Con il passo della trasformazione digitale che non accenna a rallentare, la distinzione tra Information Technology (IT) e Operational Technology (OT) sta diventando sempre più sottile. Questa tendenza, unita al diffuso e consistente utilizzo di dispositivi IoT, cloud ibrido e reti 5G, comporta un aumento del rischio di vulnerabilità rispetto agli attacchi informatici ai macchinari industriali, che oggi sono fondamentalmente interconnessi e legati all’uso dei dati digitali. A ciò concorrono, contemporaneamente, severi requisiti di uptime dei dispositivi industriali che rendono difficile e costoso aggiornarli o sostituirli. Per tutte queste ragioni, l’Industrial Cybersecurity è un settore in continua crescita.
Gli attacchi frequenti ai siti di produzione da un lato, le strategie e gli strumenti messi in atto per contrastarli dall’altro, sono indice dell’esposizione sempre più frequente ai cyber attack dei tradizionali sistemi SCADA e PLC utilizzati nei contesti industriali, noti come Industrial Control System (ICS). Intanto la normativa inizia a prendere in mano la situazione e porsi al fianco di aziende, costruttori di macchine e impianti, system integrator e utilizzatori finali per gestire la sicurezza informatica in modo adeguato.
Se il rischio cybersecurity dei sistemi informatici è già noto da anni, il rischio cybersecurity OT – indirizzato ai sistemi produttivi con attacchi che toccano non solo l’infrastruttura IT ma tutti i sistemi del processo di produzione – è un fenomeno in forte espansione, in Italia e nel mondo. Comprendere non solo le vulnerabilità e la fonte degli attacchi, ma anche poter confidare su sistemi performanti di risk management diventa quindi decisivo per qualsiasi società manifatturiera.
Nonostante la proverbiale quantità di DNA dell’IT che scorre nelle vene degli ICS, questi ambienti hanno esigenze di sicurezza differenti dall’IT tradizionale, e questo deve essere tenuto in considerazione quando si definisce un piano di sicurezza.
Ne abbiamo parlato con Maurizio Milazzo, Responsabile Sud Europa di TXOne Networks, realtà nata a luglio del 2022 come primo spin off di Trend Micro, uno dei riferimenti della IT Security nel mondo, sul mercato da trent’anni. TXOne Networks offre soluzioni di sicurezza informatica che garantiscono l’affidabilità e la sicurezza degli ambienti ICS e OT attraverso la metodologia OT zero trust.
Indice degli argomenti
Che rapporto c’è tra IT e OT rispetto alle problematiche e ai rischi legati alla sicurezza
Sono due mondi molto diversi e distanti tra loro anche dal punto di vista culturale. Mentre il mondo IT è avanti o comunque allineato all’esistente perché ha iniziato ad occuparsi di cybersecurity parecchi anni fa, si dice che il mondo OT sia indietro di almeno 10-15 anni. C’è una separazione netta di pensiero tra IT e OT. Le soluzioni di sicurezza IT tradizionali non possono funzionare per il mondo OT perché si basano su protocolli diversi atti a riconoscere prettamente una minaccia che attacca i sistemi informatici. Inoltre, la maggior parte dei professionisti OT non conosce le best practice IT o i concetti avanzati di sicurezza della rete e il loro compito è dare priorità ai tempi di attività e alla people safety, non alla security.
La differenza sostanziale è data dall’ordine delle priorità di sicurezza identificate dalle sigle CIA per il mondo IT e AIC per l’OT. CIA sta per Confidentiality, Integrity and Availability. La cosa più importante per l’IT è dunque proteggere i dati. Poi c’è il tema dell’integrità del dato per poterlo elaborare e solo alla fine si pone la disponibilità del dato che invece nel mondo OT si posiziona al primo posto perché per garantire la continuità operativa, l’asset industriale deve essere disponibile e quindi integro. Solo alla fine si pensa alla riservatezza del dato. Nel mondo OT il fatto che le modalità della produzione possano essere “exploitate” interessa solo ad alcuni settori del manifatturiero.
Un altro tasto dolente è il divario di competenze in materia di cybersecurity. Basti pensare che solo in Italia servono diverse decine di migliaia di risorse specializzate in IT Security, nel mondo OT invece vanno ancora create. Qui il dilemma per le aziende è: parto da una persona con competenze di operation senza competenze di cybersecurity, oppure assumo chi ha competenze di IT security per applicarle al mondo operation. Quello che si può fare ora è scegliere una risorsa specializzata in uno dei due mondi e farla crescere perché ancora non esistono corsi universitari che preparano al mondo dell’OT Security.
