edge computing legati alla cybersecurity. La connessione fra il firewall della parte industriale e la parte IT viene realizzata tramite uno switch di aggregazione che rappresenta, di fatto, il backbone di tutta la rete industriale, ed è il primo componente dichiaratamente IT dell’armadio: la differenza fra le due linee, a livello visivo, è evidentissima.

Infatti, gli apparati dedicati all’OT sono pensati per essere installati su un binario Din (a sua volta montato sul rack tramite staffe adattatrici), sono progettati per operare in ambienti critici per temperatura e umidità, e sfruttano lo chassis per il raffreddamento, al posto delle classiche ventole. Le componenti IT invece sono nel classico formato rack da 19″, con altezza standard di una unità. Proseguendo nell’esame dei componenti IT, abbiamo poi un primo livello di sicurezza costituito dall’Industrial Dmz (De Militarized Zone). Una DMZ, o Zona Demilitarizzata, è un’area separata e sicura all’interno di una rete informatica, progettata per ospitare servizi accessibili dall’esterno mantenendo allo stesso tempo la rete interna al riparo da eventuali attacchi. «La Dmz viene realizzata da un firewall che separa la parte OT dalla parte IT e controlla tutte le comunicazioni tra questi due mondi» spiega Perissinotto. Nell’armadio realizzato al Made, a monte di questo firewall, ci sono gli apparecchi che costituiscono la rete IT dell’azienda. «Abbiamo un altro switch, dove andiamo a collegare tutti i dispositivi tipici per far funzionare la parte IT dell’azienda, come i Pc dei dipendenti e così via – spiega – E poi abbiamo la connessione verso l’esterno dell’azienda, che è protetta da un ulteriore firewall. Il backbone del Made rappresenta per noi l’accesso verso Internet».

 

Le demo di cybersecurity

La moderna fabbrica digitale del Made si trova in uno storico edificio industriale ristrutturato del secolo scorso, oggi parte del campus Durando del PoliMI, nel quartiere Bovisa

La soluzione realizzata da Cisco, e concordata con il Politecnico di Milano, consente di realizzare nell’area 6 del Made due diversi dimostratori di cybersecurity. In entrambi i casi, la “fabbrica” è rappresentata nella simulazione degli eventi da un motore collegato a un sistema di controllo e monitoraggio digitale. La prima demo serve a dimostrare l’importanza di separare le reti IT e OT in azienda. «Nella prima demo si parte da una situazione dove non c’è separazione fra IT e OT – spiega Perissinotto – e quindi c’è un’unica infrastruttura tutta aperta nella quale tutti parlano con tutti». Si tratta di una situazione molto comune, specie nelle Pmi. «Negli uffici di questa azienda un commerciale riceve una email, che ha per oggetto una cosa tipo “Risultati del tuo business”. Purtroppo il commerciale non si accorge che il mittente è falso, quindi scarica dalla email l’allegato Excel e lo apre. E immediatamente, chi controlla la produzione perde la visibilità dell’impianto». Il file Excel conteneva un malware che ha fatto sì che il sistema Scada aziendale non fosse più in grado di effettuare il monitoraggio. Durante l’effettuazione della demo infatti si vede che, una volta aperto il presunto file Excel, non c’è più flusso dati dallo Scada (al posto dei numeri si vedono dei cancelletti). Il motore (e quindi l’impianto) continua a girare, ma non possiamo più sapere a che velocità, se ci sono irregolarità, eccetera. «Questo tipo di attacco non blocca la produzione, ma fa perdere il controllo di quello che sta succedendo all’impianto» puntualizza Perissinotto. La seconda fase della demo consiste nel mostrare l’utilità di avere le due parti della rete, IT e OT, separate da una Dmz. Per fare ciò, viene attivata una regola sul firewall, che nella prima fase della demo era completamente “aperto” (a simulare l’assenza di protezione). «Appena attivato il firewall, si vede cessare il traffico malevolo proveniente dal Pc, perché non è tra i flussi autorizzati – spiega Perissinotto – e lo Scada riacquista la visibilità sui dati del motore».

