Cybersecurity industriale, Parte 1: stato dell’arte, nuovi sviluppi, impatto delle norme

Cybersecurity industriale, Parte 1: stato dell’arte, nuovi sviluppi, impatto delle norme

Cybersecurity industriale, Parte 1: stato dell’arte, nuovi sviluppi, impatto delle norme

La quarta rivoluzione industriale, nota anche come industria 4.0, si riferisce alla continua automazione dei processi manifatturieri tradizionali, utilizzando tecnologie moderne sempre più performanti e intelligenti per analizzare e diagnosticare i problemi, riducendo sempre più la necessità dell’intervento umano.

La natura interconnessa delle operazioni guidate dall’industria 4.0, insieme all’accelerazione delle iniziative di trasformazione digitale, sta aumentando esponenzialmente i rischi per la sicurezza informatica. La situazione ha raggiunto la sua massima criticità con la pandemia e la successiva crisi economica: oggi siamo al punto in cui gli interventi non sono più procrastinabili, come mostrano alcuni casi molto gravi di attacchi andati a segno su infrastrutture critiche in tutto il mondo.

Nell’articolo, partendo dallo stato dell’arte delle minacce cyber per gli ambiti industriali, si descrive lo scenario generale della risposta e l’arrivo di nuove norme europee che andranno a regolare sempre di più l’adozione di misure e processi di cybersecurity nell’industria 4.0.

Indice dell’articolo:

  • Lo stato dell’arte della cybersecurity degli ambienti OT nel settore manifatturiero
  • Quali sono le minacce cyber che preoccupano di più l’industria
  • Crescita degli incidenti attribuibili a vulnerabilità della supply chain
  • Le infrastrutture critiche nazioni sono sotto perenne attacco
  • Il settore energetico è quello più preso di mira dagli attaccanti
  • Forte attenzione e nuove norme degli Stati sulla OT Cybersecurity
  • Politiche e regolamenti sulla sicurezza informatica OT in Europa
  • La nuova Direttiva europea NIS 2 istituisce un centro di comando per la risposta agli attacchi informatici
  • Oltre a NIS 2 e CER, il CRA (EU Cyber Resilience Act) promuove un security by design per i prodotti EU

Gestire la sicurezza degli ambienti OT/ICS

Il 2022 ha visto crescere il numero degli attacchi agli ambienti IT e OT in numerosi ambiti del mondo industriale. In particolare, alcuni ecosistemi di Ransomware-as-a-service (come Black Basta, Pandora, LockBit 3.0) hanno adottato strategie di multiple extortion che hanno danneggiato gravemente aziende dell’ambito energy, manifattura e altri settori con infrastrutture critiche. Un settore particolarmente colpito è stato quello automobilistico: via via che le fabbriche dei car maker e della loro filiera saranno sempre più automatizzate, diventa fondamentale assicurare questi processi dalle possibili interferenze del malware.

Lo scorso anno, per la prima volta molte aziende hanno dovuto fare il conto con prolungati arresti delle attività per attacchi ransomware: oggi gli attaccanti fanno uso di più tecniche estorsive, e sono in grado quindi sia di esfiltrare dati critici, rubare e rivendere intellectual property, sia di danneggiare l’azienda e i suoi clienti, rovinando la reputazione di un brand. La protezione delle reti OT (Operation technology, quella che contraddistingue i processi produttivi, diversa quindi dall’IT, Information technology, tipica di ambienti con colletti bianchi, come amministrazione, finanza, risorse umane) è diventata un elemento fondamentale degli sviluppi dell’Industria 4.0.

Per ridurre la possibilità che gli ambienti OT siano oggetto di attacchi informatici, bisognerà sempre di più tener conto del fatto che la cybersecurity per OT/ICS richiede soluzioni, competenze e processi specifici, metodologie che non possono essere traslate direttamente dal mondo IT.

