Factory Cybersecurity

Cosa si intende per Factory Cybersecurity, elemento vitale per un’Industria 4.0

L’industry 4.0 non può prescindere dalla sicurezza di fabbrica. Quando si tratta di strutture produttive i pericoli da un attacco cyber, oltre che economici, possono arrivare a interessare le persone addette, la popolazione e l’ambiente

Pubblicato il 20 Ago 2018

Loris Frezzato

industria 4.0 security

La fabbrica automatizzata è un concetto futuristico che si sta, in parte, iniziando a realizzare. Termini come Industry 4.0, Smart Manufacturing, Industrial IoT stanno ormai sempre più entrando a far parte del lessico degli imprenditori più orientati al digitale. Ma l’entusiasmo per l’innovazione non deve far perdere di vista un aspetto fondamentale, senza il quale qualsiasi progetto di automazione industriale andrebbe, rapidamente, verso il fallimento: la sicurezza. Sicurezza in senso digitale, intendiamo. Quella Factory Cybersecurity o Sicurezza di Fabbrica, che deve permeare trasversalmente ogni processo, macchinario, device, interno o esterno all’impresa, che sia in qualche modo connesso, direttamente o, anche molto remotamente, in maniera indiretta, all’impianto.

Se la sicurezza fisica è certamente indispensabile, ma altrettanto facilmente percepibile, il concetto dell’importanza della Factory Cybersecurity applicata al mondo Industria 4.0 rischia invece di sfuggire, proprio perché intangibile, andando a interessare i dati, sia residenti sia in viaggio continuo sulla Rete. Ma la mancanza di misure adeguate contro gli attacchi digitali può sortire effetti disastrosi per l’intera fabbrica fino addirittura per tutte le realtà ad essa collegate.

Su questo tema suggeriamo la lettura del servizio pubblicato da AgendaDigitale.eu: Operational Technology e rischio cyber: le minacce ai sistemi industriali

Le dimensioni del mercato Industria 4.0

Il percorso verso l’Industria 4.0 è, dicevamo, ormai ben avviato. Si tratta di un comparto che nel 2017 ha mosso ben 2,4 miliardi di euro solo nel nostro Paese, con una crescita del 30% rispetto all’anno precedente, stando ai dati forniti dall’Osservatorio Industria 4.0 della School of Management del Politecnico di Milano. Un giro d’affari che ha coinvolto soprattutto fornitori di soluzioni IT e di tecnologie che rendano IoT ready e interconnesse le strutture produttive, tradizionali, coinvolte, oltre ovviamente a tutta una quota di servizi. I 2,4 miliardi derivano per il 60% da progetti di Industrial IoT, il 20% da Industrial Analytics e il 9% dal Cloud manufacturing. Il resto proviene dall’Advanced Automation e dall’Advanced HMI (Human Machine Interface), rispettivamente l’8% e l’1% e 200 milioni di euro dai servizi di consulenza.

I dati e la connessione, componenti base di un’Industria 4.0

Macchinari, device, software di gestione interna ed esterna, sistemi di controllo. Tutti devono essere in grado di comunicare tra di loro, e generare, trasmettere e interpretare i dati per trasformarli in informazioni sfruttabili ai fini del business. Dati che diventano il patrimonio primario delle aziende e che nel caso di una fabbrica rappresentano il carburante per il corretto funzionamento delle linee di produzione. Interrotto o manomesso quello, si rischia di mettere il pericolo, fisico, l’impianto stesso, le persone che vi lavorano, l’ambiente. Oltre che il business dell’azienda, ovviamente.

L’impresa digitalizzata è “secure by design”

Una sicurezza che nel caso dell’Industrial IoT interessa i sensori allocati sui macchinari preposti alla produzione, e che devono quindi essere considerati “secure by design”, direttamente concepiti come tali, visto il delicato compito che andranno a svolgere una volta entrati nella catena. E un’attenzione particolare, quando si tratta di sicurezza by design, deve essere data al contesto in cui il device o la macchina dovrà operare, già nel momento della sua progettazione e realizzazione.

Ma i dati devono essere protetti non solo presso il device, ma anche nel percorso che devono fare, ossia la rete, il cloud, in tutti quyei sistemi di connessione che permettono una comunicazione tra i componenti della linea produttiva e gestionale. L’intero network in un contesto di Factory Cybersecurity deve essere a prova di attacco. E in ogni caso deve essere monitorato costantemente, attraverso sistemi di controllo in grado di recepire ogni singolo malfunzionamento o scostamento dagli standard definiti, in modo da intervenire al più presto onde evitare danni.

