Geox, Enel, Luxottica, Campari, Landi Renzo, Gruppo Carraro. Sono alcune delle aziende manifatturiere e industriali che nel corso di questi anni hanno subito un attacco cibernetico. E’ soltanto la punta dell’iceberg di un fenomeno diventato ormai ordinario, che interessa grandi, medie e piccole aziende di ogni ordine e grado. «La convergenza It/Ot e gli ambienti ibridi e multi-cloud estendono la superficie di attacco, afferma Alberto Brera country manager di Stormshield. L’integrazione tra i più diversi sistemi rende più critica e complessa la protezione di macchine e impianti. In gioco è la business continuity, la continuità operativa, che per un’azienda manifatturiera è la priorità delle priorità. Da parte nostra ci impegniamo costantemente per individuare nuove vulnerabilità e mettere in atto modalità di rilevamento sempre più efficaci».
Società del gruppo Airbus, fatturato prossimo agli 80 milioni di euro, Stormshield si occupa di cybersecurity dal 1998. Firewall, end point protection e data protection. Le tecnologie hardware e software della multinazionale francese abilitano processi di cybersecurity per contrastare gli attacchi informatici che possono essere perpetrati negli ambienti di produzione. «Abbiamo iniziato a proporre delle soluzioni Ot a partire dal 2014. Fondamentale è stata la partnership con alcuni dei leader dell’automazione, come Schneider Electric e Siemens. Ci hanno permesso di realizzare i moduli di intrusion prevention per analizzare nel dettaglio i protocolli di traffico utilizzati nel mondo industriale», dice Brera.
Ma attenzione, la sicurezza assoluta non esiste: le tecnologie antimalware servono a ridurre i rischi e le vulnerabilità. Gli imprenditori sono consapevoli delle possibili conseguenze? «Nonostante l’affermazione di ecosistemi Industry 4.0, l’attenzione è scarsa, soprattutto per la mancanza di una cultura informatica, che non si è ancora pienamente diffusa nell’ambiente di fabbrica», dice Brera. Il suggerimento verso quelle imprese che non hanno ancora elaborato un processo di cybersecurity? Procedere a un risk assessment. Serve a stabilire la reale consistenza delle minacce associate a un sistema o a un impianto. Ha lo scopo di stabilire le conseguenze di un attacco al fine di dare delle priorità di intervento in funzione della criticità della macchina o del processo produttivo. Informazioni che vengono poi utilizzate per la corretta redazione delle specifiche di cybersecurity per la protezione degli asset aziendali più critici.
Cybercrime, un fenomeno che interessa ormai gran parte del mercato manifatturiero
Secondo l’ultimo rapporto Clusit nel primo semestre del 2022 gli attacchi che hanno avuto come bersaglio il manifatturiero sono aumentati del 34%. Come afferma Brera, «Gli incidenti informatici si verificano di continuo, solo che non ne veniamo a conoscenza poiché in ambiente di fabbrica, visto che non c’è perdita di dati sensibili, non si è obbligati a darne evidenza. Le aziende tendono a non comunicare che sono state vittime di un attacco poiché significa perdere in reputazione e affidabilità». Ecco, quindi, che gli incidenti cyber di dominio pubblico si riferiscono soprattutto a quelle aziende che hanno subito una data breach, una violazione di sicurezza che comporta la distruzione, perdita, modifica o divulgazione non autorizzata di dati personali, conservati o comunque trattati. Insomma, l’industrial cybercrime è il new normal. Il caso più recente è quello di Landi Renzo, la società quotata in Borsa al segmento Star attiva nel settore dei componenti e dei sistemi di alimentazione a gpl e metano per autotrazione: ha subito un attacco che ha reso temporaneamente indisponibili alcuni server aziendali provocando il fermo delle linee produttive e ritardi nelle consegne ai clienti. Lo scorso giugno è stata invece la volta di Geox, vittima di un attacco ransomware che ha portato al fermo della produzione e ha costretto a lasciare a casa i dipendenti: i pirati informatici si sono infiltrati nel sistema operativo dell’azienda chiedendo un bitcoin da 8.500 euro per riconsegnare i dati rubati. Nel 2020 l’Enel. E’ stata colpita con il ransomware Snake/Ekans, lo stesso che in precedenza aveva colpito la multinazionale giapponese Honda. Nello stesso anno, in Enel si è diffuso il virus NetWalker, che ha avuto come conseguenza il furto di 5 TB di dati.
Ancora, nel settembre 2020 il malware Nefilim ha compromesso i computer di Luxottica costringendola a interrompere la produzione degli stabilimenti di Agordo e Sedico per un’intera giornata; diversi uffici sono stati costretti a chiudere e il personale è stato mandato a casa. La compromissione è avvenuta per mano di criminali esperti che hanno individuato e sfruttato una vulnerabilità di un gateway, dispositivo comunemente usato nelle soluzioni di edge computing. Anche il Gruppo Carraro, azienda italiana leader internazionale nel comparto delle macchine agricole, ha subito un grave attacco informatico. Responsabile un ransowmare che ha paralizzato i sistemi informatici che controllano l’attività del gruppo, da quella amministrativa a quella produttiva, altamente automatizzata da robot. L’azienda, che conta oltre tremila dipendenti in tutto il mondo e un fatturato che sfiora i 550 milioni, ha dovuto mettere 700 dipendenti in cassa integrazione tra gli stabilimenti di Campodarsego e quelli della divisione Agritalia di Rovigo prima che avvenisse il ripristino dei sistemi. Tra le aziende che hanno subito attacchi anche gruppo Campari. La società che possiede i marchi Aperol, Grand Marnier, Averna ha subito il furto di 2 terabyte di dati. Gli aggressori hanno chiesto un riscatto pari a 15 milioni di dollari. Incidenti informatici anche sulla supply chain. Enel nell’ottobre scorso ha rilevato un attacco a Network Contacts, fornitore di terze parti.
