La 4° rivoluzione industriale sta determinando cambiamenti radicali a livello produttivo (con l’introduzione di nuove macchine intelligenti), di gestione logistica (si pensi ai magazzini ultra-automatizzati di Amazon: nel 2012 Amazon pagò 775 milioni di dollari per acquistare Kiva, che produceva robot d’eccellenza per magazzini, decidendo di utilizzarli esclusivamente per i propri magazzini che ne occupano più di 300mila), di modalità di controllo (con l’introduzione di sistemi per misurare temperatura, pressione, e svariati altri parametri sia di macchine per produrre sia di impianti in genere): quali sono i problemi sul fronte sicurezza?
Paolo Lezzi, CEO di Inthecyber
“In pochi anni le industrie saranno interamente connesse e i device diventeranno ciascuno un nodo di rete, sempre più spesso direttamente collegato a Internet, anziché segregato in una rete locale”, dice Paolo Lezzi, CEO di Inthecyber, realtà nata per supportare le organizzazioni nella verifica della reale efficacia dei sistemi di difesa adottati e nella loro evoluzione, che si contraddistingue per la continua attività di studi e ricerca dei suoi laboratori, dove lavorano specialisti nelle diverse aree; l’azienda, dal 2010 organizza la Conferenza nazionale sulla Cyber Warfare che vede tra i suoi attori i massimi esperti istituzionali e privati nel campo della Sicurezza Nazionale. Rimanendo sul tema smart manufacturing, Lezzi focalizza una prima causa dei problemi che ne derivano: “Gli impianti dell’informatica industriale [dai PLC ai sistemi Scada utilizzati per gestire le linee di produzione – ndr] sono spesso datati e risiedono su sistemi operativi non progettati per essere in linea: quando viene creata una rete allargata dell’impresa, che coinvolge anche la parte industriale, gli attaccanti possono quindi sfruttare quest’ultima, anello debole del network, per accedere a tutti i sistemi aziendali”. Alla debolezza delle reti si somma quella dei device: “Si dovrebbe ragionare in una logica di security by design, ma chi produce gli oggetti intelligenti dell’IoT, complice una scarsa cultura della sicurezza, per accorciare il time-to-market e ridurre i costi, non rispetta questo approccio”, dice Lezzi. Ogni dispositivo online è quindi oggi vulnerabile a svariate tipologie di attacco. Quali in particolare?
Tipi di attacco e impatti su business e persone
In primis i Ddos: “Chiunque abbia provato a mettere online un qualche servizio – spiega il manager – avrà notato come, dopo pochissimo dalla messa online, cominci a vedersi traffico proveniente da ogni angolo del mondo, spesso riconducibile al tentativo di sfruttamento di vulnerabilità note”: è appunto traffico generato da reti di migliaia di dispositivi già compromessi che cercano altre possibili vittime da rendere parte della botnet stessa. La finalità dei cybercriminali è generalmente aumentare il numero di “bocche di fuoco” da cui sferrare attacchi Ddos, finalizzati, come è noto, a causare il malfunzionamento di server o altri apparati di rete, impedendo all’azienda di erogare i propri servizi online. Quali danni aspettarci se sotto attacco fosse una macchina utensile? “Si bloccherebbe la produzione o ne uscirebbero prodotti difettosi – dice Lezzi – Anche peggio: un sensore di qualche parametro di sicurezza potrebbe essere messo fuori uso, dunque reso incapace di segnalare un’anomalia: l’impatto allora potrebbe essere non solo sul business, ma anche sull’incolumità delle persone che si trovino nelle prossimità dei sistemi interessati”.
Ma i Ddos sono solo una delle possibilità: un attaccante può lavorare più “di fino” e cercare di accedere ai device per spegnerli, riconfigurarli o renderli del tutto inservibili. “Pensiamo a una macchina utensile che tramite un’interfaccia web permetta di impostare la dimensione dei pezzi di acciaio da tornire cosa accadrebbe se un malintenzionato la riconfigurasse facendole produrre tutti i pezzi più corti di un millimetro? Probabilmente questi pezzi verrebbero buttati, con perdite enormi per l’azienda”. Anche in questo caso, il rischio è generare danni alle persone, agendo sui dispositivi di controllo: “L’azienda potrebbe anche non accorgersi che il prodotto – magari destinato a un ambito sensibile come quello sanitario – è difettoso”, dice Lezzi, che spiega come infatti normative e processi pensati per valutare la conformità di prodotto potrebbero essere inefficaci nel rilevare le modifiche causate da un attacco hacker poiché quest’ultimo mira a far fare a un oggetto IoT qualcosa che non era previsto facesse [viene dotato di funzionalità che i sistemi di controllo non sono programmati per verificare – ndr]. “Il problema – commenta il manager – è che quando si tratta di cybersecurity si dimentica tutto quello che è stato imparato in secoli nell’ambito della sicurezza nel mondo fisico. Va compreso che non esiste questa distinzione. Il cyber non è più virtuale, ma reale: i danni che può causare sono cinetici; accedere a una rete industriale hackerandola è come trovarsi fisicamente di fronte a una macchina e poterla manovrare”.
Cosa fare da subito
L’approccio corretto, spiega Lezzi, si concretizza in un presidio continuativo della security: “I sistemi vanno configurati, presidiati e verificati costantemente e si devono pianificare delle esercitazioni simulando gli attacchi, per essere pronti quando questi si verificheranno”. Il percorso tecnologico e organizzativo per arrivarci è complesso, e tuttavia la situazione può essere migliorata in modo sostanziale già con pochi accorgimenti semplici, spesso trascurati:
- Cambiando le password, secondo i più comuni dettami di sicurezza (più di 8 caratteri, uso di maiuscole, minuscole, numeri, caratteri speciali): “Spesso coloro che gestiscono le macchine intelligenti non sono nemmeno informatici ma i precedenti gestori dei dispositivi più ‘convenzionali’; non è dunque raro trovare interfacce di amministrazione lasciate accessibili con le credenziali di default con cui sono uscite dal produttore”, dice Lezzi.
- Segregando i dispositivi, che devono essere accessibili solamente da determinate sottoreti (a loro volta isolate dalla Lan degli uffici) tramite canali sicuri (l’uso di protocolli crittografati dovrebbe essere abituale, per proteggersi dal rischio di furto credenziali tramite attacco Man in The Middle, tipologia di attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro).
- Preimpostando gli indirizzi IP dei dispositivi, quando è strettamente necessario che questi siano collegati direttamente a Internet, in modo che siano accettate solo le connessioni sotto il controllo dell’azienda.
Per approfondire queste tematiche vai all’Osservatorio Security journal di ZeroUno
