Da quando la rete industriale è collegata a quella informatica, i rischi in termini di cybersecurity sono aumentati esponenzialmente. I dati raccolti dalla prima sono elaborati nella seconda; ma in questo passaggio può insinuarsi l’attività di criminali che possono, ad esempio, una volta espugnata la rete industriale, chiedere un riscatto, minacciando di fermare la produzione.
Cosa può fare, dunque, un’azienda per tutelarsi? Hpe Aruba, divisione Networking della multinazionale americana dell’IT Hewlett Packard Enterprise, indica la strada. Una strategia in tre mosse.
Anzitutto, dotarsi di strumenti in grado di individuare in automatico qualsiasi dispositivo collegato alla rete aziendale. In secondo luogo, definire delle policy, linee guida per la gestione delle identità che stabiliscano chi può entrare in rete e quali attività può svolgere. Infine, servirsi di una strumentazione in grado di congelare, sempre in automatico, le minacce al network dell’impresa. Aruba ClearPass è la piattaforma (cloud-based ma disponibile anche on premise) che consente di implementare queste tre funzioni di sicurezza. Ne abbiamo parlato con il Country manager di Hpe Aruba, Fabio Tognon.
La cybersecurity in tempi di convergenza tra IT e OT
Sempre più, nell’industria si parla di convergenza tra IT e OT. Ci si riferisce ad un fenomeno di grande rilievo, quello della crescente interdipendenza tra la rete industriale, grazie alla quale un’azienda può gestire l’attività una pluralità di macchinari, e quella IT, che serve a memorizzare, recuperare, trasmettere e manipolare dati. Il fenomeno è un portato della digitalizzazione. Per anni, queste due reti sono state gestite secondo criteri diversi. «Erano due mondi separati» – afferma Tognon. I primi ad avvertire l’importanza della cybersecurity sono stati i tecnici dell’IT, «quando si è trattato di abilitare i lavoratori ad accedere alle app aziendali con dispositivi mobili». Ma con l’avvento dell’internet of things e con l’interconnessione delle macchine, e cioè con l’utilizzo di migliaia di dispositivi industriali che nativamente posseggono un indirizzo IP o ai quali è stato associato successivamente, la questione della cyber sicurezza si è posta anche per il mondo OT. In realtà l’IT e l’OT sono sempre più interdipendenti anche dal punto di vista della cybersecurity. Si pensi al fenomeno dello spear phishing. Una mail viene inoltrata da un cyber criminale ad un dipendente dell’azienda, di cui il primo conosce gli interessi.
Nel momento in cui il dipendente apre un allegato infetto, scatta il malware (“malicious software”, che significa letteralmente “software malintenzionato”: indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata) che si mette in azione, dirigendosi verso un target definito. In pratica, lo sfortunato dipendente è il cavallo di Troia del cyber criminale. Troia, però, non è il conto corrente del dipendente, ma l’azienda. Se il criminale riesce ad aprire una breccia nel sistema, può bloccare la produzione. O chiedere un riscatto per riattivarla. D’altra parte un cyber criminale può anche cercare di aggredire una macchina interconnessa (o anche, ad esempio, i device dello smart building: un condizionatore, una serratura o una lampada intelligente) per entrare nella rete industriale e conseguire il medesimo fine. Dunque, in un certo senso, la sicurezza dell’azienda dipende anche dal grado di consapevolezza dei dipendenti a proposito di questi pericoli. Ma il modo in cui l’impresa struttura il proprio sistema di difesa è cruciale. Ma cosa deve fare un’azienda per tutelarsi? «Ci sono tre imperativi – afferma Tognon – visibilità, controllo e automazione».
