Proteggere la produzione da attacchi cyber è un imperativo non differibile. Il numero di attacchi sta crescendo rapidamente sia a livello globale sia in particolare in Italia, così come il numero di potenziali bersagli, grazie all’Industria 4.0 e alla digital transformation. Il tema è stato dibattuto in un Webinar organizzato da Afil, nel quale si è fatto il punto sulla situazione dei rischi, sulle possibili soluzioni, e si sono presentate metodologie, standard e prodotti/servizi che possono aiutare le aziende a identificare e respingere gli attacchi.
Rischio cyber nell’OT (Operational Technology): la situazione è grave, ma le aziende non si preoccupano
La quarta rivoluzione industriale nell’ultimo decennio ha portato le tecnologie digitali all’interno delle fabbriche e delle linee di produzione. Cosa che ha prodotto innumerevoli vantaggi, ma ha anche introdotto nello shopfloor un problema prima sconosciuto: quello della sicurezza, intesa non nel senso tradizionale di “safety“, ma nella sua accezione informatica, quella della “cybersecurity“. Del resto, importando in ambienti OT tecnologie digitali e standard aperti nati nell’ambito dell’Ict, era quasi inevitabile doversi confrontare con il “lato oscuro” del mondo dei bit&bytes, quello dei criminali informatici, degli hacker “black hat”, dei gruppi, spesso con coperture governative, dediti al cyberspionaggio e al cybersabotaggio. Nel settore dell’Ict si combatte contro il “lato oscuro” almeno dagli anni ’80, e in questi 4 decenni di lotta senza quartiere si sono messi a punto strumenti – hardware e software, ma soprattutto metodologie e principi – che consentono di ridurre il rischio di intrusione, e di limitare i danni nel caso un attacco abbia successo. Tuttavia, molti di questi strumenti non sono applicabili direttamente agli impianti di produzione industriale: una copia di backup può ripristinare il data base cancellato da un hacker, ma se un Plc viene attaccato e provoca un’esplosione in una raffineria, avere il backup del firmware per ripristinare il Plc sarà una magra consolazione. Sta di fatto che gli attacchi in ambito OT stanno crescendo rapidamente, sia in numero che in efficacia. Anche perché alle bande di cybercriminali dediti principalmente ai blocchi a scopo di riscatto (ransomware) si stanno ultimamente aggiungendo gruppi al soldo di Paesi che usano gli attacchi informatici all’interno di una strategia di guerra. Secondo il gruppo Trend Micro, specializzato in cybersecurity, l’Italia in gennaio è stata il terzo Paese al mondo per attacchi ransomware, con il 4,84% del totale di attacchi, calcolati in 785.000. Fra gennaio e febbraio, il totale di attacchi malware di ogni tipo in Italia assommava a circa 17 miliardi. Fra i casi recenti noti, il sistema di biglietteria delle Fs, l’It dell’Ospedale S. Giovanni di Roma, e quello della S. Carlo (sì, quella delle patatine). E nelle ultime settimane abbiamo assistito ad attacchi verso siti del Governo e di alcuni ministeri, oltre che verso la rete della Sanità lombarda, ma in ogni caso secondo Trend Micro i settori più colpiti restano nell’ordine la produzione, la Pa e i servizi finanziari. Insomma, per parlare chiaro: la vostra azienda verrà attaccata. Non è questione di se, ma di quando.