Lo stato dell’arte della cybersecurity degli ambienti OT nel settore manifatturiero

Una risposta alla domanda su quanto grave sia diventata la situazione viene dalla survey commissionata da TXOne Networks a Frost and Sullivan “Insights Into ICS/OT Cybersecurity 2022”: i principali risultati dell’indagine ci dicono che:

  • Nel 94% dei casi, incidenti che erano inizialmente rivolti al mondo IT hanno avuto conseguenze anche nel mondo OT, una volta che i due erano stati integrati.
  • L’accresciuta complessità degli ambienti OT e la mancanza di visibilità sulle capacità di security delle terze parti sono sfide sempre più serie per le organizzazioni odierne del settore industriale.
  • Il 93% delle imprese industriali impiegano già almeno una soluzione di OT security e l’85% ha a piano di incrementare i suoi investimenti in questo ambito.
  • Nonostante gli investimenti in OT security siano in crescita, il 70% delle aziende continua a pensare di impiegare soluzioni specifiche del mondo IT anche per ambienti OT.
  • Solo il 6% delle organizzazioni ha protetto la totalità dei propri device Windows con soluzioni di endpoint security.

Quali sono le minacce cyber che preoccupano di più l’industria

Negli ultimi dieci anni, la minaccia cyber più grave per gli effetti nocivi sulla continuità del business è stata il ransomware. Il malware che cifra i dati e richiede il riscatto può infettare i sistemi OT seguendo due strade principali: le mail di phishing oppure l’utilizzo di credenziali ottenute da precedenti data breach. Negli ultimi anni, la seconda strada è stata quella più battuta dagli attaccanti che hanno preso di mira, in modo molto specifico e con grande preparazione, le infrastrutture critiche dei diversi Paesi.

Oggi questo problema ha portato a una maggiore attenzione verso i sistemi di autenticazione forte (multi-fattore) e verso una gestione più accorta delle identità digitali. Il problema di gestire molti più accessi da remoto, del resto, è esploso negli anni della pandemia, quanto l’incremento della gestione da remoto dei sistemi di controllo industriale ha riguardato un pò tutti gli ambienti produttivi. Si consideri poi il fatto che la maggior parte delle configurazioni e dei setup dei sistemi OT sono normalmente affidati a integratori e ingegneri di terze parti specializzate, che in alcuni casi posseggono poca o nulla dimestichezza con i dettami della cybersecurity.

La superfice d’attacco è cresciuta e si è diversificata quanto mai. Molti dipendenti hanno ottenuto e mantengono tuttora lo smart working (o home working) mentre poco o niente è stato fatto per innalzare le barriere verso accessi e attività indesiderate nelle reti aziendali, fornire competenze alle persone, rafforzare i controlli, definire policy, individuare e risolvere eventuali vulnerabilità.

Ultimamente, gli attacchi ransomware si sono sempre più organizzati secondo il modello del Ransomware-as-a-Service (RaaS), che porta a una differenziazione e a una crescita di varie tipologie di criminali informatici, ciascuno con una propria specializzazione. Il RaaS ha comportato anche lo sviluppo rapido di nuovi modelli estortivi. Si può dire che una grande creatività caratterizza oggi la professione del cyber crimine: le minacce evolvono rapidamente e chi deve gestirle è costantemente impreparato.

Nel 2022, come ci si immaginava, sono emersi ecosistemi completi di RaaS che hanno sviluppato varie tecniche, da una lato quelle tradizionali di cifratura dei dati, dall’altro, la distruzione degli stessi, prendere i dati in ostaggio e richiedere il riscatto, la vendita dei dati sul dark web, minacciare clienti e fornitori di rendere pubbliche le loro informazioni, il tutto prendendo di mira settore dopo settore, in modo sempre molto mirato, l’Industria 4.0, il settore energetico, il mondo del Food, l’agribusiness, il settore della salute.

cybersecurity industriale

(Fonte: “Insights Into ICS/OT Cybersecurity 2022”, TXOne Networks survey, by Frost and Sullivan)

