Il tema della sicurezza informatica per gli ambienti industriali è oggi tra i più “caldi”. Siamo arrivati infatti al punto in cui gli attaccanti sono in grado, con strategie mirate, attacchi articolati in più fasi e strumenti sempre più avanzati, non solo di rubare Intellectual Property (come hanno fatto per anni) ma di bloccare per giorni o anche settimane la produzione delle industrie, come riportano spesso i media, e come è successo quest’anno a diverse realtà manifatturiere italiane.
Oggi nel mondo industriale, più che il furto dei dati, quello che è molto rischioso è un eventuale downtime dei sistemi, la non disponibilità di una linea di produzione, l’hackeraggio della programmazione delle macchine. Nell’IT tradizionale, emerge invece come principale criticità l’elemento umano, l’errore di un singolo impiegato che permette agli attaccanti di aggirare tutti i sistemi preposti alla cybersecurity. Quali saranno quindi le priorità del Chief Information Security Officer nel 2020? ne parliamo in questa intervista con Alessandro Cosenza, Chief Information Security Officer di BTicino.
Enisa, l’Agenzia europea per la Cybersecurity, ha rilasciato le sue “Good Practices per la sicurezza dell’IoT”, una guida efficace per disegnare nuovi oggetti connessi (IoT) che siano il più possibile “intrinsecamente sicuri”.
A inizio anno 2019, ISO, International Organization for Standardization, l’organizzazione internazionale per le normative dei settori industriali, ha emesso un documento ISO/TR Technical Report denominato “ISO/TR 22100-4:2018, Safety of Machinery – Relationship with ISO 12100 – Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects”. In pratica si tratta di un nuovo standard di sicurezza (che a questo punto riguarda sia la Safety che la Security) per macchinari, impianti ed Industrial of Things industriale (IIoT) utilizzati in ogni settore dall’industria, al commercio, a trasporti e logistica, fino alle infrastrutture ed utility.
La prima impressione che si trae dagli interventi del Cybersecurity Summit 2018 dello scorso 31 maggio, è che quest’anno finalmente le buone notizie superano quelle cattive. In tema di contrasto al cyber crime e di maturità delle aziende nelle proprie politiche di prevenzione e risposta, si vedono finalmente, dopo tanti anni di sforzi comuni in questa direzione, risultati concreti e una migliore capacità di far fronte a questi rischi.
Il termine Industria 4.0 indica la nuova rivoluzione industriale (la quarta, come suggerito dal nome) e si riferisce a uno scenario che prevede un’interconnessione completa e globale del personale, degli impianti, dei sistemi di trasporto e logistica ed in generale di tutto l’ecosistema manifatturiero dell’azienda.
Lo scorso aprile, Bose, produttore di sistemi audio, è stato accusato di utilizzare l’App “Bose Connect” abbinata alle cuffie audio di fascia alta per spiare i suoi clienti. Bose, come ha riportato la rivista Fortune, avrebbe raccolto informazioni sull’ascolto dei brani dei consumatori senza averne ottenuto il permesso, e soprattutto senza neanche aver reso noto che tutti i dati (relativi al loro consumo di musica, radio broadcast, Podcast, letture), sarebbero stati raccolti grazie all’App e quindi girati a terze parti. Queste, per lo più società di marketing (tra cui una società di San Francisco, la Segment), usavano i dati per creare profili dettagliati sulle preferenze di ascolto di ogni cliente. Ad aprile è stata però avviata un’azione legale, una class action indetta da un cliente (Kyle Zak) che si propone di rappresentare molti altri, che punta a ottenere un rimborso di 5 milioni di dollari. L’App Bose Connect incriminata, pur non essendo indispensabile (le cuffie funzionano anche senza), viene scaricata lasciando informazioni personali come nome e indirizzo di mail e serve a ottimizzare l’utilizzo delle cuffie wireless, oltre che – ovviamente – a raccogliere tutti i dati di consumo audio.
Le vulnerabilità degli ambienti industriali che evolvono in configurazione 4.0, partendo dal classico “Industrial IoT” o SCADA/ICS, sono molteplici. Poiché le architetture sono stratificate, è opportuno adottare un approccio multilivello, che punti a scomporre le problematiche (per capirle meglio) collocandole sul corretto layer di riferimento, e poi a riconsiderarle valutando anche interdipendenze e possibili effetti a catena. La priorità oggi, se vogliamo una reale resilienza delle infrastrutture critiche (ed in generale di Industria 4.0) a livello Paese, è muoversi in fretta, come afferma Raoul Brenna, Responsabile della Practice Information Security & Infrastructures di CEFRIEL- Politecnico di Milano, in questa intervista con TIG, e come spiegherà nel dettaglio durante il Webinar “Cybersecurity e Industria 4.0, Un imperativo: non farsi cogliere impreparati” previsto per il prossimo 14 dicembre 2017.