I danni causati a una fabbrica dal cybercrime

Danni che, dicevamo, possono essere di varia natura. Un attacco hacker può certamente mettere in pericolo i dati sensibili dell’azienda, la proprietà intellettuale, progetti, dati finanziari, o accedere ai conti economici. Ma il cybercrime può anche intervenire causando un rallentamento o fermo dei sistemi di produzione, con conseguenze economiche in termini di mancato rispetto dei timing di produzione/lavorazione e tutto ciò che ne consegue per consegne, spedizioni, ecc.

Pericoli reali da attacchi digitali

Senza parlare del pericolo a cui può essere sottoposto l’ambiente e le persone che lavorano all’interno di un’azienda. In una fabbrica dove la produzione e il funzionamento sono automatizzati dal digitale e governati dai dati, se si interrompe o si corrompe il normale flusso di dati, si mette a rischio anche tutto il sistema di controllo della sicurezza: sicurezza delle persone, qualora queste debbano intervenire manualmente nella produzione in coadiuvo alle macchine preposte; sicurezza dell’ambiente, nel caso che i sistemi di controllo siano a regolamentare flussi di liquidi o gas o altro materiale, velenoso e non. Oltre ai danni e disagi portati alla popolazione intera se ad essere attaccata fosse una utility o una fabbrica di prodotti destinati al bene comune.

Un elenco senza fine di attacchi minaccia la Factory Cybersecurity

I generi di attacchi possibili sono infiniti. Diversi fra di loro nella natura, nell’entità, nelle varianti per ogni genere, nella virulenza e velocità. E anche nelle metodologie di ingresso e nella capacità di mimetismo. Dal virus informatico, al malware, all’APT, il mining, il phishing, gli attacchi DDOS, lo SPAM, e gli ormai famosi ransomware, di cui periodicamente spuntano varianti dai nomi più fantasiosi e a volte evocativi, come Wannacry, Bad Rabbit, Petya e Not Petya, Locky, e via dicendo. A questi si aggiunge poi lo spionaggio industriale, che il Clusit avverte essere in crescita del 46%. Difficile, se non impossibile, stilarne un elenco, ma a grandi linee queste sono le caratteristiche delle più comuni forme di attacco a cui un’impresa dovrebbe fare attenzione per ottenere una adeguata Factory Security.

Gli attacchi crescono ininterrottamente: lo stakanovismo del cybercrime

I dati dell’ultimo anno sottolineano quanto il cybercrime sia produttivo. Ma anche quanto questi malviventi continuino a utilizzare metodi evergreen: il 68% degli attacchi sono infatti compiuti attraverso SQLi, DDoS, Phishing e malware semplici. Cresciuti del 12% in un anno.

Il malware rimane in testa alla classifica, e nel 2017 è cresciuto del 95%, un ingrediente che si trova anche negli attacchi più complessi, come gli APT (Advanced Persistant Threats), i quali sono aumentati del 6%. Phishing e attacchi di Social Engineering su ampia scala crescono del 34%, indice di un processo di “industrializzazione” del cybercrime. E sempre nell’ottica di una corretta factory cybersecurity, un’attenzione particolare va posta anche all’uso, crescente, dei device mobili nelle aziende: visto l’alto potenziale, il cybercrime sta intensificando gli sforzi in questo ambito, e il malware per il mobile rappresenta ormai il 20% di quello totale. Proviamo a descrivere per sommi capi i protagonisti di questa triste, e ovviamente incompleta, classifica.

Factory Cybersecurity – Ransomware: o la borsa o la vita

Per le imprese che hanno a cuore la propria factory cybersecurity, soprattutto quelle 4.0 che di dati si nutrono, l’impossibilità di accedere alle proprie informazioni digitale equivale a chiudere i cancelli definitivamente. Gli attacchi Ransomware puntano proprio a sfruttare la paura di tale pericolo, riuscendo a tenere in ostaggio i sistemi informativi aziendali e minacciando di distruggerne i dati residenti se non verrà pagato un riscatto in bitcoin. Un conto alla rovescia nel quale la vittima vedrà man mano distruggersi i diversi file dai sistemi. Wannacry è quello che ha avuto maggiore spazio mediatico, un po’ per il nome beffardo, ma certamente per la potenza d’attacco che l’ha contraddistinto, colpendo in contemporanea migliaia di sistemi in ogni parte del mondo, dal più piccolo utente fino alle utilities e ospedali. Da qui in poi, se ne sono susseguiti altri, meno famosi forse, ma altrettanto dannosi. Anche se si segnala un rallentamento nell’ultimo anno nel partorire nuovi ransomware, con una diminuzione delle nuove famiglie e del numero di attacchi, sono invece raddoppiate le varianti delle famiglie già esistenti, in un processo di affinamento e potenziamento. In ogni caso l’Italia rimane il bersaglio preferito, dopo solo al Giappone, dei cybercrime che ricorrono al ransomware. E Cerber, certamente meno noto di Wannacry, è quello che fa ancora oggi il maggior numero di vittime. Ma la varietà resta alta, e la loro produzione e fruibilità semplificata, al punto che i criminali possono trovare quel che occorre in un ampio portfolio di alternative a basso costo, e addirittura in modalità “Ransomware as a service”.