Paradossalmente, nonostante il moltiplicarsi dei casi, sembra che la maggior parte delle aziende manifatturiere consideri l’ipotesi di un attacco hacker come “puramente ipotetica”, e non meritevole di attenzione – meno che meno di investimenti. Ma se vi sembrano alti i costi della sicurezza, è perché non avete ancora visto i costi dell’insicurezza. Le perdite, nel caso l’attacco si verificasse, sarebbero ingenti. A seconda della tipologia di attacco, andiamo dal blocco di una linea produttiva (nei casi più banali) a danni hardware ai macchinari, dallo spreco di materie prime e semilavorati, a perdite di immagine nel caso l’attacco divenisse di dominio pubblico. E questo senza nemmeno considerare attacchi più subdoli, come quelli che modificano la programmazione dei macchinari per far uscire i prodotti “fuori specifiche”, causando la perdita di materiali e commesse, oltre che conseguenze legali da parte dei compratori dei pezzi non conformi. La buona notizia è che strumenti e metodi di difesa esistono anche in ambito OT, in parte mutuati e adattati dall’arsenale in uso in ambito Ict, in parte sviluppati ad hoc da specialisti del settore che ben conoscono le esigenze dello shopfloor. Proprio di strategie, strumenti e standard per la difesa dell‘OT da attacchi cyber si è parlato nel webinar “Cybersecurity nel manifatturiero” organizzato da Afil, Associazione Fabbrica Intelligente Lombardia, in collaborazione e con gli interventi dei Soci del Cluster Txt Group e del partner Armis e Security Pattern a cui si è aggiunta la testimonianza di Radiflow, realtà israeliana d’avanguardia sul tema della Cybersecurity. Ed è stato Giacomo Copani, in qualità di cluster manager di Afil, ad aprire i lavori, ricordando il ruolo dell’Associazione (che conta 143 membri fra aziende, università e associazioni industriali) all’interno dell’ecosistema industriale lombardo e non solo. «Siamo il soggetto di riferimento in Regione che rappresenta il settore del manifatturiero avanzato – ha spiegato Copani – insieme ai nostri soci, individuiamo quelle che sono le priorità e le trasferiamo alla Regione, che sulla base di queste fa i suoi programmi di ricerca e innovazione, decide come fare i bandi e quali iniziative attivare che siano davvero a favore dell’industria». Per assolvere questo ruolo, AFIL organizza con i suoi Soci attività molto concrete, atte a far sì che i Soci possano concepire progetti di ricerca e innovazione con la facilitazione del cluster e a fianco delle istituzioni regionali. «Questo fa sì che la performance di ricerca e innovazione sia migliore di come sarebbe se ognuno lavorasse da solo. E camminando su questo solco si ottiene in un certo senso l’endorsement della Regione Lombardia». C’è da dire che l’operato di Afil non è limitato all’ambito regionale, ma mira a posizionare le aziende affiliate all’interno dello scacchiere nazionale e, ancora di più, europeo, tanto che l’associazione collabora molto con la Commissione Europea e all’interno dell’European Cluster Cooperation Platform. Ancora più recente è la collaborazione con il World Economic Forum, sempre al fine di perorare gli interessi delle aziende lombarde. Fra i punti di forza di AFIL c’è anche la sua composizione variegata. «In AFIL siamo 143 soci, la maggior parte sono aziende grandi e piccole – conferma Copani – ma ci sono anche praticamente tutte le università della Lombardia, centri di ricerca, e associazioni industriali, per esempio varie territoriali della Confindustria, e associazioni tematiche come Ucimu».
La testimonianza di Txt Group e Armis
Sappiamo che il numero di device collegato alla rete Internet è in rapida crescita, e buona parte di questi dispositivi non viene gestita. «Purtroppo viviamo in un momento di guerra ibrida, pensiamo a cosa è successo su molti siti della pubblica amministrazione negli ultimi giorni, e quindi proteggere l’intera superficie di attacco è assolutamente necessario – spiega Michele Fiorilli, solution architect di Armis, azienda di cybersecurity basata nella Silicon Valley (ma nata in Israele) specializzata in Ot e medicale – Purtroppo, abbiamo collegato alla Rete macchine che dal punto di vista tecnico, del networking e della sicurezza, sono molto deboli, perché sono nate per fare altro. Sensori e Plc, ma anche una banale telecamera o smartphone, sono oggi indispensabili per la produzione ma sono anche facili bersagli degli hacker. E se attaccano un apparato all’interno della mia infrastruttura, e riescono a comprometterlo, compromettono l’intera infrastruttura». Purtroppo, le soluzioni di sicurezza tradizionali sono state concepite per un mondo che non esiste più. Oggi non c’è un perimetro da difendere: i dipendenti di un’azienda, con i loro dispositivi, possono trovarsi ovunque. E i tradizionali sistemi di controllo non hanno la capacità di vedere contemporaneamente tutto quello che le macchine fanno, non c’è un punto di vista unico dal quale si possa tenere d’occhio tutto il complesso. Si ricorre allora a un certo numero di strumenti, ognuno dei quali controlla alcuni aspetti del sistema. Ma questo equivale a non avere un vero controllo, tanto che gestire le policy di sicurezza suddivise fra troppi strumenti equivale a non gestirle per nulla.
