Nell’era digitale ogni impresa è un potenziale bersaglio poiché ogni asset aziendale vale soldi. La cyber security secondo F-Secure è un processo continuo di miglioramento costante, che si evolve e si adatta con la stessa rapidità degli attacchi. Non funziona come una bacchetta magica, ma richiede una combinazione di competenza professionale e tecnologia in costante miglioramento per prevedere, prevenire, rilevare e rispondere alle violazioni in modo completo.

Con il termine Industria 4.0 si definisce un processo di modernizzazione articolato su più fronti. Ciò che sta avvenendo è che i modelli di business stanno cambiando velocemente ed è in corso un processo di digitalizzazione del mondo dell’industria. Ogni macchinario e device viene connesso alla rete. C’è bisogno di accedere velocemente ai dati. Il numero di connessioni ricorrenti cresce a dismisura. Servono tecnologie che abilitino funzionalità avanzate, in grado di memorizzare grandi quantità di dati che arrivano dal campo.

Internet of Things (IoT) è una delle parole che sentiamo di più quando si parla di Industria 4.0. L’utilizzo di questi oggetti intelligenti sta abilitando una vera e propria rivoluzione all’interno delle aziende che ora sono sempre connesse e sfruttano i dati per ottimizzare i loro processi produttivi.

Si parla molto anche di Industrial Internet of Things. Si tratta della stessa tecnologia? No. Un oggetto IIoT è in realtà un dispositivo IoT di recente sviluppo pensato esclusivamente per la sua applicazione all’interno della quarta rivoluzione industriale. Lo scopo degli oggetti IIoT è quello di ottimizzare i processi produttivi attraverso la connessione tra i macchinari, realizzare dei dati utili per un centro di analisi, avere un controllo preventivo sullo stato di salute delle macchine in uso e controllare i tempi della produzione industriale. Industrial Internet of Things è un’evoluzione dell’IoT che permette a un dispositivo intelligente di avere più connessioni contemporaneamente e di lavorare con una maggiore quantità di dati.

 

L’infrastruttura fisica è sempre più presa di mira dai comuni cyber criminali

Durante la seconda metà del 2010, sono emersi dettagli sull’operazione di sabotaggio Stuxnet, il primo attacco informatico su un’infrastruttura fisica reso noto pubblicamente. Da ricerche effettuate a posteriori è emerso che i sistemi di controllo industriale, e l’infrastruttura che ruota attorno ad essi, sono entrambi insicuri e facili da attaccare e sfruttare. Spesso si tratta di sistemi vecchi di decenni che non possono essere aggiornati in fretta.

Stuxnet ha rappresentato il momento cruciale in cui le bande criminali hanno rivolto lo sguardo verso i sistemi di controllo industriale. Ma se quel tipo di attacco richiedeva risorse e strumenti importanti per essere portato avanti, oggi alcune di quelle stesse capacità sono nelle mani di comuni gruppi di cyber criminali.

Si pensi ai noti episodi di Petya e WannaCry: questi ultimi rappresentano solo la punta dell’iceberg di una costante attività cybercriminale volta al furto di dati, all’appropriazione indebita di segreti industriali, alla manomissione e al boicottaggio di macchinari e impianti. La perdita di dati e il tilt della produzione possono avere un impatto devastante su un’industria. Ecco perché il mondo dell’industria non può più sottovalutare la cyber security.

Attacchi opportunistici sull’infrastruttura fisica

Nel corso del 2016, analisti F-Secure della divisione Cyber Security Services (CSS) hanno risposto a incidenti informatici in cui i sistemi di controllo industriale sul campo sono stati ancora una volta attaccati. Questa volta però, i motivi dietro queste operazioni sembravano puramente finanziari. Rivolgendosi al settore manifatturiero, queste nuove campagne avevano comportato il blocco o il controllo dei sistemi chiave nell’organizzazione di una vittima e, successivamente, la richiesta di un riscatto. Le richieste di riscatto erano incentrate su due temi principali: la restituzione del controllo dei sistemi bloccati o il pagamento del riscatto per far sì che le operazioni non venissero spente da remoto.

