“Per fare security non possiamo partire dalle vulnerabilità ma dalle minacce, anche perché a volte la vulnerabilità non è ovviabile, come nel caso della cybersecurity industriale dove l’OT è così complesso da rendere impossibile la realizzazione di sistemi invulnerabili ”, sostiene Stefano Zanero, Professore Associato, DEIB Politecnico di Milano, introducendo il dibattito sulla sicurezza industriale, in occasione del convegno di presentazione del report dell’Osservatorio Information Security & Privacy, del Politecnico di Milano.
La maggior parte delle aziende analizzate dall’Osservatorio afferma di effettuare il security assessment e l’audit sui sistemi e le reti OT (68%), mentre il 60% dichiara di aver introdotto misure di sicurezza specifiche per il mondo industriale. La segmentazione della rete (suddivisa in parti non comunicanti o separate da controlli di sicurezza per isolare eventuali problemi) è la tecnica più diffusa, seguita dal monitoraggio della rete e analisi dei log, per poter rilevare eventuali intrusioni, da vulnerability assessment e penetration test (figura 1).
“I dati dell’Osservatorio sono confortanti – commenta Zanero – Tuttavia riflettono il comportamento delle grandi aziende intervistate. Vedo invece in arrivo una tempesta perfetta che si sta addensando sulle PMI per le quali sta aumentando l’esposizione OT senza una preparazione adeguata per farvi fronte”.
La previsione nasce dall’osservazione che per le Pmi stanno cadendo due pilastri che le avevano finora protette: essere meno connesse delle controparti europee ed essere troppo piccole per risultare appetibili per gli attaccanti. Oggi invece i loro impianti OT sono sempre più connessi a Internet, anche per sfruttare gli incentivi 4.0 che avevano questo come requisito chiave, con il risultato di indurre a connettere a Internet anche oggetti che non ne hanno bisogno. D’altra parte, le informazioni disponibili concordano che gli attacchi di tipo targetizzato che puntano a un’immediata monetizzazione, sono rivolti ad aziende sempre più piccole che tuttavia continuano a sottovalutare il problema. “Queste tendenze valgono anche nel mondo OT, dove però è difficile avere un’analisi di minaccia per la difficoltà della condivisione dei dati sugli incidenti da parte delle Pmi”, aggiunge Zanero.
Perché la sicurezza IT non può essere trasporta nell’OT
Nella discussione sul tema della sicurezza industriale che ha visto come protagoniste alcune grandi aziende italiane, emerge la difficoltà di trasportare la sicurezza IT ai sistemi OT, anche a causa dell’obsolescenza dei secondi.
Per Mirco Destro, Group CIO di AFV Acciaierie Beltrame, è proprio l’obsolescenza una delle maggiori criticità nell’attuare la sicurezza OT, inevitabile in un settore con centinaia di milioni per investimenti in impianti con un ciclo di vita molto più lungo di un sistema IT. In fabbrica si ha che fare con sistemi windows 95 e protocolli Tcp/Ip quando va bene.
“Abbiamo avviato un percorso verso la sicurezza OT a partire dalla sicurezza informatica, ma l’abbiamo subito interrotto – spiega – Pensare di portare la sicurezza IT, che ha avuto un’evoluzione quantica, sui sistemi OT è controproducente. Ci siamo allora fermati per capire quali siano le barriere, tenendo conto che i fondamentali sono completamente diversi”. Si è allora deciso di capire le cause di obsolescenza e intervenire con azioni specifiche, come la segmentazione, la ricerca di antivirus pensati per i sistemi industriali, visto che quelli tradizionali sono risultati incompatibili.
Anche Michele Fabbri, CISO di Saras evidenzia la necessità di considerare le specificità dell’OT, rispetto all’IT, nonostante le similitudini e le necessarie interazioni. In particolare, nell’approccio IT alla sicurezza la priorità è data dalla riservatezza delle informazioni, in quello OT prevalgono la disponibilità e l’integrità.