La soluzione che Armis propone a questo problema è la creazione di una sorta di grande database condiviso, fornito sotto forma di servizio cloud, dove vengono tracciate le attività e i comportamenti dei dispositivi. In questo modo è possibile connettere i macchinari e le linee di produzione in modalità monitorata, controllata e sicura. Al momento, questa “base di conoscenze” collega ben 2 miliardi di dispositivi, e costituisce quindi la maggiore knowledge base condivisa e crowd-sourced nel settore. «Confrontando il comportamento dei miei dispositivi con la base di conoscenza di device simili collegati al servizio, posso individuare le eventuali anomalie e rendermi conto se il dispositivo è stato compromesso, se magari viene usato per i cosiddetti “movimenti laterali” ovvero per attaccare altri dispositivi sulla mia rete, partendo magari da un device poco protetto» spiega Fiorilli. Il cloud di Armis è basato in Europa (a Francoforte) e un punto di forza del sistema è che lavora in modalità agentless, ovvero senza dover installare software sul dispositivo controllato. La piattaforma infatti utilizza delle semplici sensori e sonde software poste sulla rete per raccogliere e memorizzare i dati di “behaviour” dei vari device, compresi quelli IioT. «È importante sottolineare che all’interno del cloud non girano dati sensibili, ma solo quelli fisici sui dispositivi connessi, e quelli relativi ai comportamenti – specifica Fiorilli – Se per esempio sto tracciando una telecamera, saprò che ha creato dati e che li ha inviati a un certo indirizzo, ma non avrò traccia delle immagini trasmesse». In definitiva, il sistema Armis consente di scoprire (in maniera assolutamente passiva) tutti i device presenti sulla propria rete, identificare i gap di sicurezza rispetto alle varie situazioni (vulnerabilità, traffico malevolo, botnet, malware) e infine dare visibilità di quanto si è scoperto, tramite apposite interfacce, informative, o anche facendo partire e orchestrando delle risposte automatiche.
La testimoniaza di Security Pattern: primo passo, adottare uno standard
Quando si opera in un panorama dove gli utenti hanno configurazioni estremamente variegate, è difficile proporre metodi validi per tutti. Soprattutto se gli utenti sono le industrie e l’argomento del dibattito è la cybersecurity, tema sul quale i soggetti interessati sono chiaramente in deficit di competenze ed esperienza. Questo è il tipico caso nel quale torna utile avere delle regolamentazioni di riferimento, che dettino degli standard e diano una direzione verso cui tendere, se non addirittura un modus operandi. In questo caso, le regole ci sono, e fanno parte dello standard ISA/IEC 62443. La cosa interessante è che, mentre i prodotti e servizi di cybersecurity tipicamente si occupano di dare la caccia ai “cattivi” quando sono già entrati nelle nostre reti, le normative contenute nel 62443 danno una serie di indicazioni atte ad aumentare la resistenza delle reti agli attacchi. «Già dai primi anni di attività abbiamo toccato vari ambiti operativi, da quello dell’IioT (automotive, medicale, automazione industriale) allo smart building e home automation – spiega Manuel Crotti, business developer di Security Pattern, startup milanese che si occupa di sicurezza degli oggetti interconnessi, e aiuta i creatori di questi oggetti a progettare, implementare e operare i loro sistemi con un livello di sicurezza sostenibile – Chiaramente, l’automazione industriale necessita sempre di più di adottare sistemi di cybersecurity, perché l’infrastruttura di produzione conta un numero crescente di sistemi connessi in rete. Inoltre, sempre più questa connessione si realizza con dispositivi standard, “commercial off the shelf”, che per loro natura sono più esposti ad attacchi cyber, come dimostrano numerosi casi trapelati in questi ultimi anni». Il caso che è nella memoria di tutti è quello del malware Stuxnet, individuato nel 2009. Questo virus era strutturato per “viaggiare” e replicarsi su Pc Windows, ma il suo obiettivo era di danneggiare le centrifughe di arricchimento dell’uranio in una centrale atomica iraniana, colpendo i Plc con sistema operativo Step 7 che le controllavano. Un attacco estremamente mirato, che però portò parecchio scompiglio negli ambienti della cybersecurity.