Crescita degli incidenti attribuibili a vulnerabilità della supply chain

Anche gli attacchi veicolati dalla catena di subfornitura hanno visto un preoccupante aumento nel 2022, alla stregua di esempi clamorosi come quelli di SolarWinds e Kaseya. Nel primo semestre dell’anno, Toyota ha dovuto fermare la produzione in 13 fabbriche di auto per un attacco cyber che aveva riguardato i suoi fornitori di parti in plastica e componenti elettroniche. Anche la compagnia petrolifera Shell ha sofferto per l’arresto della produzione di petrolio a causa di un attacco cyber a fornitori di attività logistiche/di magazzino. Si è trattato di casi che hanno mostrato la potenziale gravità di attacchi di questa natura, che spesso vanno oltre la capacità delle aziende di prevenirli e proteggersi.

cybersecurity industriale

(Fonte: “Insights Into ICS/OT Cybersecurity 2022”, TXOne Networks survey, by Frost and Sullivan)

Per rispondere almeno in parte al problema posto dall’insicurezza delle supply chain, le aziende devono cominciare a prioritizzare l’analisi dei rischi. Una metodologia che può essere adottata a questo scopo è ad esempio quella sviluppata dal MITRE (il “System of Trust Framework”). Sempre di più le organizzazioni di qualsiasi settore saranno chiamate (con l’arrivo di dettami specifici dal punto di vista regolamentare) a condurre ampi assessment sulla sicurezza delle proprie catene di fornitura.

Le infrastrutture critiche nazioni sono sotto perenne attacco

Negli ultimi 10 anni la cybersecurity è diventata tema per le strategie di National Security: questo perché infrastrutture critiche a livello Paese (come le reti energetiche, i trasporti, gli oleodotti e gli acquedotti, gli ospedali) sono sempre più presi di mira. In alcuni casi, questi attacchi sono oggi parte di una strategia di cyberwarfare (o guerra ibrida), azioni che hanno l’obiettivo di mettere in difficoltà interi Stati considerati ostili, presi di mira da hacker governativi o da gruppi di cyber mercenari.

Gli esempi sono molteplici e sono chiaramente aumentati nell’ultimo anno, con la guerra russo ucraina in corso. Ad esempio, in Ucraina è stato preso di mira e bloccato sia il sistema di telecomunicazioni, sia la rete energetica. In Germania, l’attacco all’University Hospital di Dusseldorf ha costretto alla chiusura del pronto soccorso, e questo ha purtroppo causato la morte di un paziente trasferito in un altro ospedale. Negli USA aveva fatto molto scalpore l’attacco ransomware all’oleodotto di Colonial Pipeline. Le conseguenze dell’arresto (di fatto preventivo, per evitare il diffondersi del malware) sono state notevoli: dalla mancanza di carburante nelle stazioni di rifornimento della zona alla crescita del costo del petrolio sentita in tutto il mondo.

Il settore energetico è quello più preso di mira dagli attaccanti

L’indagine “Insights Into ICS/OT Cybersecurity 2022”stima che nel 2022, il 31% degli attacchi rivolti a infrastrutture critiche abbia riguardato il settore energy. Gli attacchi informatici alle infrastrutture critiche potrebbero aumentare nel 2023, sia per le tensioni geopolitiche, sia per l’elevato rischio di condizionare questi mercati già di per sé soggetti a speculazioni, sia anche per il continuo evolvere delle tecniche di attacco, sempre più sofisticate e intrusive. Ciò è dovuto alla crescente connettività tra le Operational Technology (OT) di reti elettriche e parchi eolici con la tecnologia dell’informazione (IT), un aspetto che consente agli aggressori di accedere e controllare questi sistemi.

cybersecurity industriale

(Fonte: “Insights Into ICS/OT Cybersecurity 2022”, TXOne Networks survey, by Frost and Sullivan)

Nella seconda metà del 2022, il mondo delle infrastrutture critiche ha registrato il più alto numero di attacchi ransomware specifico per ambienti ICS/OT. Ad esempio, nel mese di agosto, il gruppo ransomware Clop ha affermato di aver compromesso una società britannica di approvvigionamento idrico, avendo ottenuto l’accesso alla rete interna del sistema di controllo industriale, e di essere riuscito a modificare il flusso d’acqua. Il RaaS di Conti, LockBit e Hive è quello che si osserva più di frequente nelle utility: Conti e LockBit rappresentano ciascuno un terzo di tutti gli attacchi.

