1543481758_FEN0097_3-82_130

NOVEMBRE 2018 FIELDBUS & NETWORKS 21 di mira l’ambito finanziario delle imprese del settore industriale. Una delle spiegazioni che abbiamo trovato è che il livello medio di protezione in ter- mini di sicurezza in questo tipo di realtà è più basso, ma le possibili tran- sazioni economiche, invece, sono in media piuttosto alte. Il vero obiettivo di questi cyber-criminali erano quindi solamente i dipartimenti finanziari delle società industriali. Prima di questo attacco, nel 2016-2017, abbiamo individuato un gruppo di cyber-criminali che prendevano di mira anche le aziende industriali in modo diretto: nel complesso si trattava di più di 500 aziende in tutto il mondo”. Può farci qualche esempio pratico di attacco a una rete indu- striale e dirci quali sono state le conseguenze? Dashchenko: “Un paio di anni fa abbiamo fatto un’analisi del sistema di uno dei nostri clienti: la loro rete industriale, di tanto in tanto e per motivi poco chiari, non funzionava: sembrava che i PLC fossero sotto attaccoDoS e che la connessione tra PLC e PC degli operatori venisse persa. Questo malfunzionamento costava parecchio all’azienda, perché ogni volta che si verificava un problema era necessario fermare il flusso di lavoro dei processi tecnologici. Il cliente ha chiesto al fornitore di PLC di esaminare la situazione; il forni- tore ha sostituito tutti i PLC e il problema si è verificato nuovamente. Così abbiamo analizzato il sistema e scoperto che c’era una generale infezione damalware, che stava generando una grande quantità di traffico di rete e di richieste di trasmissione che i PLC non erano in grado di gestire, provo- cando così un ‘Denial of Service’. Dopo aver rimosso il malware, tutto si è risolto con grande gioia da parte del cliente. Questo esempio dimostra che si devono assolutamente proteggere le strutture almeno dalle minacce IT generali”. Quali punti critici nondevonoessereassolutamente tra- scurati dalla sicurezza, per difendersi in modo efficace almeno dagli attacchi più elementari? Dashchenko: “Sicuramente alla base devono esserci dei principi di quella che potremmo definire ‘auto-cyber-sicurezza’. Attenzione dunque a password, aggiornamenti software e tutto ciò che riguarda la cyber-hygiene. Inoltre, la cosa più importante è lo sviluppo di un ambiente ‘secure-by-design’, cioè già pro- gettato per essere sicuro: la sicurezza non dovrebbe essere una componente aggiuntiva, ma un elemento che dovrebbe essere implementato già in fase di progettazione”. Quali sono gli ostacoli maggiori che si incontrano in azienda quando si parla di sicurezza informatica in campo produttivo? Dashchenko: “Questa è una delle domande a cui è più com- plicato rispondere. Ogni azienda si ritrova ad affrontare problematiche dif- ferenti, il Consiglio di Amministrazione e il personale tecnico dovrebbero occuparsi della loro gestione. Tuttavia, vi sono alcune dinamiche che si ripetono: spesso per esempio i responsabili OT di vecchia scuola affer- mano che i loro sistemi di produzione sono totalmente isolati. La nostra esperienza nei ‘penetration test’ per clienti industriali dimostra che è pos- sibile accedere alla produzione dalla rete IT, o persino da Internet, quasi nel 100% dei casi. Dopo aver presentato i risultati ai clienti, la loro pro- spettiva cambia e diventa sempre più chiaro per tutti che i sistemi isolati nel mondo moderno non esistono. Dopo aver compreso che è necessario applicare un certo tipo di protezione alle proprie strutture, un’azienda si concentra, di solito, sulla seconda, tipica, tipologia di ostacolo: il denaro. Ovvero, quanti soldi deve investire per essere protetta. È una domanda chemi è stata posta più volte da diversi manager di molte aziende. Ma non esiste una cifra standard per persona o per unità tecno- logica che possa essere indicata. Ogni caso è unico e dovrebbe essere studiato in maniera adeguata. Per questo motivo facciamo degli audit di sicurezza. Gli audit mostrano al cliente lo stato di sicurezza reale del si- stema, mettono in luce le politiche che vengono applicate e il modo in cui industriali e nei sistemi IIoT/IoT ! " ! ! strutture