Negli ultimi anni, i casi si sono moltiplicati: dall’attacco all’Ics di una centrale elettrica in medio oriente nel 2017, agli attacchi di hacker russi alle reti di grandi corporation effettuati passando attraverso semplici dispositivi vulnerabili come una stampante, un telefono IP, o un decoder video. Ricordiamo anche gli attacchi subiti nel 2020 dal settore dell’energia in Azerbaijan, che avevano come target i sistemi Scada delle pale eoliche, e quelli dell’anno scorso alla rete elettrica indiana, probabilmente a opera di hacker cinesi. Altri esempi li trovate qui. Ora, da tempo tutti gli esperti concordano che per mettere in sicurezza un sistema dai cyberattacchi l’approccio migliore è quello detto “security by design” – ovvero, considerare l’aspetto della cybersecurity fin dall’inizio della progettazione del sistema, e mantenere una visione complessiva e un’attenzione costante durante le varie fasi di sviluppo, implementazione e operatività, garantendo così la sicurezza per tutto il ciclo di vita del device o dell’impianto. «Ma c’è un problema: abbiamo una tematica, la cybersecurity, abbiamo un approccio, la “security by design“, e abbiamo un ambito, quello dell’automazione della fabbrica. Ma quale standard useremo per implementare il sistema di sicurezza? Perché la maggior parte degli standard esistenti, dall’ISO27001 al Common Criteria, dall’IEC62531 all‘IEC61850, al FIPS140, nascono per essere usati in ambito IT, e quindi non sono adatti all’impiego in ambito OT dove le priorità sono diverse. Per esempio, in OT è fondamentale la sicurezza delle persone, e se vengo attaccato non posso pensare di “spegnere tutto” come si può fare in It, perché spegnendo all’improvviso potrei mettere a rischio l’incolumità del personale, o causare un disastro ambientale» spiega Crotti. La soluzione al problema potrebbe dunque arrivare dallo standard ISA/IEC 62443, che abbraccia in modo specifico l’ambito industriale e tiene presenti quegli aspetti di risk assessment che sono tipici del settore.
Come è strutturato lo standard ISA/IEC 62443
Lo standard ISA/IEC 62443 definisce prima di tutto tre ruoli: quello dell’Asset Owner, che opera gli impianti IACS; quello del System Integrator, che integra sottosistemi e componenti per configurare uno IACS per un determinato ambiente; e quello del Product Supplier, che sviluppa e manutiene singoli componenti o sottosistemi come un’applicazione software, un device embedded, un componente di rete o un device host. La struttura dello standard poi contiene quattro parti (Generale, Policy e procedure, Sistemi, Componenti) nelle quali si definisce ciò che ogni ruolo è chiamato a fare per garantire la sicurezza. La Parte 4, in particolare, definisce le policy di sicurezza per i produttori di dispositivi, ed è divisa a sua volta in due normative: una per la sicurezza del dispositivo e una che definisce la sicurezza del processo di implementazione del dispositivo lungo tutto il suo ciclo di vita. Secondo queste regole, la sicurezza del dispositivo verrà catalogata su 4 livelli, crescenti da SL1 a SL4. A determinare la categoria ci sono una serie di Foundation Requirements che, una volta calcolati, permettono di determinare il grado di resistenza del dispositivo a eventi come accessi non autorizzati, attacchi all’integrità dei dati, esecuzione di operazioni non autorizzate eccetera. In un sistema composto da più dispositivi, il livello di sicurezza complessivo è pari a quello del subcomponente con valore più basso – per il classico principio della catena, la cui forza è determinata dall’anello più debole.
