Gli impianti chimici sono considerati bersagli ideali, obiettivi sensibili che devono essere adeguatamente tutelati da potenziali pericoli, minacce e azioni criminose, provenienti sia dall’interno che dall’esterno dell’azienda. Può trattarsi di un’intrusione fisica o informatica, ma quel che è certo è che la superficie di potenziali attacchi si è notevolmente ampliata rispetto al passato, al punto che oggi per poterli contrastare è opportuno spaziare dalla più tradizionale security alla cybersecurity.
Per approfondire l'argomento ne abbiamo parlato con Igor Falcomatà, CEO e Senior Security Consultant di Enforcer.
Come è cambiata la gestione o conduzione degli impianti produttivi all’interno di una azienda con l’avvento della digitalizzazione?
Per decenni in ambito industriale sono state utilizzate “macchine a controllo numerico” o altri apparati informatici, ma solo di recente - grazie alla cosiddetta Industria 4.0 - è stata possibile l’integrazione su larga scala dei processi produttivi con tutto il resto del sistema informativo aziendale. Nei casi più estremi di digitalizzazione, vi sono realtà produttive che risultano già completamente gestite da un “MES” (Manufacturing Execution System), un software che regola in maniera integrata l’intero processo produttivo, dall’acquisizione degli ordini fino all’evasione e spedizione dei del prodotto finito. Altre, invece, con la diffusione dell’Industrial Internet of Things (IIoT) e l’interconnessione dei sistemi industriali, si stanno muovendo in questa direzione.
Quali sono i vantaggi e gli svantaggi per l’industria?
La digitalizzazione e l’Industria 4.0 hanno portato sicuramente enormi vantaggi alle industrie, sia da un punto di vista di ottimizzazione dei processi produttivi, sia in termini di riduzione dei costi e miglioramento anche delle possibilità di controllo, manutenzione, eccetera.
Ma al contempo, l’Industria 4.0 ci ha reso paradossalmente più vulnerabili. Se da una parte gli impianti industriali risultano ormai sempre più connessi, sia con il resto del sistema informativo aziendale che direttamente con Internet, dall’altro lato gli apparati in uso in ambito industriale storicamente dispongono di misure di cybersecurity decisamente molto più carenti rispetto a quelle utilizzate in ambito ICT, risultando così l’anello debole di un’azienda.
Quali sono i rischi legati all’assenza di Security nelle reti industriali?
I rischi a cui si può andare incontro sono da considerarsi innumerevoli: dalla sottrazione di dati alle perdite finanziarie, dai danni d’immagine e reputazione al blocco delle capacità operative e/o del processo produttivo, fino al rischio di incidenti. Pensiamo, per esempio, ad una manomissione dei parametri di lavorazione di qualche processo chimico oppure alla modifica dei livelli di monitoraggio di temperature o altri parametri vitali, eccetera. Al giorno d’oggi, gran parte degli attacchi sono di origine criminale: uno dei rischi più diffusi e conosciuti in questo periodo sono i cosiddetti “ransomware”, crimini mirati ad ottenere un guadagno tramite un “riscatto” chiesto all’azienda vittima. Molti di questi attacchi iniziano tramite un’e-mail “infetta”: cliccando sull’allegato “sbagliato” un utente inconsapevolmente permette ai criminali di accedere alla propria rete aziendale. Una volta ottenuto l’accesso questi mirano alle componenti più deboli dal punto di vista della cybersecurity (come, appunto, possono essere gli apparati industriali citati pocanzi) per bloccare l’operatività aziendale (un esempio può essere la cifratura dei dati mediante una password) e richiedere un “riscatto” per la restituzione dei dati, ovvero rivelare la password con cui sono stati cifrati i dati). È da notare che oltre alle ovvie implicazioni legali nel pagare un riscatto ai criminali, da un punto di vista tecnico il sistema informativo aziendale è da considerarsi in ogni caso compromesso, sia che vengano sbloccati i dati con la password fornita dai criminali, sia che si riparta dalle copie di sicurezza. Sarebbe quindi opportuno procedere con un’attività di “bonifica” così che si possa evitare ulteriori sgradevoli conseguenze in futuro.
È altresì da notare che, sempre più spesso, viene richiesto un secondo riscatto per far sì che i criminali non procedano alla pubblicazione su Internet dei dati riservati sottratti durante l’attacco, soprattutto nei casi in cui l’azienda vittima decida – correttamente – di non cadere nel primo ricatto.