Il primo imperativo: la visibilità
«L’azienda deve riconoscere qualsiasi dispositivo, personale o industriale, collegato alla sua rete aziendale» – afferma Tognon. E in materia Hpe Aruba ha una specifica soluzione, ClearPass. Identifica quali dispositivi vengono utilizzati, quanti ne sono, da dove si connettono e quali sistemi operativi sono supportati. «Soprattutto nel mondo IoT, ma non solo in quello – continua Tognon – i vendor sono molti, e spesso i device sono dotati di protocolli diversi: parlano lingue differenti». E poi ci sono le “specifiche”: ad esempio, una di queste indica che un certo dispositivo wifi supporta un certo standard e un certo numero di variazioni nella velocità del segnale. ClearPass è in grado di interpretare linguaggi e varianti. E ClearPass Device Insight è un plug-in collegato ad una vasta libreria, costantemente aggiornata, di protocolli industriali diversi. L’identificazione si svolge in automatico.
Il secondo imperativo: il controllo
Una volta che l’azienda è un grado di visualizzare tutti i device collegati, si tratta di definire per ciascuno di loro delle policy, ossia delle linee guida: ad esempio, si concede ai dipendenti che fanno parte di un certo dipartimento di fruire di alcuni servizi in rete ma non di altri, di accedere ad alcune informazioni ma non ad altre. In questo caso, però, i parametri vengono inseriti manualmente. Il team It stabilisce peraltro quali e quanti (a persona) tipi di dispositivi sono ammessi. Con ClearPass Guest i dipendenti, gli addetti alla reception, i coordinatori di eventi e altro personale non IT possono creare in modo semplice ed efficiente account temporanei per l’accesso alla rete per un numero indefinito di ospiti ogni giorno. «Con una corretta segmentazione, si riesce peraltro ad assicurare all’utente un’esperienza ottimale».
Il terzo imperativo: l’automazione
Non è realistico affidarsi al personale IT e dell’help desk affinché intervenga manualmente ogni volta che un utente decide di lavorare in remoto o acquistare un nuovo smartphone. Né è immaginabile che una persona fisica intervenga qualora si verifichi un comportamento insolito alle tre di notte. Nel caso in cui insorgano dei problemi, è necessario un approccio automatico e unificato che blocchi il traffico e cambi lo stato della connessione di un dispositivo. In realtà ClearPass reagisce in modo diverso, a seconda delle circostanze. Se ad esempio l’amministratore delegato di una azienda viola la policy aprendo una pagina Fabebook, ClearPass può limitarsi a segnalare la circostanza all’IT; se invece si verifica un attacco informatico ad una macchina interconnessa, presumibilmente con lo scopo di penetrare nella rete industriale, il questo caso il dispositivo viene messo in quarantena, e cioè viene sospeso dal network. Con la policy di ClearPass e la soluzione “AAA” si può peraltro usufruire della creazione automatica di profili, di un’interfaccia amministrativa basata sul Web e funzionalità complete di reporting con avvisi in tempo reale. I dati contestuali raccolti vengono sfruttati per garantire che a tutti gli utenti e i dispositivi vengano concessi privilegi di accesso appropriati. Nel caso in cui l’azienda non sia ancora pronta ad applicare appieno le policy di ClearPass, può comunque utilizzare, per la creazione dei profili, lo strumento ClearPass Universal Profiler.
La strategia della collaborazione
L’idea di Hpe Aruba non è quella di presentarsi da sola al cliente, ma di agire nell’ambito di un ecosistema di vendor, alcuni dei quali producono soluzioni molto verticali, adatte cioè ad un contesto industriale particolare. È un campo, quello della sicurezza, dove nessun vendor dispone di tutte le risposte, perché gli scenari di pericolo che si possono verificare sono molteplici, ed il campo di battaglia è in costante evoluzione. Pertanto il cliente può avere interesse ad associare l’operatività di prodotti di aziende diverse. Hpe Aruba lo sa, ed infatti ClearPass è stata definita per dialogare e collaborare con le tecnologie di altri vendor importanti. Tra questi, Tognon cita Infoblox, che si occupa di servizi di rete core, come il DNS (Domain Name System) o l’Ipam (l’Ip address management); e Palo Alto Networks, una multinazionale americana di cybersecurity con sede a Santa Clara, California. I suoi prodotti principali sono una piattaforma con firewall avanzati e offerte basate su cloud per coprire altri aspetti della sicurezza. «Per noi, più che competitor sono partner» – afferma Tognon.