Un altro aspetto interessante dello standard 62443 è il concetto di Livello di Maturità, che misura la qualità del processo di sviluppo e mantenimento di un prodotto dal punto di vista della cybersicurezza, distinguendo 5 livelli dal minimo Ml1 al massimo Ml5. In pratica, applicando le direttive del Tier 4 è possibile certificare la sicurezza di un sistema sia dal punto di vista dei componenti/device, sia da quello del processo. Ma questa è solo una piccola parte delle tematiche coperte dall’Isa/Iec62443. Basti pensare che il documento che descrive lo standard occupa circa 800 pagine, ed è quindi estremamente dettagliato. Di fatto, adottando questo standard chi produce sistemi di automazione può immettere sul mercato dispositivi che non daranno eccessivi “mal di testa” agli utilizzatori dal punto di vista della cybersicurezza. Vista la complessità dell’argomento, è utile affrontare il processo con un partner che conosca bene lo standard. «Come Security Pattern ci affianchiamo al nostro cliente per verificare nel suo processo di sviluppo qual è la distanza fra il prodotto, o il processo, e il livello di certificazione che è interessato a ottenere – dice Crotti – Si chiama “Gap Analysis” e ci consente di arrivare a un prodotto con un livello di maturità tale da poterlo portare a un ente certificatore. Tra l’altro, siamo la prima azienda italiana di cybersecurity certificata secondo IEC62443-4-1:2018»
L’esperienza di Radiflow
Per capire meglio le sfide della sicurezza in ambito OT bisogna fare un passo indietro, e vedere cosa è cambiato con la quarta rivoluzione industriale rispetto a prima. «Chi ha iniziato a lavorare nell’It negli anni ’80, ricorderà che allora i dati erano centralizzati, era l’era del batch processing. Con gli anni ’90 abbiamo visto crescere il Client-Server, un’architettura nella quale i dati sono distribuiti. Ma dal 2010 quello che vediamo è è il fenomeno dell’IoT, un ecosistema integrato dove i dati sono ovunque. E a questo ecosistema viene connesso ogni tipo di device, non solo computer, anche smart building, autoveicoli, dispositivi digitali personali e macchinari industriali» spiega John Allen, Strategic Consultant di Radiflow, provider di soluzioni di sicurezza per l’industria e le infrastrutture critiche. «Con la quarta rivoluzione industriale, in particolare, abbiamo cominciato a vedere un numero sempre maggiore di sistemi connessi, cosa che ha aumentato la complessità del lavoro di security perché i dati sono ovunque e queste macchine spesso non sono facili da gestire. Ma la cosa importante da capire è che a mano a mano che il mondo diventa sempre più connesso, e quindi appare chiaro il valore dei dati e delle tecnologie, sempre più proteggere questi asset diventa un fattore chiave di successo per le aziende». Ma cosa bisogna fare per mettere davvero in sicurezza la propria infrastruttura? La prima cosa cui fare attenzione, secondo Allen, è partire da fondamenta solide. Bisogna muoversi considerando la Security by Design, la Resilience by Design, avere un modello operativo che sia da subito orientato ai dati digitali. E naturalmente il tutto va fondato su una base di conoscenza profonda, fatta di cultura, skill e una mentalità ben orientata.
