Quali sono le sfide future per la sicurezza operativa nell'Industria 4.0? Rapporto Clusit 2024 alla mano, questa domanda è sempre attuale. I dati raccontano una realtà che vede gli attacchi informatici in aumento, soprattutto nel settore manifatturiero con i suoi macchinari connessi.
In questo scenario opera Smeup. Questa realtà italiana supporta le imprese nel percorso di trasformazione digitale verso l'Industria 4.0. L’azione ruota intorno alle sue soluzioni di integrazione industriale e di cyber security. L’obiettivo è di migliorare le operazioni all’interno delle industrie. Oltre che un rilevante livello di protezione contro i cyber criminali.
“Smeup rappresenta un partner chiave per la trasformazione digitale delle imprese, con soluzioni su misura per ottimizzare i processi aziendali e valorizzare i dati – racconta Simone Zabberoni, Security Specialist Smeup ICS -. Con 23 sedi in Italia, 610 risorse e 2600 clienti nel mondo, la società ha chiuso il 2023 con ricavi pari a 85 milioni di euro. Smeup offre soluzioni che spaziano dall'analisi aziendale ai software gestionali, dalla sicurezza informatica al marketing digitale, coprendo diversi settori e adattandosi alle esigenze specifiche dei clienti.”
Cyber crime: il mondo manifatturiero è un bersaglio “goloso”
Quando si parla di Industria 4.0 e macchinari connessi, le sfide da affrontare per raggiungere la protezione necessaria sono molteplici. “La sicurezza dei sistemi industriali sta diventando sempre più strategica, poiché i rischi legati agli incidenti informatici, in costante aumento in particolare nel settore manifatturiero, sono sempre più severi.”
Il mondo manifatturiero è un bersaglio attraente per il crimine informatico. Peraltro, proprio l’Italia lo è in modo particolare. “Chi fa manifattura è diventato un bersaglio ‘goloso’ per i cyber criminali. Si pensi a un attacco cyber a sistemi di controllo che regolano l’emissione di gas di una fonderia, un’acciaieria, di un impianto petrolchimico; i danni potrebbero essere molto gravi e coinvolgere anche le persone e l’ambiente. Infatti, sebbene gli attacchi informatici nel mondo IT siano comuni e spesso comportino richieste di ransomware, è diventato relativamente facile ripristinare le operazioni dopo tali attacchi, grazie a backup e isolamento dei sistemi.”
“Tuttavia, quando si tratta di attaccare infrastrutture critiche come le pipeline, il potenziale danno è molto più elevato; il che può portare a richieste di riscatto più alte da parte dei cyber criminali. Infatti, quest’ultimi hanno sviluppato strategie sempre più pericolose per ottenere un vantaggio economico. Oltre a interrompere le operazioni, gli attaccanti hanno iniziato a bypassare i meccanismi di sicurezza fail-safe delle macchine, minacciando di causare danni fisici anche agli operatori.”
Macchinari connessi: i tre pilastri della cyber sicurezza
Abbiamo però anche delle buone notizie, grazie alla testimonianza di Smeup. L’azienda racconta in che modo una pmi industriale può implementare una strategia di cyber sicurezza efficace. Zabberoni illustra i passi da intraprendere.
“Per la protezione dei sistemi industriali è innanzitutto essenziale seguire linee guida internazionali fornite dal Nist (National Institute of Standards and Technology) e standard di riferimento quali Iso 27001, Iec 62443 e il Purdue Model. Inoltre, la recente introduzione della normativa NIS 2 rafforza l’azione definendo l’obbligo di implementare processi e soluzioni di sicurezza con chiari riferimenti a questi standard ad aziende che rientrano nelle infrastrutture critiche e a tutta la loro supply chain. Facendo riferimento al quadro normativo, si possono individuare tre pilastri di partenza su cui costruire una strategia di OT security efficace: la network segmentation, la gestione degli account e la regolamentazione delle pratiche di manutenzione.”