La seconda demo è più complessa, e riguarda un’azienda che “ha imparato” la lezione della prima demo. Ha quindi creato reti separate con un’Industrial Dmz a fare da barriera, e ha implementato un sistema di Network Access Control anche nella parte industriale, utilizzando Cisco Ise (Identity Service Engine) per autenticare chi si collega. Infine, l’azienda ha implementato anche la soluzione di visibility di Cisco Cybervision, ovvero una soluzione che consente di capire cosa sta avvenendo monitorando il traffico di rete. In questa demo, la soluzione di visibility gira sull’Edge Computer Ic3000 che abbiamo citato descrivendo le attrezzature del rack. Tutto a posto quindi, l’azienda ha configurato bene la rete, il commerciale è stato demansionato, cosa potrà andare storto? «Ebbene, succede che il commerciale che ha creato il problema nella prima demo adesso fa il manutentore per i turni di notte – racconta Perissinotto – e deve fare un intervento pianificato. Ovviamente lui ha accesso alla rete, in quanto è stato autorizzato; e purtroppo, prima di iniziare il suo lavoro apre un file infetto. Istantaneamente, il motore che stava girando si blocca». Una situazione decisamente critica, visto che ci si ritrova con un impianto fermo, che perde soldi, e non c’è presente in fabbrica nessuno che sappia cosa fare: non c’è niente di guasto, l‘alimentazione è presente, ma la fabbrica è ferma. «È in queste situazioni che interviene la soluzione di Visibility – continua Perissinotto. Ci si collega all’edge computer, e si vede che il sistema ha rilevato un traffico anomalo. C’è proprio una mappa che mostra i vari dispositivi e come comunicano fra di loro, e lì appare il riquadro che segnala l’anomalia. In questo caso si riconosce perché è un traffico Ip broadcast che non dovrebbe mai esserci su una rete di questo tipo. Nella demo usiamo un attacco Ddos (Distributed Denial Of Service) di livello 2. E infatti, facendo un “deep dive” sull’anomalia si può osservare che il Pc del manutentore genera una quantità altissima di traffico, nell’ordine dei Gigabyte». A questo punto appare chiara la fonte dell’attacco che ha appena bloccato la fabbrica. «Ciò è reso possibile dall’integrazione dei vari sistemi di cybersecurity – specifica Perissinotto – e subito quel Pc da cui è generato il traffico anomalo viene “spostato” in uno stato di quarantena, di fatto isolandolo. Nel momento in cui questo si verifica, l’impianto riparte». Morale: gli attacchi possono arrivare da qualsiasi direzione, fuori o dentro la fabbrica. Quindi, agli strumenti di segregazione e controllo accessi vanno aggiunte soluzioni capaci di analizzare tutto il traffico di rete alla ricerca di minacce, dandoci visibilità sull’intero network.

Un’ultima nota: al di là dell’installazione demo, nel mondo reale una soluzione di questo tipo sarà composta da una parte che si installa nello stabilimento e da una parte IT, che può essere anche messa in cloud. Tuttavia, l’analisi del traffico viene eseguita localmente dall’edge computer, il quale invia poi al cloud solo dati già elaborati (quindi con minori necessità di banda e minori problemi di lag); in compenso, l’edge riceve informazioni sulle minacce e suoi traffici anomali dai servizi di Threat Intelligence di Cisco, con i quali è collegato e che gli permettono di essere sempre aggiornato sull’evoluzione delle minacce in Rete.














Articolo precedenteFusioni e acquisizioni nella logistica e nei trasporti: l’analisi di Rp Legal & Tax ad Assologistica (Milano, 6 giugno)
Articolo successivoM&A e focus sull’elettromobilità: la strategia di Marposs Italia spiegata dal presidente Sceusi






LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui