Le vulnerabilità degli ambienti industriali che evolvono in configurazione 4.0, partendo dal classico “Industrial IoT” o SCADA/ICS, sono molteplici. Poiché le architetture sono stratificate, è opportuno adottare un approccio multilivello, che punti a scomporre le problematiche (per capirle meglio) collocandole sul corretto layer di riferimento, e poi a riconsiderarle valutando anche interdipendenze e possibili effetti a catena. La priorità oggi, se vogliamo una reale resilienza delle infrastrutture critiche (ed in generale di Industria 4.0) a livello Paese, è muoversi in fretta, come afferma Raoul Brenna, Responsabile della Practice Information Security & Infrastructures di CEFRIEL- Politecnico di Milano, in questa intervista con TIG, e come spiegherà nel dettaglio durante il Webinar “Cybersecurity e Industria 4.0, Un imperativo: non farsi cogliere impreparati” previsto per il prossimo 14 dicembre 2017.
TIG. Cosa si intende con il concetto Industria 4.0? quali sono le tecnologie abilitanti che lo riguardano? E perché per esso si parla di problematiche di sicurezza informatica?
Raoul Brenna. Il termine Industry 4.0 indica la nuova rivoluzione industriale e ci si riferisce ad uno scenario che prevede un’interconnessione completa e globale degli impianti, dei sistemi di trasporto, della logistica e anche del personale, quindi in generale di tutto l’ecosistema intorno alle attività manifatturiere dell’azienda e idealmente della filiera in cui opera.
Le tecnologie abilitanti sono numerose (Robot collaborativi, Droni e AGV, Big data, Machine learning e Intelligenza Artificiale, Cloud Banda larga e Ultralarga, IoT e sensori), ma il risultato è quello di una fortissima focalizzazione sul “real time”: dalla detection, alla data ingestion, all’elaborazione, fino all’integrazione e alla fruizione da parte dei diversi attori coinvolti di specifici insight sui processi di produzione e sui prodotti realizzati. Ci si spinge anche a tematiche di Predictive e Prescriptive maintenance che puntano a fornire informazioni su quello che succedrà e su come gestire o evitare specifici eventi. Queste tecnologie distribuite, spesso nuove ma altrettanto spesso “legacy” e riadattate mediante retrofitting (per abilitarne la trasmissione dei dati, le comunicazioni in ambienti eterogenei e l’accessibilità worldwide) sono tutti “ingredienti” su cui il rischio cyber è potenzialmente elevatissimo e su cui la connotazione di “real time” di cui dicevo poco sopra non può che essere un’amplificazione.
TIG. Quali e quante sono le vulnerabilità degli ambienti industriali e in particolar modo quelle ereditate dal nuovo scenario di Industria 4.0, caratterizzato dall’iperconnettività a tutti i livelli?
Raoul Brenna. In un ambiente industriale, specie se “evoluto” in ottica 4.0, il tema della gestione delle vulnerabilità è molto complesso, perché di fatto le troviamo a tutti i livelli: dagli ambienti per cui questi problemi sono già molto noti (come PC, client e reti ICT) ai nuovi oggetti connessi: sensoristica distribuita con connettività wireless o simili che spesso, essendo di matrice consumer, nascono con minore attenzione alla sicurezza. Pensiamo ai robot e ai droni, che possono essere oggetto di attacchi per cui diventa possibile prenderne il controllo da remoto. Inoltre entra in gioco il cloud che a sua volta presenta problematiche di sicurezza. Perfino le stampanti 3D hanno i loro problemi: si è già prefigurato un loro utilizzo malevolo che porterebbe a una produzione di prodotti con errori intrinseci. Va poi considerato tutto il tema del collegamento della supply chain e quindi dei rischi associati all’assemblaggio di prodotti di terze parti poco sicuri, o semplicemente degli accessi privilegiati garantiti a fornitori magari non altrettanto consapevoli delle tematiche di cybersecurity.
In ambienti industriali molto “connessi”, anche le tradizionali vulnerabilità dell’ICT acquistano una rilevanza particolare: si pensi al fatto che nel 2014 in Germania un accesso abusivo ad un altoforno ha avuto conseguenze molto gravi. Una volta entrati nella rete con tecniche di phishing, gli attaccanti hanno infettato i sistemi ICS utilizzati nella produzione di acciaio e sono riusciti a prendere il controllo dei sistemi che governano l’altoforno: di conseguenza, la fabbrica ha subito gravi danni non potendo governare correttamente lo shutdown. Esistono anche cyber threats specifici per i processi industriali o di logistica, ad esempio RFID malevoli in grado di compromettere i sistemi di lettura e i database sottostanti, malware che parlano la lingua di PLC e SCADA per controllarli, impianti di produttori “furbi” in grado di intercettare il traffico nella fabbrica anche a scopo di sottrazione di Intellectual Property rispetto ai macchinari concorrenti.
TIG. Gli attacchi cyber al mondo industriale sono quindi già una realtà oggi, ma le aziende sono consapevoli di questi rischi?
Raoul Brenna. Negli ultimi anni, attacchi al settore energetico, agli autoveicoli, persino al mondo manifatturiero confermano il potenziale impatto di campagne su vasta scala verso questo target e ne confermano anche l’attuale esposizione. Tecniche di phishing più o meno mirato abilitano il raggiungimento di reti e segmenti di impianti ipoteticamente isolati. La mancanza di patch in reti “office” (oltre che nelle reti di processo) ha messo in luce negli ultimi mesi come poi questo isolamento sia più teorico che pratico, e comporta la propagazione di infezioni che hanno come conseguenza estrema il blocco dell’azienda.