“Per proteggere sia le reti IT che gli impianti industriali, è essenziale adottare una rigorosa segmentazione di rete per separare chiaramente i sistemi IT dai sistemi OT, permettendo solo i flussi dati necessari. La gestione degli account e delle password richiede l'uso di accessi robusti e account personali non condivisi, con password sicure. I dispositivi di manutenzione devono essere gestiti assegnando account personali con accesso limitato e specifico per ogni manutentore, sotto la supervisione del cliente. La formazione continua del personale è cruciale per aumentare la consapevolezza degli utenti e ridurre il rischio di attacchi. Oltre ai pilastri principali, è importante implementare buone pratiche come l'uso di antivirus con Edr, la gestione degli aggiornamenti e dei backup.”
Alcuni consigli strategici per le grandi imprese industriali
I passaggi precedenti individuati per le pmi manifatturiere fondamentalmente valgono anche per le grandi imprese. L’obiettivo di proteggere i propri macchinari connessi è raggiungibile nello stesso modo. Tuttavia, qualche sfumatura varia, in virtù delle diverse dimensioni aziendali.
“I principi di sicurezza di base si applicano sia alle piccole che alle grandi aziende, con le grandi aziende che necessitano di implementazioni più estese e rigorose. La proporzionalità dei sistemi di sicurezza è fondamentale: all'aumentare delle dimensioni e del rischio aziendale, le misure di sicurezza devono essere potenziate. Ad esempio, una piccola azienda può utilizzare un firewall per segmentare le reti IT e OT; mentre una grande azienda potrebbe utilizzare firewall multipli per segregare diverse aree, come Internet, Vpn, ospiti, reti informatiche e OT, fino ad avere firewall dedicati per ogni cella di linea produttiva.
“Oltre ai tre pilastri di sicurezza, le aziende devono implementare numerosi altri strumenti e servizi come sonde di rete, Siem, Soc e Managed Detection and Response 24/7, servizi Sase, agenti per la gestione zero trust degli endpoint, sistemi Pam per la gestione degli accessi privilegiati e sistemi di Data Leak Prevention.”
Cyber sicurezza: i settori dell'industria più avvezzi con gli standard
I pilastri della cyber security illustrati da Zabberoni sono naturalmente validi per ogni settore industriale. Automotive, pharma, food e oil & gas sono accomunati dalla medesime esigenze, quando si tratta di Industria 4.0 e approccio alla cyber sicurezza.
“Risulta difficile tracciare una linea netta. Per certo determinati settori sono già più ‘avvezzi’ ai meccanismi di standard di sicurezza (esempio sicurezza produttiva, safety del personale); perciò è più facile assimilare l’adozione di standard informatici come la 27001 o la IEC62443.”
“Oppure abbiamo settori come l’automotive che hanno la Tisax come riferimento. Quello che vediamo implementato nella pratica è sempre un mix tra settore, dimensione aziendale e sensibilità alla sicurezza.”
Industria 4:0 sicura, la strategia vincente per il futuro
Allarghiamo ora lo sguardo al futuro. Ci chiediamo ora quale tecnologia, tipologia di soluzione o strategia potrebbe in futuro fare la differenza nell'aiutare le imprese manifatturiere a proteggere adeguatamente i propri macchinari connessi. All'interno del paradigma di Industria 4.0 la cyber security è una sfida continua.
“Quando si parla di security, sia nel mondo IT che nel mondo OT, il punto focale deve essere il processo e non il prodotto. La security non è qualcosa che ti permette di girare una chiave ed avere un sistema sicuro. Tutto muta ed evolve nel tempo: le aziende, le relazioni, l’economia e soprattutto gli attaccanti. Questi evolvono molto più velocemente di quanto si pensi; non sono legati a orari, turni di lavoro, sabati o domeniche, non hanno problemi morali o sindacali.”
“Bisogna pensare alla security in maniera ciclica secondo i cicli di miglioramento continuo (es.: il Plan–Do–Check–Act) e non pensare più ‘alla vecchia maniera’ in cui una volta installati firewall e antivirus la rete è sicura; tutto va pianificato, messo in sicurezza, monitorato e aggiornato in base ai cambiamenti.”
“I prodotti e le soluzioni messe in campo sono importanti, ma più fondamentale è avere una strategia di gestione sia dell’esistente che del cambiamento: se non la applichiamo, saranno gli attaccanti a sfruttare questa carenza.”