Factory Cybersecurity – Virus e malware: un’epidemia mai sconfitta

Il virus digitale è un vero e proprio clone di quello presente nella vita naturale. Non vive se non sfruttando le risorse dell’ospite/vittima, e si autoreplica ad alte velocità, trasmettendo l’infezione a chiunque ne venga in contatto senza avere le dovute difese. Come il raffreddore, insomma. Ma non passa con un’aspirina. Si tratta di un software che impiega diversi modi per penetrare nei sistemi degli utenti, spesso sfruttando la loro buonafede o distrazione nell’aprire incautamente file infetti usati come veicoli trasmessi via e-mail o siti Web, ma una volta entrati, spesso anche in maniera silente, nel sistema, via via ne prende il controllo, modificando programmi eseguibili e aggredendo i file. La preistoria segnala la presenza di virus già nel 1970, si chiamava Creeper, ed era attivo su ArpaNet, e Reeper è il software antivirus creato per contrastarlo. Da lì, soprattutto negli anni 80, si sono susseguite a velocità crescente la nascita di nuovi virus, sempre più nocivi. In Italia è noto Ping-Pong, un virus creato a fini di ricerca da studenti del Politecnico di Torino nel 1987. Una faccina sorridente che rimbalzava per tutto lo schermo. Niente di divertente per chi si infettava. E a oggi ancora nulla si è fermato.

Factory Cybersecurity – APT: chi va piano va sano (indisturbato) e lontano

Il cybercrime non ha fretta: se subodora potenzialità di guadagno si arma di pazienza e ottiene quello che vuole. All’effetto eclatante e immediato dei virus fanno infatti da contraltare forme alternative di attacco, che sfruttano falle insospettabili e raggiungibili in maniera, a volte, complicatamente indiretta. Sono gli APT, Advanced Persistent Threat, forme estremamente sofisticate di attacco, in grado di penetrare in maniera silente i sistemi aziendali anche attraverso uno studio attento delle abitudini degli utenti bersaglio.

Le strategie e i modi di penetrazione di questi agenti malevoli sono infiniti, non destano sospetti e osservano, indagano dove si nasconde il “tesoro” sfruttando gli utenti interni come inconsapevoli guide. Tesori sui quali i criminali digitali non fanno differenze: grandi o piccole aziende possono essere appetibili quando si tratta di appropriarsi di soldi. Un attacco APT solitamente si caratterizza per avvenire in sette step.

  1. Innanzitutto l’individuazione della vittima mediante l’analisi di informazioni pubbliche, dai social, mailing list o altro.
  2. Si passa quindi per l’intrusione all’interno della rete, e in questa fase gli attaccanti hanno sviluppato sistemi complicati e molto verosimili di phishing o mailing personalizzate.
  3. Da qui al furto delle identità dei dipendenti per l’accesso ai sistemi interni dell’azienda il passo è breve.
  4. Come anche lo è lo step successivo dell’installazione del malware incaricato a captare informazioni e effettuare spionaggio industriale, dei processi e dei dati sensibili.
  5. A questo punto viene creata una backdoor e una vera e propria infrastruttura controllata
  6. Si esfiltrano i dati e si ha accesso diretto e indisturbato a tutte le informazioni presenti in azienda.
  7. Nonostante tutte le eventuali operazioni di “disinfezione”, il malware lotta per persistere all’interno dell’infrastruttura, rendendo spesso vani i tentativi di pulizia, malgrado l’apparente successo.

Factory Cybersecurity – Attacchi DDOS: servizi, e-commerce e reputazione sono kaput

DDOS è l’acronimo di Distributer Denial of Services e, come il nome descrive, ha come effetto l’incapacità di erogare servizi da un sito Internet, spesso perché in tilt a causa di una vera e propria “overdose” di accessi contemporanei, ovviamente orchestrati da malfattori con scopi di disturbo, su mandato da parte della concorrenza o lucrativi.

Una forma relativamente semplice di attacco che pare essere lievemente in diminuzione come modalità, mentre per contro ne è aumentata nel giro di un anno la potenza, quintuplicata nel giro del solo ultimo anno.

La botnet è il metodo reclutato per effettuare queste forme di attacco: un malware sfrutta una rete estesa di computer, comandandogli la connessione in contemporanea al sito da bloccare.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati