All’ICSForum di Milano, organizzato da Messe Frankfurt in collaborazione con Innovation Post, si sono incontrate tante aziende impegnate nella transizione ai paradigmi di industry 4.0 – oltre 500 partecipanti registrati – e alcuni dei più importanti nomi nel settore dei sistemi e servizi di cybersecurity per il mondo IT, a loro volta impegnati a creare un’offerta credibile per il mondo OT (Operational Technology), quello delle officine, dei capannoni, delle catene di montaggio. Incontro proficuo per entrambe le parti, anche se la conclusione che ne esce fuori è piuttosto sconfortante: quella per mettere in sicurezza le fabbriche dai cybercriminali è una strada lunga, e siamo appena all’inizio del cammino. Bisogna rimboccarsi le maniche.

Il problema culturale

Il principale problema che rende vulnerabili le strutture di produzione è, prima di tutto, quello culturale. Nel mondo IT tutti sono abituati ormai da decenni a convivere con l’idea che qualcuno, lì fuori, sia interessato a entrare nei nostri sistemi informativi. C’è chi lo vuole fare per commettere crimini (furti di informazioni personali o di segreti industriali, estorsioni tramite ransomware eccetera), e chi per puro vandalismo (i ragazzini che creavano i primi virus capaci di cancellare interi hard disk lo facevano solo per assurda soddisfazione personale, o al massimo per vantarsi con gli amici). Ma sta di fatto che ogni IT manager è cosciente di questo e fa il possibile per difendere i suoi apparati. Installa firewall, gestisce gli accessi, stabilisce regole, controlla i log, forma il personale degli uffici alle “safe practice”, prepara piani e sistemi di backup e recovery. E nonostante le contromisure, le intrusioni avvengono, e di tanto in tanto un “wannacry” qualsiasi riesce a mettere in ginocchio centinaia di aziende.

Leggi anche: Come difendere i Sistemi di Controllo Industriale dagli attacchi informatici

Sicurezza IT e mondo OT

Ora, prendiamo un ambiente come l’officina, che non è mai stato toccato (al massimo sfiorato marginalmente) da problematiche di cybersecurity, e di colpo portiamolo nel XXI secolo: colleghiamo macchine utensili a Internet per poter fare controllo e aggiornamento da remoto, installiamo sistemi operativi standard per pilotare le linee di produzione e usiamo dispositivi IoT per tutti i compiti di corollario. Poi diamo il tutto in mano a persone che non hanno mai dovuto preoccuparsi di intrusioni digitali, e per cui la sicurezza è sempre stato un problema soprattutto di incolumità fisica degli operatori.

Nell’industria, molti IT manager hanno in carico solo la gestione dei PC degli uffici: non sanno cosa accade sul piano di produzione

Beh, è la ricetta giusta per un disastro. Qualsiasi dispositivo connesso a Internet viene attaccato da vari tipi di malware entro un minuto dall’inizio della connessione. Se il dispositivo non “nasce” protetto, il rischio è alto. E su questo concordavano parecchi dei relatori presenti a ICSForum. Citiamo per esempio Alvise Biffi di Assolombarda, secondo il quale “nel piano verso l’industria 4.0, l’aspetto cybersecurity va tenuto in considerazione fin dall’inizio”, e ha proseguito spiegando che la cybersecurity non è un device ma un processo, e intervenire a posteriori espone a rischi e non è altrettanto efficace. Assolombarda, fra l’altro, ha sul suo sito un “security check” in 12 domande che può aiutare le aziende a stimare il proprio livello di protezione.

Cybersecurity by design

I concetti della “cybersecurity come processo” e “cybersecurity da incorporare a livello di progettazione” sono stati ripetuti come un mantra da quasi tutti i relatori e dalle aziende espositrici, a partire da Andrea Zapparoli Manzoni del direttivo del Clusit, e pensiamo che il messaggio sia passato. Anche perché altri relatori hanno pensato a far “prendere coscienza” alle aziende, facendo un po’ di terrorismo a fin di bene. Francesco Laera, della Commissione Europea, ha rivelato che dal 2013 al 2017 si sono quintuplicati gli attacchi informatici in Europa, e per il periodo 2017-2019 si prevede un ulteriore aumento del 400 percento. E Cesare Burei, del broker assicurativo Margas, ha dichiarato senza mezzi termini durante un’intervista che “un’azienda non protetta che venisse colpita da un attacco informatico rischia la chiusura”.

Non ci sono alternative

Del resto “rimanere segregati non è una soluzione”, come ha affermato Roberto Zuffada di Siemens. E sia perché i vantaggi dell’utilizzo della Rete in ambito OT sono enormi, sia perché, puntualizza Zuffada, ormai ci sono minacce capaci di arrivare ai sistemi di produzione anche se essi non sono connessi alla rete. Il riferimento è probabilmente a malware come Stuxnet.

Ormai ci sono minacce capaci di arrivare ai sistemi di produzione anche se essi non sono connessi alla rete

Questo virus, diffuso nel 2006 per colpire i PLC che controllavano le centrifughe di arricchimento dell’uranio nella centrale nucleare di Natanz, era capace di propagarsi non solo in rete, ma anche via chiavette USB e laptop infetti, cosa necessaria visto che i bersagli non erano connessi a Internet.

Insomma, che si sia connessi o no, i rischi permangono.