E la cosa non vale solo per i tecnici IT, ma anche per chi lavora nello stabilimento, il che può creare qualche problema, perché le culture dell’IT e dell’OT sono radicalmente diverse quando si va ad esaminare le priorità lungo il lifecycle dei sistemi. Se la cultura IT prioritizza gli aggiornamenti continui, i processi gerarchici, il contenuto tecnologico, l’agilità e tende a essere poco “connessa” con i processi di business, la cultura dell’OT è impostata sul “safety first”, sul controllo qualità (e rispetto delle normative), la produttività, il controllo dei costi, il “real time”, e su cicli di vita degli impianti molto lunghi, anche di 20 o più anni. Perché si possa mettere in condizioni di cybersicurezza un impianto, è necessario che queste due culture si confrontino e si sforzino di trovare un linguaggio comune. E ne vale la pena, perché il successo della trasformazione digitale genera un grande valore per l’azienda. L’impegno per creare le fondamenta culturali di cyber cultura, skill, processi e tecnologie va quindi considerato assolutamente necessario. I costi aggiuntivi associati a un percorso di trasformazione digitale condotto in questo modo saranno sempre ben al di sotto del danno che si subirebbe in caso di data breach, evento tutt’altro che raro negli impianti progettati e installati senza tenere conto di questa vision.
Gli strumenti di Radiflow
Per aiutare le aziende a raggiungere una visione complessiva dei propri sistemi da un punto di vista della cybersecurity, Radiflow mette a disposizione una serie di strumenti specifici. Essi coprono tematiche come la Industrial Threat Detection e il Risk Management, e assistono l’azienda a non “tirare più a indovinare”. «I nostri tool consentono di monitorare la sicurezza in modo proattivo, in modo da poter osservare le minacce, valutare il loro impatto e operare di conseguenza in modo cost-effective, per mantenere il migliore Roi possibile» ha spiegato Will Burnett, solution architect & technical sales di Radiflow. Gli strumenti principali in catalogo sono iSID, che permette di “vedere” la propria rete fino al dettaglio del singolo device, mapparne le zone, individuare i firmware dei Plc e creare un inventario degli asset e delle vulnerabilità; iSEG, un gateway hardware che vigila sul traffico dati; Ciara, un tool che si occupa sia dell’ottimizzazione della sicurezza sull’Ot, sia di gestire funzioni come la Security Roadmap e gli aggiornamenti, coadiuvando quindi l’ultimo tool iCEN, che gestisce le funzioni di monitoraggio remotizzato. Il pacchetto di strumenti assicura le funzionalità di “compliance enabler” rispetto allo standard IEC 62443 (di cui parliamo più sopra), Nerc Cip e verso la direttiva Nis.
La Strategic Community “Digital Transformation di Afil”
Il Cluster Afil promuove da sempre l’adozione delle tecnologie legate alla digitalizzazione all’interno della contesto manifatturiero lombardo al fine di favorire la competitività e il rafforzamento delle filiere produttive regionali. A tale riguardo, la Strategic Community “Digital Trasformation” ha individuato diverse priorità: l’intelligenza artificiale, la sensorizzazione, la big data analytics, la realtà aumentata e virtuale, i digital twins, la robotica collaborativa e il 5G e wireless Ict. Nel corso degli anni, la Strategic Community “Digital Transformation” ha concepito e realizzato importanti progetti di ricerca e innovazione. Tra essi Smart4CPPS e Watchman sono stati finanziati da Regione Lombardia rispettivamente nel contesto degli “Accordi per la Ricerca, lo Sviluppo e l’Innovazione” e della Call Hub Ricerca e Innovazione. Entrambi rappresentano un esempio virtuoso di collaborazione: essi sono stati concepiti dai Soci AFIL che hanno fatto filiera all’interno del gruppo di lavoro. Inoltre, attraverso AFIL il gruppo è inserito in un percorso di posizionamento internazionale mediante il coinvolgimento in diversi network internazionali come l’iniziativa Vanguard e la Piattaforma S3 della Commissione Europea. Infine, attualmente, la Strategic Community sta finalizzando la Roadmap sull’Intelligenza Artificiale di Regione Lombardia insieme a rilevante stakeholder dell’ecosistema dell’innovazione regionale. Il gruppo è inclusivo e la partecipazione è aperta a tutti i soggetti interessati al tema che vogliono condividere idee e sfide al fine di incrementare la competitività del manifatturiero regionale.