Per di più, se le aziende non hanno queste competenze devono cercare altrove. Spesso si rivolgono ad un SOC (Security Operation Center) IT interno e lo formano al mondo operation, altre volte si affidano a SOC OT esterni, ma ce ne sono pochissimi in Italia. E quelli che ci sono più che SOC offrono Managed Security Services (MSS).
Le minacce dovute alla convergenza IT/OT e alle nuove forme di attacco e la risposta delle organizzazioni
Quando si parla di cybersecurity, la tecnologia avanza a un ritmo accelerato e imprevedibile e le minacce cybercriminali rimangono all’orizzonte solo per un breve periodo prima di diventare realtà. I ricercatori TXOne Networks hanno analizzato i cambiamenti nel panorama delle minacce negli ambienti ICS e OT, nel momento in cui sono comparse nuove forme di attacco come i Ransomware as a Service (RaaS).
Servizi come Black Basta, Pandora e LockBit 3.0 hanno utilizzato spietate strategie di estorsione multipla che sono probabilmente destinate a perdurare nei settori manifatturiero, energetico, agricolo e sanitario, con un impatto significativo nel settore automotive (che rappresenta il 24% rispetto al totale del manifatturiero), accelerando così la necessità di soluzioni specifiche e task force per gli ambienti OT.
Al contempo, le organizzazioni si stanno rendendo conto troppo lentamente della concreta possibilità che gli attacchi degli hacker possano interrompere le operazioni di produzione, compromettendo seriamente la produttività e richiedendo giorni o settimane per riprendersi. Gli avversari possono usare vari metodi di estorsione per rubare informazioni aziendali sensibili, portando a data breaches, perdita di proprietà e violazioni che indeboliscono la fiducia dei clienti e danneggiano il valore del marchio.
Secondo la ricerca “Insights Into ICS/OT Cybersecurity 2022” che TXOne Networks ha commissionato a Frost & Sullivan, il 94% degli incidenti di sicurezza IT ha avuto un impatto anche sull’ambiente OT e nonostante il 93% delle organizzazioni abbia implementato almeno una soluzione di sicurezza informatica OT e l’85% pianifichi di aumentare le proprie capacità di sicurezza OT il prossimo anno, il 70% delle organizzazioni sta ancora prendendo in considerazione l’adozione di soluzioni di sicurezza IT per proteggere gli ambienti operativi, per i quali servirebbero al contrario strategie su misura. Inoltre, solo il 6% delle organizzazioni ha il 100% dei propri dispositivi Windows protetti da soluzioni di endpoint security.
I principali fattori che ostacolano l’adozione di soluzioni OT native rispetto a soluzioni IT “riciclate”
Possiamo dire che il fattore principale è legato alla mancanza di conoscenza rispetto all’esistenza di soluzioni OT native e di realtà come la nostra che le offrono. La prima attività che ci proponiamo dunque è di fare branding quindi creare e promuovere una nostra immagine e una nostra identità distintiva, per farci conoscere dai clienti attraverso webinar, seminari e conferenze.
Il secondo passaggio è individuare la soluzione. Non riusciamo in Italia ad uscire dalla fase POC e questo allunga i tempi decisionali. Dopo la POC di solito il cliente compra perché aiuta a fargli capire che nella sua infrastruttura funziona tutto bene. E anche noi vogliamo che questo venga fatto perché nell’OT ci sono infrastrutture che si sovrappongono con hardware e firmware da gestire quindi una soluzione per una azienda food & beverage non è detto che vada bene per tutte quelle del settore.
Un altro aspetto da fare capire ai clienti è il vantaggio di avere visibilità della rete industriale e degli asset, e alla fine, bisogna proteggere e quindi dotarsi di sistemi che bloccano malware, trojan e virus perché in caso contrario gli effetti sono devastanti.
Quali forze di mercato stanno spingendo le organizzazioni a investire nella sicurezza specifica per gli ambienti OT
In linea di massima le normative sono fondamentali per spingere il mercato in questa direzione. La Direttiva europea NIS 2, entrata in vigore a gennaio del 2023, introduce misure più stringenti e specifiche in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti di sicurezza, rivolgendosi anche a un novero di settori e di soggetti più ampio rispetto a quello previsto, fino ad oggi, dall’originaria Direttiva NIS. Il ventaglio si allarga ai soggetti attivi in settori definiti “ad alta criticità”. Se c’è un anello della catena che è debole è un problema. E non basta che chi eroga servizi essenziali si protegga ma anche le aziende più grandi e quindi più critiche lo facciano.