Non va tutto male

Fortunatamente, ci sono anche buone notizie. Per esempio, Enzo M. Tieghi di Servitecno (e presidente dello Steering Committee di ICSForum) ha fatto notare il fatto che i servizi cloud, compresi anche i SaaS, proprio perché sono stati progettati tenendo presenti i problemi di cybersecurity, sono intrinsecamente più sicuri delle architetture software attualmente in uso nell’industria, spesso vecchie di anni se non decenni e raramente manutenute dal punto di vista degli aggiornamenti di sicurezza.

Concetto ribadito anche da Domenico Billè di Oracle. e Antonio Madoglio di Fortinet, che fanno notare come – con l’aumentare della sofisticazione degli attacchi, anche le armi contro di essi devono evolversi: Oracle e Fortinet per esempio stanno già usando intelligenza artificiale e machine learning contro gli attacchi informatici intrusioni perché. Un metodo che, spiega Billè, funziona già meglio dei metodi deterministici. Su questi metodi non deterministici per la valutazione e previsione dei rischi è attivo anche un progetto di ricerca dell’Università di Pavia, di cui ha parlato la dottoressa Silvia Figini e che potrebbe portare sviluppi molto interessanti soprattutto sul fronte della prevenzione.

Anche il problema del controllo degli accessi e soprattutto dell’identificazione di miliardi di dispositivi connessi potrebbe avere trovato una soluzione, che consiste nell’uso della blockchain. “Non necessita di server centrali, è pubblica, il layer applicativo è open source e minimale, per cui può girare anche sui dispositivi più piccoli” ha spiegato Giuseppe Ciccotti di UniquID “decentralizzazione, inalterabilità e mantenimento nel tempo ne fanno una soluzione perfetta al problema dell’access management”.

Quattro problemi concreti

Al di là dei proclami, comunque, il raggiungimento di livelli elevati di cybersicurezza in fabbrica è condizionato da una serie di problemi concreti. 

1. Patch e continuità di servizio

Tutti sappiamo che installare rapidamente le patch di sicurezza è fondamentale per ridurre il rischio. Ma installare una patch su una linea di produzione vuol dire spesso dover fermare impianti che lavorano 24/7/365, e a volte correre il rischio che al reboot si scopra che la patch crea problemi con altre parti del software. ”Non possiamo chiedere a un’azienda di installare subito le patch, o di disinstallare i sistemi legacy” ha detto Fabio Sammartino di Kaspersky. Per superare l’impasse, molti produttori di cybersecurity stanno studiano sistemi automatizzati per eseguire il test preventivo e l’installazione da remoto degli aggiornamenti.

2. Budget

Un secondo problema serio è quello dei budget, che sappiamo essere sempre insufficienti a coprire tutte le esigenze. Ma quest’anno di più perché, come ha ricordato Tieghi, gran parte dei budget di cybersecurity quest’anno potrebbero essere assorbiti dalle attività volte a mettere in regola le aziende con la normativa GDPR, che entrerà in vigore a maggio. E c’è il rischio concreto di lasciare scoperte altre aree importanti, per esempio la formazione del personale.

3. Conflitto di competenze tra IT e produzione

Terzo grosso problema è chi gestisce cosa: il dipartimento IT spesso non vuole assumersi l’onere di gestire la sicurezza dell’OT, altre volte l’OT si sente prevaricata dal personale IT che vuole imporre regole cui non è avvezza. “In OT mi serve operatività e facilità d’uso, solo dopo penso alla sicurezza” ha detto Zuffada “ma la gestione della security deve essere unica. Serve un allineamento culturale fra OT e IT sulla cybersecurity”.

4. Difficoltà ambientali

Infine, è appena il caso di segnalare che installare apparati per la sicurezza informatica, dai firewall ai server di controllo di accesso, in ambienti dove temperature, umidità, vibrazioni, campi elettromagnetici sono ben diversi da quelli presenti nelle ovattate stanze dell’IT non è certo semplice.

Normative, problema od opportunità?

Le normative sono un altro dei grossi problemi. Perché le aziende le vedono come tali: una grande sorgente di grattacapi. Eppure, proprio il rispetto delle normative internazionali, ed europee in particolare, potrebbe essere una grande opportunità per le imprese, più che un vincolo. Proprio per questo alle normative è stata dedicata la seconda tavola rotonda della giornata, dove si è parlato (oltre che di GDPR) della Direttiva NIS, della Direttiva 943/2016 sul segreto industriale, e delle norme IEC 62443 e ISO 27001, e si è ribadito che il rispetto delle normative aiuta le aziende a ridurre i rischi.

Insomma, le cose su cui lavorare sono tante, e il tempo è poco, visto che bisogna incorporare questi concetti nelle primissime fasi di progettazione. Ma se impiegare troppo tempo per progettare sistemi sicuri potrebbe comportare un ritardo nella corsa verso l’industry 4.0, procedere speditamente accantonando il problema comporterebbe certamente l’esporsi per sempre agli attacchi dei cybercriminali, perché aggiungere sicurezza a posteriori non ha la stessa efficacia. E in questa corsa contro il tempo si inserisce un altro fattore critico: la cronica mancanza di esperti in cybersecurity, figura professionale fra le più ricercate. Questa carenza di personale rischia di essere il punto critico che inceppa tutto il meccanismo. Ancora una volta, il fattore umano.