Quali sono le soluzioni che una azienda può adottare per far sì che safety and security non vengano compromesse?
Spesso si pensa che la sicurezza informatica sia un problema semplicemente tecnologico, che può essere risolto acquistando uno o più determinati prodotti… “ho comprato l’antivirus; quindi, risolvo il problema dei malware” NdR: malware è il termine tecnico per indicare i “virus informatici”). Gli strumenti tecnologici sono sicuramente sostanziali, ma se non utilizzati correttamente e non inseriti in una più ampia gestione “strategica” della cybersecurity all’interno dei processi aziendali, essi non servono a molto e, anzi, potrebbero darci un senso di “tranquillità” che forse sarebbe meglio non avere. La formazione è uno dei tasselli fondamentali della cybersecurity. Per questo motivo è importante definire una corretta strategia di gestione cybersecurity, in cui il management deve essere consapevole dei rischi, l’indispensabile figura di un Cybersecurity Manager deve essere adeguatamente preparata per governare l’intero processo mentre lo staff tecnico ICT deve ottenere una formazione specifica sulle tematiche di cybersecurity e adeguati aggiornamenti tecnologici. È da considerarsi altresì fondamentale in tutti gli scenari e gli ambiti professionali non ICT, che il personale deve essere adeguatamente sensibilizzato e formato sui rischi in ambito cybersecurity e sull’utilizzo consapevole degli strumenti aziendali.
Quali sono le normative di riferimento?
La principale normativa di riferimento è ovviamente il GDPR (la normativa europea sulla protezione dei dati), che, pur non essendo particolarmente rilevante per quanto riguarda la parte industriale, pone comunque dei requisiti fondanti per la gestione dei dati aziendali, in particolar modo i requisiti di “privacy by design” e “security by design”. Vi sono poi le aziende di rilevanza strategica nazionale che rientrano nel “Perimetro di Sicurezza Cibernetica” e che hanno specifici obblighi e adempimenti.
Oltre alle normative esistenti, sia a livello europeo che a livello nazionale, è molto probabile che in un prossimo futuro vengano gradualmente introdotte normative specifiche per la cybersecurity in relazione ai differenti settori e/o tipologie di aziende (come, per esempio, già succede per la pubblica amministrazione con le normative AGID o per il settore automotive, ecc.). Oltre alle normative, vi sono poi numerosi standard e framework che possono aiutare, sia generici per la protezione dei dati e dei sistemi (Cybersecurity Framework, ISO 2700x, ecc.), sia specifici per l’ambito industriale (ISA/IEC 62443)
Infine qual è la situazione in Italia e cosa vede all’orizzonte?
Lo stato attuale non è molto confortante. Molte aziende non sono adeguatamente strutturate né dal punto di vista organizzativo né da quello tecnologico, rimanendo spesso vittime di attacchi “semplici” che si sarebbero potuti evitare attraverso una maggiore consapevolezza e con la definizione di processi aziendali adeguati. Per capirci, non stiamo parlando di attacchi da film di spie alla “Mission Impossible”, ma di attacchi che sfruttano tecniche e tecnologie di attacco ben conosciuti (phishing, malware, software non aggiornati, credenziali deboli, ecc.), effettuati non da “hacker geniali” come in qualche famosa serie TV, ma da molto meno romantici (e molto più pericolosi) cyber criminali che sfruttano Internet per portare attacchi su larga scala in poco tempo. Nella maggior parte dei casi l’attacco non viene inviato a “me” in quanto vittima predestinata, ma viene inviato a milioni di potenziali vittime tra tante disponibili (indirizzi e-mail, siti web pubblicati su Internet, ecc.). Aggiungiamo anche che, nel corso del 2020, i vari lockdown e il conseguente utilizzo massivo dello smart working hanno reso ancora più effettivi alcuni tipi di attacchi, oltre al già naturale aumento esponenziale degli stessi.
Inoltre, altra questione che abbiamo potuto constatare è che, fortunatamente, sta aumentando anche la consapevolezza delle aziende nel prendere in considerazione il tema della cybersecurity come elemento fondamentale per garantire la business continuity e affrontare il mercato con la sicurezza di assicurare puntualità e qualità nelle forniture, anche in caso di situazioni impreviste.
Chimica Magazine - Speciale Sicurezza negli ambienti industriali - Giovanni Abramo