Poi c’è il nuovo Regolamento Macchine Ue che stabilisce i requisiti essenziali di sicurezza e di salute per le macchine, nonché le procedure per la valutazione della conformità delle macchine a tali requisiti. Il regolamento si applica a tutte le macchine fabbricate o messe in servizio nell’UE, indipendentemente dal fatto che siano prodotte nell’UE o importate da paesi terzi. Inoltre, si applica anche alle parti di macchine e ai componenti di sicurezza.
La gestione del rischio assume particolare centralità perché l’Industrial Cybersecurity non riguarda esclusivamente la sicurezza di macchine e impianti, ma anche delle persone (Safety). Un cyber attack, infatti, oltre a interrompere le linee di produzione, può mettere a repentaglio l’incolumità dei lavoratori.
Come vi distinguete nel mercato delle aziende che offrono servizi di sicurezza informatica e in cosa consiste la vostra metodologia OT zero trust
Il nostro suggerimento principe è non acquistare tecnologie tappa buchi. La prima cosa che serve è una visione strategica, poi in questo ambito capire a livello esecutivo che tipo di tecnologie servono a supporto. La filosofia dell’OT Zero Trust “never trust, always verify” passa da soluzioni di security inspection con uno scanner portatile che non richiede installazione e che permette di identificare la salute di endpoint industriali air-gapped (aree non collegate alla rete che nessun sistema di asset inventory individua).
A soluzioni per la protezione degli endpoint e la prevenzione degli attacchi alla rete industriale con intrusion prevention systems che bloccano l’attacco di chi non è autorizzato a transitare lavorano a livello di shop floor. Ciò consente ai tecnici di gestire centralmente la difesa informatica delle risorse legacy e moderne senza interrompere le operazioni.
Le soluzioni TXOne Networks sono dunque progettate per essere implementate ai livelli 1 (controllo di base), 2 (controllo di supervisione) e 3 (operazioni di produzione e controllo del sito) del modello Purdue, un framework chiave che segmenta l’architettura ICS in sei zone così da stabilire un “air-gap” e quindi isolare i mondi ICS/OT e IT e quindi, proteggere la tecnologia operativa da malware e altri attacchi senza ostacolare il business.
Quali sono le tipologie di realtà alle quali vi rivolgete e che già utilizzano le vostre soluzioni
Le principali sono i micro-processori ma più nelle zone asiatiche. In Europa, abbiamo vari clienti nei settori Power Energy, Utility e Oil and Gas, Manufacturing e quindi le infrastrutture critiche, l’Automotive, il Pharma e il Retail.
In Italia stiamo cercando di parlare anche con le PMI. Anche se bisogna fare pick and choose nel senso che non tutti culturalmente sono pronti a capire che hanno necessità di queste soluzioni tecnologiche. Ma realizzano prodotti di qualità eccezionale che poi vendono nel mondo. Quindi la probabilità che si verifichi un attacco commerciale mascherato da ransomware è forte. È molto comune la volontà di bloccare il concorrente o rubargli le proprietà intellettuali. Lo dimostrano le moltissime manifatturiere italiane che durante la pandemia sono state vittime di attacchi informatici, anche in ragione del lavoro a distanza e di altre forme di collaborazione online per mantenere la produzione e la comunicazione con i clienti.
L’ostacolo oggi sono le risorse. Il direttore delle operation produce senza nessuna ottica in termini di cybersecurity. Non c’è quella attenzione e quella cura ai fornitori esterni che fanno manutenzione o che il computer che si connette alla rete sia sano. Non sempre esiste il CISO (Chief Information Security Officer) che ha il compito di definire le strategie corrette per proteggere al meglio gli asset aziendali e mitigare i rischi informatici. Ci può essere un IT manager che spesso da solo deve far fronte a tutti i problemi che riguardano sia IT che OT. Quindi più che un problema di budget che comunque è commisurato alla dimensione perché se un’azienda di grandi dimensioni ha mille endpoint da mettere in sicurezza, una piccola ne avrà venti-trenta e quindi spenderà meno in proporzione, si tratta di un problema di risorse e culturale che dobbiamo cercare di educare.