Quest’ultimo scenario è quello che motiva fortemente il pagamento del riscatto. Se i macchinari di un impianto di produzione vengono chiusi, possono essere necessari giorni o settimane per riportarli online.

La cosa interessante di questi attacchi è che non sono strettamente mirati. Sono opportunistici. Gli attori che stanno dietro questo tipo di operazioni eseguono scansioni su Internet di ampia portata, alla ricerca di sistemi con vulnerabilità note e facilmente sfruttabili. Gli aggressori cercano tra i loro risultati di scansione alla ricerca di potenziali bersagli. Lavorando su un elenco prioritario, gli aggressori accedono manualmente ai sistemi delle vittime, distribuiscono il loro malware e poi richiedono il riscatto.

Dato il numero di sistemi vulnerabili, privi di patch e non aggiornati, direttamente connessi a Internet, questo modus operandi è molto efficace. Così efficace, infatti, che intere famiglie di ransomware sono state progettate per svolgere tali operazioni. Petya è un esempio: una famiglia di crypto-ransomware che rende l’intero sistema non avviabile (tramite un MBR crittografato) fino al pagamento del riscatto. Anche se completamente impraticabile nei confronti di un normale sistema consumer (non è possibile pagare il riscatto se non si può nemmeno usare il computer), Petya è lo strumento ideale per un blocco su larga scala di terminali di pagamento, server, console di controllo e altre infrastrutture aziendali.

Queste campagne provengono ormai da varie aree geografiche, e in molti casi sono sferrate contro aziende manifatturiere a causa delle loro scarse pratiche di sicurezza informatica.

 

 

Contromisure. Cyber security e Intelligenza artificiale

Quando si parla di Industria 4.0 è essenziale essere consapevoli dei rischi che il nuovo paradigma si porta con sé. Ogni apparato connesso alla rete costituisce una potenziale vulnerabilità e un possibile punto di attacco da parte di attori mossi da cattive intenzioni.

La cyber security secondo F-Secure è un processo continuo di miglioramento costante, che si evolve e si adatta con la stessa rapidità degli attacchi. Non funziona come una bacchetta magica, ma richiede una combinazione di competenza professionale e tecnologia in costante miglioramento per prevedere, prevenire, rilevare e rispondere alle violazioni in modo completo.

Con un approccio chiamato “Live Security, F-Secure coniuga la potenza del machine learning con la competenza umana degli esperti presenti nei suoi laboratori di sicurezza. Le attività da svolgere per gestire la sicurezza di un’organizzazione sono oggi più complesse ed eterogenee rispetto al passato. F-Secure, che nel 2018 taglia il traguardo dei 30 anni di attività nella sicurezza informatica, a tal proposito ha lanciato nuove soluzioni tra cui F-Secure Radar, soluzione per la gestione del rischio delle vulnerabilità, in grado di mappare tutta la superficie attaccabile includendo qualsiasi genere di device in rete, descrivere dettagliatamente le vulnerabilità rilevate, quindi indicare la remediation, e F-Secure Rapid Detection Service (RDS), servizio che, ad attacco avvenuto, si occupa della gestione dello stesso attraverso un modello di cooperation man-machine che si appoggia all’attività di un SOC europeo.

Resta inteso che nel mondo dell’IIoT occorre instaurare un dialogo tra il responsabile IT e il responsabile di produzione al fine di formulare una strategia comune di sicurezza che rispetti le esigenze di entrambi. Troppo spesso vengono ancora sfruttate vulnerabilità dovute all’assenza di un processo di Vulnerability Management, alla presenza di software obsoleti, alla mancanza di patch o a comuni errori di configurazione o configurazioni di default.