Forte attenzione e nuove norme degli Stati sulla OT Cybersecurity

Negli ultimi anni, incidenti informatici come quelli di Stuxnet, WannaCry, SolarWinds, Colonial Pipeline, o l’attacco informatico della Russia alla società satellitare statunitense Viasat nelle prime fasi della guerra in Ucraina, hanno avuto un’influenza globale, spingendo molti governi in più Paesi a riesaminare le loro norme e strategie per la sicurezza informatica delle infrastrutture critiche nazionali. Oggi questi regolamenti si pongono l’obiettivo di impedire agli hacker l’accesso ai sistemi che regolano l’energia nelle città, l’approvvigionamento idrico delle persone, i trasporti pubblici.

Negli Stati Uniti, già il 28 luglio 2021, il presidente Biden ha firmato un memorandum di sicurezza nazionale sul miglioramento della sicurezza informatica dei sistemi di controllo delle infrastrutture critiche. Il National Security Memorandum (NSM) USA istituisce un’iniziativa volontaria per promuovere la collaborazione tra il governo federale e l’insieme delle infrastrutture critiche: le parti interessate sono indirizzate a una migliore comprensione delle minacce informatiche che riguardano sistemi ICS/OT critici e all’adozione di misure minime di cybersecurity. Esempi implementativi successivi sono le norme introdotte dalla Transportation Security Administration (TSA) nel 2022, per incrementare la cyber resilienza nei settori dei gasdotti e ferroviario e nel settore dell’aviazione.

cybersecurity industriale

(Fonte: “Insights Into ICS/OT Cybersecurity 2022”, TXOne Networks survey, by Frost and Sullivan)

Politiche e regolamenti sulla sicurezza informatica OT in Europa

Nel febbraio 2022, diverse grandi raffinerie in Belgio e in Olanda sono state colpite da attacchi informatici. Gli hacker hanno paralizzato il processo automatico di carico e scarico dei depositi petroliferi, rendendo le navi in attesa impossibilitate nel caricare e scaricare prodotti petroliferi. Di conseguenza, il commercio di prodotti petroliferi è stato interrotto in quasi tutta la regione.

Questi fatti dimostrano l’importanza di far evolvere rapidamente le norme, se si vuole essere in grado di contenere queste minacce a livelli ragionevoli. Senza dimenticarsi che la vigilanza deve rimanere costante. Il problema è pressante per le aziende europee e le norme anche nel nostro continente stanno cambiando.

La nuova Direttiva europea NIS 2 istituisce un centro di comando per la risposta agli attacchi informatici

La prima “Direttiva sulla sicurezza delle reti e dei sistemi informativi” (NIS Directive) risale al 2016. Alla fine del 2020, in risposta a un aggravarsi delle minacce informatiche, la Commissione europea (CE) ha proposto una direttiva aggiornata (NIS 2), il cui scopo era conformare la NIS alle esigenze attuali e future. La nuova versione quindi (NIS 2) amplia il numero dei settori oggetto delle norme, includendo 11 settori supplementari. Gli Stati membri dovranno recepire la NIS 2 nelle legislazioni nazionali entro il settembre 2024.

Un punto importante della direttiva europea NIS 2 è che istituisce a livello europeo un centro di comando comune per la risposta e la difesa dagli attacchi informatici, EU-CyCLONe. Questo centro sarà dedicato a una gestione coordinata degli incidenti e delle crisi di cybersecurity su scala internazionali. Gli obiettivi dell’EU CyCLONe saranno quindi molteplici: un incremento della preparazione nella gestione di incidenti e crisi su larga scala, lo sviluppo di una consapevolezza condivisa sulle diverse situazioni, la valutazione delle conseguenze e dell’impatto delle crisi, possibili misure di attenuazione degli incidenti, una gestione coordinata degli incidenti, supporto al processo decisionale a livello politico, condivisione dei piani nazionali di risposta. È prevista quindi per il futuro una migliore condivisione delle informazioni di cybersecurity a livello europeo, la gestione delle crisi e il supporto decisionale, lo sviluppo di tassonomie standardizzate, una comprensione approfondita di scenari e infrastrutture specifiche (in particolare per la sicurezza informatica industriale).

