FN_100

SETTEMBRE 2019 FIELDBUS & NETWORKS 33 possono danneggiare la reputazione dell’azienda e causare la perdita dei dati, già di per sé danni enormi, ma anchemettere a repentaglio la produ- zione e la sicurezza fisica individuale. Un report estratto da Shodanmostra come lo scorso anno l’Italia sia stata la terza nazione al mondo per numero di ICS (Industrial Control System) esposti su Internet e quindi raggiungibili direttamente. AShodan può accedere chiunque: per individuare i sistemi esposti basta ri- cercare lo Scada usato e accessibile. Una volta raccolte queste informazioni un potenziale cybercriminale può inviare input numerici per vedere come reagisce il PLC dall’altra parte della rete e, magari, creare qualche danno più o meno grave a seconda del sistema collegato a esso, che si tratti di apparati robotici di produzione, di sensori di gas e fuoco, attuatori di scambi dei treni, depuratori, acquedotti, sistemi di controllo del raffreddamento di centrali nucleari o idroelettriche. Il confronto quotidiano con i security manager evidenzia come l’intera problematica sia del tutto sottovalutata. Eppure, vista la mole di informazioni delicate alla mercé di chiun- que e viste le conseguenze anche molto gravi che hanno avuto attacchi, anche banali, andati in porto negli ambienti industriali nell’ultimo decen- nio, bisognerebbe chiedersi perché questi pericoli non vengano presi sul serio. Rischi da non sottovalutare Una parziale risposta è che gli ICS sono stati tradizio- nalmente considerati un’en- tità separata dai sistemi IT, quindi al di fuori della ge- stione dei team dedicati alla cybersecurity. Storicamente questi sistemi non erano collegati alle stesse reti a cui erano connessi i PC o a Internet, quindi chi avesse voluto accedervi, avrebbe avuto bisogno di un accesso fisico alla macchina per infettarla o manometterla. Quindi il disinteresse verso la tematica è un retaggio del passato. Tuttavia, dal momento che a questi sistemi di controllo si richiede oggi di diventare ‘intelligenti’, aumenta la convergenza delle reti IT e OT per monitorare e ottimizzare continuamente la produzione, riducendo il coin- volgimento umano al minimo e dando luogo a una crescente dipendenza dai sistemi di automazione alle reti, con la conseguente espansione della potenziale superficie di attacco informatico. Oggi occorre dunque supe- rare i vecchi stereotipi. Migliorare una situazione che comporta rischi sempre più elevati per l’incolumità del sito produttivo e di chi ci lavora richiede nuovi approcci, frutto del connubio tra legislazione, cambiamento culturale, consapevolezza dei dipendenti e incremento della preparazione dei team di cybersecurity in ambito OT. La recente direttiva NIS rappresenta un passo positivo in questo senso, poiché obbliga i detentori di infrastrutture critiche a mettere in atto una determinata strategia di sicurezza informatica, pena sanzioni finanziarie anche molto cospicue. La legislazione, però, nonostante lo sforzo, da sola non è sufficiente (oltretutto l’Italia l’ha recepita solo per le infrastrutture critiche e non per la PA, per esempio) e il timore per le sanzioni rischia di generare l’‘effetto Gdpr’ sulle organizzazioni, ovvero puntano esclusiva- mente all’essere conformi. È centrale, invece, volere essere sicuri. Per determinare un reale cambiamento, avremmo bisogno di un livello no- tevolmente superiore di consapevolezza di cosa comporti la sicurezza infor- matica, a partire dal singolo dipendente, che dovrebbe essere formato in modo da capire quali sono i compor- tamenti corretti in termini di cybersecurity e come evi- tare di correre rischi inutili. Allo stessomodo, i responsabili della sicurezza dell’infrastruttura IT dovrebbero aggiornarsi e prepararsi a gestire la sicu- rezza anche in ambito OT. Una buona formazione dei responsabili e dei dipendenti può ridurre drasticamente la possibilità di incorrere in attacchi con tecniche 'banali', ma spesso utilizzate, per esempio di spear phishing o social engineering. I dipendenti in primis devono essere consapevoli dei rischi che corre la loro azienda e con essa la produttività se si collega un qualsiasi PC in rete senza avere la certezza che questo sia totalmente privo di infezioni, mentre i responsabili della sicurezza devono rendersi conto che oggi una banale ‘infezione’ può propagarsi a ICS spesso ge- stiti da sistemi vecchi, come Windows XP, e quindi corrompere i sistemi produttivi. I tre punti chiave dell’azienda ‘cyber-sicura’ I principi chiave per un’azienda cyber-sicura si possono riassumere in tre punti: i dipendenti devono essere istruiti su come il loro comportamento può ridurre i rischi informatici; è necessario stabilire e rivedere regolar- mente le politiche di sicurezza informatica calandole sia nell’ambiente IT sia in quello OT; è essenziale condurre regolarmente valutazioni del rischio avvalendosi di aziende partner certificate e preparate, per eviden- ziare eventuali vulnerabilità alla base di potenziali attacchi e pianificare l’introduzione di sistemi che mitighino i danni da essi causati. Stormshield - www.stormshield.com L’intera problematica della cybersecurity viene spesso del tutto sottovalutata dalle aziende Foto tratta da www.pixabay.com Foto tratta da www.pixabay.com