In Italia la sensibilità su questi temi e la percezione del rischio ci sono, almeno tra gli addetti del settore dell’Information Security. L’allineamento su questi temi, in termini di gravità percepita, può tuttavia essere solo parziale verso il business, nonostante esso sia l’Owner degli impianti di cui parliamo. Gli attacchi agli ambienti industriali sono una realtà, accadono, però sono molto difficili da rilevare. Quello che si misura di solito è il loro effetto, che in alcuni casi può risultare veramente molto grave, con una reazione a catena che blocca tutta la filiera, come si è visto di recente quando il malware NotPetya ha fermato le operazioni della società di spedizioni danese Maersk per settimane, con un danno economico complessivo tra i 200 e i 300 milioni di dollari. In questi casi il business percepisce il problema… ma purtroppo tardivamente.
TIG. Come affrontare quindi il problema della “messa in sicurezza” degli ambienti di Industria 4.0?
Raoul Brenna. La cybersecurity deve “fare uno scatto avanti” nel momento in cui la posta in gioco non è più il singolo PC o smartphone o la singola abitazione (aspetti la cui tutela è comunque imprescindibile), bensì si allarga potenzialmente all’intero Sistema Paese partendo dalle infrastrutture critiche.
Con un caveat: occorre fare in fretta a mettere in ordine innanzitutto tutte le componenti, per evitare un potenziamento reciproco delle vulnerabilità di uno o dell’altro derivante dall’interconnessione. Quindi non basta “mettere insieme tutti i pezzi”: bisogna adottare baseline di sicurezza per ciascun elemento e integrare i vari componenti che compongono tutto il sistema produttivo/logistico solo se hanno una sicurezza accettabile, non trascurando di verificare anche gli aspetti di protezione delle relative connessioni.
Serve quindi adottare in modo serio e rigoroso approcci al design di prodotti e infrastrutture che abilitino realmente l’adozione di paradigmi come il “security by design“, “security by default” e “defense in- depth“. E aggiungerei: è imperativo considerare anche la Supply Chain security – visto che nel mondo industriale – pensiamo al settore automotive – si assemblano spesso le parti di molteplici fornitori.
TIG. Si dispone già di linee guida e raccomandazioni, oltre che di soluzioni tecnologiche, per quanto riguarda la Cybersecurity del mondo Industria 4.0?
Raoul Brenna. Le indicazioni per la sicurezza degli ambienti SCADA/ICS, dei PLC, sono già disponibili da tempo, almeno dal 2010, e anche le tecnologie per contrastare le relative minacce e vulnerabilità esistono da tempo. Da sole però non bastano e la loro applicazione deve essere mirata e ragionata: una soluzione di cybersecurity per questi ambienti non potrà essere un’adozione pedissequa di tecnologie nate per l’IT, ma piuttosto andrà ragionata bene per singola realtà, anche con una fase di test in laboratorio per verificarne la compatibilità con quanto presente in campo. Inoltre per questi ambienti industriali bisogna rendersi conto che, volendo risolvere il tema delle vulnerabilità, un rinnovamento completo rispetto all’esistente non è realistico in tempi brevi. Occorre pertanto valutare con attenzione le modalità con cui le “vecchie” tecnologie possano essere integrate e “incapsulate” in elementi che ne aumentino il livello di sicurezza quando interfacciate con gli altri attori dell’ecosistema Industry 4.0. Tale valutazione dovrebbe avvenire a tutti i livelli: dal singolo apparato all’intero impianto produttivo fino all’intera value chain.
Per quanto riguarda la componentistica “nuova”, il cosiddetto IoT, la situazione è variegata. I dispositivi possono supportare approcci moderni alla sicurezza, e i framework di sviluppo sono dotati di adeguate feature. Occorre verificare che quanto selezionato per l’integrazione con l’ambiente industriale ne sia effettivamente provvisto.
È infine necessario comprendere e valutare come le “vecchie attitudini” possano essere corrette per creare la nuova percezione del rischio necessaria da parte di tutti. Dall’operatore di macchina al management, infatti, occorre costruire nel “fattore umano” quella consapevolezza che, unita ai controlli tecnologici e al monitoraggio proattivo degli eventi, può permettere agli attuali approcci alla cybersecurity di “scalare” verso le dimensioni necessarie a proteggere l’intero l’ecosistema industriale.
Intervista a:
RAOUL BRENNA,
Responsabile della Practice Information Security & Infrastructures di CEFRIEL – Politecnico di Milano
A cura di:
Elena Vaciago, Associate Research Manager, The Innovation Group
Il prossimo 14 dicembre 2017, il webinar Cybersecurity e Industria 4.0, Un imperativo: non farsi cogliere impreparati organizzato da The Innovation Group in collaborazione con CEFRIEL- Politecnico di Milano e con la presenza di Raoul Brenna, Responsabile della Practice Information Security & Infrastructures, affronterà i seguenti temi:
- Industry 4.0 e cybersecurity risk
- Architettura multilivello… Rischi multilivello
- Focus sui rischi IoT, e cosa cambia in ambito legacy
- Alcuni suggerimenti dagli standard e dai casi d’uso