“La sicurezza industriale è rilevante anche in ambito manifatturiero soprattutto in quelle aziende dove la sicurezza è una componente importante anche all’interno del prodotto”, sottolinea Roberto Puricelli, CISO EMEA di Marelli, il cui percorso è partito dalla necessità di migliorare la conoscenza dei dispositivi e degli asset connessi alla rete. La presa di coscienza dell’obsolescenza dei sistemi che si porta dietro vulnerabilità e incompatibilità con le soluzioni tradizionali ha indotto l’azienda ad assumere in una prima fase contromisure tattiche per ridurre la possibile superficie di attacco come segregazione di rete, antivirus e soluzioni specifiche OT. In un’ottica strategica e non invasiva Marelli punta ad analizzare il traffico rete e aumentare la visibilità dei sistemi produttivi e individuare vulnerabilità o situazioni anomale anche con AI e ML (figura 2)
La tecnologia non basta, serve l’organizzazione
“La complessità arriva però quando vanno fatte azioni operative per mitigare le vulnerabilità riscontrate. Non basta la tecnologia serve una forte spinta dell’organizzazione – prosegue Puricelli – Stiamo cercando un’organizzazione convergente IT-OT che porti le esperienze e le muti cercando di definire ruoli e responsabilità per le parti più operative, mettendo in atto iniziative di formazione per aumentare il livello di consapevolezza nell’ambiente industriale”. Si considera infine utile proporre simulazioni di attacco per verificare se le procedure sono in linea con le aspettative.
Le Acciaierie Beltrame demandano la sicurezza OT alla funzione IT, attribuendo al CTO di gruppo, che a sua volta risponde al CIO di gruppo, il ruolo di security manager sia per la parte IT che per quella industriale. Fra le iniziative interessanti segnaliamo il coinvolgimento sui temi della sicurezza dei manager di produzione.
Nel gruppo Saras, nonostante la natura old del business la percezione rischio connesso alle attività è forte. “Le sollecitazioni arrivano al top management non solo da noi tecnici della sicurezza ma da membri del CdA che fanno parte anche di organismi esterni”, sostiene Fabbri. Prevale dunque la consapevolezza del giusto investimento, concentrando l’attenzione concentrarla dove c’è la maggiore esposizione, valutando la minaccia.
Dal punto di vista organizzativo quasi metà delle persone dell’OT security sono nell’IT. “Il lavoro svolto non consiste tanto nello spiegare come gestire i processi a chi li gestisce da anni, ma nel capire il loro modo di lavorare e fare interventi di formazione specifici sulle persone operative”, aggiunge il CISO di Saras (figura 3).
La sicurezza parte dalla visibilità
Le testimonianze delle aziende hanno evidenziato percorsi e criticità simili che hanno come punto di avvio la consapevolezza della situazione di partenza dei sistemi OT.
“La visibilità porta alla luce l’obsolescenza e alla presa di coscienza del parco macchine non più supportato”, sottolinea Federico Lella, Senior OT Security Advisor, Spike Reply, azienda specializzata nei servizi di consulenza e soluzioni di cybersecurity, che rappresenta un interessante osservatorio del mondo della sicurezza industriale. È un mondo variegato sulla base del settore che vede più avanzato il settore manifatturiero e mediamente più indietro i trasporti, oil & gas e utility. “Le diverse tipologie di aziende sono però accomunate dalla scarsa visibilità e conoscenza di reti e apparati”, aggiunge ricordando che l’amento di visibilità è il mestiere di Reply, attraverso la mappatura dei sistemi, il censimento degli apparati all’interno delle reti, delle connessioni fra macchinari, del remote assistance, spesso non normato anche per aziende, con poli produttivi sparsi e una gestione decentrata IT. Una premessa per gestire in modo coordinato i processi di cybersecurity.