Sicurezza e smart working
In questo periodo storico, a causa della diffusione del Coronavirus, si è assistito ad una grande diffusione dello smart working, il lavoro agile. Con questo termine in genere si intende l’esecuzione del lavoro caratterizzata dall’assenza di vincoli orari o spaziali e da un’organizzazione per fasi, cicli e obiettivi, stabilita con accordi tra dipendente e azienda. Ma, con tutta evidenza, data la situazione, per la maggior parte delle aziende si è trattato di realizzare la versione più spinta, quella del telelavoro, e cioè dell’attività svolta a domicilio grazie all’assistenza di strumenti informatici e telematici. Si è trattato, in un certo senso, di delocalizzare gli uffici. Ovviamente, più che mai si è posta la questione della cybersecurity. Una modalità per lavorare in relativa sicurezza è quella di utilizzare una Vpn, una rete privata virtuale, un tunnel tra un dispositivo (computer, smartphone, router, tablet) e internet. Le informazioni che passano nel tunnel sono criptate. Le società provider, in molti casi, attuano una politica no-log, garantendo la non condivisione dei dati di chi utilizza la Vpn. Dunque, nascosto l’indirizzo IP e cifrata la comunicazione, la sicurezza dovrebbe essere garantita al 100%. I cyber criminali, semplicemente, non avrebbero l’opportunità di “vedere” l’attività tra dipendente e azienda. Tutti i dati sarebbero al sicuro. In realtà, in informatica, la sicurezza al 100% non esiste. Ad esempio, si pensi alle perdite WebRtc. Una Web Real-Time Communication è un insieme di tecnologie standardizzate grazie alle quali i browser comunicano tra di loro senza la necessità di un server intermediario.
Dal momento che, per far ciò, è necessario che i browser conoscano l’IP reale, questo può essere esposto al pubblico, con possibili danni per la sicurezza. O altrimenti alle cosiddette perdite Dsn. Queste si verificano quando una query Dsn (con tanto di indirizzo IP), richiesta da un provider di servizi internet, viene inoltrata direttamente a quest’ultimo e non attraverso il tunnel crittografato. Si possono verificare altri generi di problemi. In materia, Hpe Aruba ha due soluzioni. La prima è una soluzione di Remote Working, abilitata da Aruba Central, che gestisce l’intero ciclo di vita della rete Lan e Wlan (cioè quella locale con wi-fi) ma anche Vpn sovrapposte e concentratori di Vpn, detti Vpnc, che servono appunto ad evitare i guai appena descritti. «Si propaga a casa la stessa rete che si utilizza in ufficio, sia cablata che wi-fi, con tutti quei passaggi in termini di visibilità e di policy di sicurezza di cui abbiamo parlato. Lavorare sì da casa, ma in totale sicurezza, come se fossimo in ufficio». Nella soluzione ClearPass, poi, c’è un plug-in molto utile che si chiama On Guard. Esegue la “postura endpoint avanzata”; in pratica, valuta se il device dell’utente è conforme ai requisiti di policy, prendendo in considerazione diversi parametri, riferibili alla specifica infrastruttura di cui si intende tutelare l’integrità. La seconda soluzione è legata alla tecnologia VDI, che consiste nella virtualizzazione del desktop. Separa quest’ultimo e il software associato dal dispositivo client fisico utilizzato per accedervi. In pratica, ci si collega direttamente al Pc in ufficio, utilizzando quello di casa. Come si è detto, infine, Hpe Aruba punta tutto sulla collaborazione con altri vendor e il canale, asset fondamentale nella strategia dell’azienda. Infatti, il sito homeworkingitaly.it mette insieme le soluzioni di Hpe, comprese quelle di Hpe Aruba, con quelle di Poli, Citrix, Esprinet, Ingram, TechData e Computer Gross.