Sempre per la difesa delle infrastrutture critiche, la nuova direttiva CER (Critical Entities Resilience Directive) sostituisce la direttiva europea sulle infrastrutture critiche del 2008. Le nuove norme sono volte a rafforzare la resilienza delle infrastrutture critiche nei confronti di una serie di minacce, principalmente di natura fisica, come i pericoli naturali, attacchi terroristici, minacce interne o sabotaggi. La direttiva CER (2022/255) sulla resilienza delle infrastrutture critiche è stata approvata a inizio gennaio 2023, insieme alla Direttiva NIS 2. Anche la CER, pur occupandosi di minacce legate al mondo fisico, impone l’assunzione di misure tecniche, operative e organizzative rafforzate, e una gestione ottimale dei rischi di sicurezza delle reti e delle informazioni, in modo da garantire la resilienza delle infrastrutture classificate come “critiche” a minacce quali disastri naturali e attacchi terroristici.

Oltre a NIS 2 e CER, il CRA (EU Cyber Resilience Act) promuove un security by design per i prodotti EU

Il 15 settembre 2022, la Commissione europea ha proposto il Cyber Resilience Act (CRA), una norma per migliorare la sicurezza informatica dei prodotti digitali dell’UE e per razionalizzare il quadro normativo esistente. Saranno quindi imposti una serie di obblighi di cybersecurity per i prodotti digitali, in particolare per il software (che oggi è embedded in moltissimi oggetti fisici). La nuova norma sarà necessariamente strettamente correlata ad altri regolamenti dell’UE (come la direttiva NIS 2, l’Artificial Intelligence Act e il Regolamento generale sulla protezione dei dati, GDPR).

La CRA si applica a tutti i prodotti digitali che sono direttamente o indirettamente collegati a un altro dispositivo o a una rete. Un prodotto digitale è definito come “qualsiasi prodotto software o hardware con la relativa parte di elaborazione remota dei dati, compresi i componenti software o hardware immessi sul mercato separatamente”.

I prodotti digitali connessi a Internet (IoT) dovranno essere conformi ai requisiti di base della cybersecurity, tra cui la progettazione, sviluppo e produzione, sicurezza informatica risk based e assenza di vulnerabilità note sfruttabili. Le aziende che violeranno questi requisiti potranno essere multate fino a 15 milioni di euro o il 2,5% del loro fatturato annuo globale, in caso riconosciute negligenti. Anche se non ancora legge, la nuova proposta si applicherà in moltissimi casi, dove sono sviluppati prodotti con elementi digitali sia software sia hardware, e riguarderà non soltanto il mondo industriale, ma anche importatori e distributori di questi prodotti lungo tutto il loro ciclo di vita. Stabilirà inoltre requisiti per la gestione delle vulnerabilità dei prodotti e per una corretta gestione degli incidenti valida per i produttori, con obblighi anche per gli altri operatori.


Il tema della Cybersecurity Industriale sarà approfondito nel corso dello SMART MANUFACTURING SUMMIT di The Innovation Group, il prossimo 3 e 4 maggio 2023 a Milano.

Il 4 maggio, alle ore 15:30 – 16:30, nella SESSIONE PLENARIA 3 – SICUREZZA OT, IT, IoT E CLOUD NEL MONDO INDUSTRIALE saranno toccati questi temi:

  • Come ridurre il rischio IT nel mondo industriale?
  • Quali sono le best practice di riferimento?
  • Come potenziare i processi di protezione e remediation con automazione dei processi e sistemi di autoapprendimento (IA/ML)?
  • La cybersecurity della supply chain: come incrementare resilienza e trasparenza lungo la filiera produttiva?

Registrati subito! (posti limitati, soggetti ad autorizzazione della segreteria organizzativa).

Smart Manufacturing