Identificare le vulnerabilità, individuare la soluzione per rendere resiliente il sistema di fabbrica
La protezione delle tecnologie Ot è un tema sottovalutato che rende i sistemi di controllo vulnerabili dal punto di vista informatico. «L’automazione è in forte crescita e l’integrazione tra il mondo It e il mondo Ot aumenta ogni giorno con un’enorme quantità di dati che passa dall’uno all’altro ambiente e viceversa, spiega Brera. La sicurezza non può essere garantita senza un’adeguata protezione cyber. Ciò significa che plc, hmi, scada e tutti i dispositivi industriali devono essere protetti dagli attacchi informatici. Ogni imprevisto può avere una ripercussione sulle operation. E’ bene esserne consapevoli. Se poi a fronte di questa consapevolezza si decide che gli effetti di un blackout dei server possono essere tutto sommato sopportabili, va bene. Come dire, ciascuno è libero di assumersi le proprie responsabilità. L’essere attaccati è una questione di quando e non di se».
Per aziende che lavorano in real time, con l’e-commerce, per esempio, ogni ora di blocco informatico può tradursi in perdite economiche consistenti. L’attacco può interessare qualunque asset: device fisici e virtuali, switch, firewall, applicazioni web, software. Può essere eseguito sulla superficie interna o esterna di un’organizzazione. «Lo scopo di un’analisi preventiva è individuare tutti i possibili punti di accesso che un hacker potrebbe utilizzare per entrare in un sistema o infrastruttura per violarla e comprometterla attraverso l’utilizzo di un software automatizzato, afferma Brera. Il test di vulnerabilità individua errori di configurazione sui sistemi, bug di software non aggiornati, porte aperte e servizi erroneamente esposti, tutte situazioni potenzialmente invisibili a molte organizzazioni nelle loro infrastrutture informatiche». E poi i penetration test: consentono di mettere alla prova la resilienza di un sistema industriale ad un potenziale attacco cyber sfruttando le vulnerabilità esistenti sull’infrastruttura.
La cybersecurity industriale non è un prodotto ma un processo che va costantemente monitorato e aggiornato
Vi sono aziende che non ce l’hanno fatta, che dopo un attacco informatico non sono riuscite a ripartire e sono state costrette a chiudere. Aziende che non avevano compreso quanto la sicurezza informatica, in un mondo globalizzato, doveva essere una priorità. Secondo la National Cyber Security Alliance degli Stati Uniti, gli attacchi informatici hanno portato al fallimento di un gran numero di piccole e piccolissime aziende. Molti casi non fanno notizia. «Si deve comprendere che la cybersecurity non è un prodotto, dice Brera. La tecnologia abilita un processo di security che deve essere continuamente aggiornato». La capacità di rendere un’infrastruttura resiliente è tanto più alta quanto più sofisticato è il modo in cui vengono progettate le reti aziendali.
Centrale è un approccio di segmentazione del network, progettare la rete a micro-segmenti in modo tale che in caso di infiltrazione di un codice cyber, gli effetti vengano contenuti all’interno di quella sola porzione del network, senza che possano essere compromesse altre aree di lavoro. Insomma, l’obiettivo è realizzare reti a compartimenti stagni, che possano isolare il malware lì dove viene originato. «Il modo attraverso il quale gestire la sicurezza varia da azienda ad azienda. Tipicamente nelle grandi aziende corporate, esiste un’autonomia in termini di competenze e tecnologie, decidono da sé gli investimenti, spiega il manager di Stormshield. All’estremo le aziende piccole che danno tutto in outsourcing. La loro infrastruttura è completamente virtualizzata presso un service provider che si assume l’onere della gestione della cybersecurity. L’approccio prevede mille sfumature diverse, aggiunge Brera. Da tenere presente che l’Industry 4.0 ha esteso l’Ot al cloud. La sicurezza riguarda quindi un perimetro che non è più quello delle mura aziendali ma si espande verso l’esterno. In sicurezza vanno messi tutti i server che rappresentano l’infrastruttura a supporto dell’operatività d’impresa».
Progettare una soluzione per dare vita a un processo che deve includere misure preventive e reattive
«Tutte le aziende del manifatturiero hanno l’It e l’Ot. Prima erano separate e il problema della cybersecurity in ambito stabilimento non si poneva, osserva Brera. Molto rapidamente, a partire dagli anni duemila è avvenuto il boom della connettività allo shopfloor, un fenomeno che da allora ha visto una crescita impetuosa. Tuttavia, anche in quelle realtà dove esiste un It con competenze cyber, non è detto che queste siano state estese all’Ot. Spesso, i responsabili delle due organizzazioni non si parlano. La scala di valori è praticamente rovesciata. In It al primo posto vi è la protezione dei dati, nell’Ot la priorità è invece la continuità operativa. Come dire, qualunque cosa succeda lo show must go on». Insomma, la propensione di un direttore di stabilimento di inserire degli automatismi in grado di fermare la produzione è prossima allo zero. «I nostri prodotti si prestano molto bene a realizzare reti e infrastrutture sicure, continua Brera. Ma portarsi in casa dei prodotti non risolve nulla. Occorre progettare una soluzione, dare vita a un processo che deve includere misure preventive e reattive, ridurre le potenzialità di un attacco ed essere in grado, qualora si venga attaccati, di ripristinare le condizioni originarie. Per tenere il malware lontano dai server occorrono tecnologie e piattaforme adatte ma soprattutto occorre un piano di difesa. Ripeto, cybersecurity è un processo continuativo non si esaurisce con l’acquisto di un asset».
