… tendenze, rischi e soluzioni dal mondo della cybersecurity
All’interno delle realtà industriali di tutto il mondo, fenomeni legati alla trasformazione digitale – come la convergenza tra il mondo dell’Information Technology (IT) e quello dell’Operational Technology (OT), la maggior connettività dell’OT alle reti esterne e il crescente numero di dispositivi IoT ad uso industriale (IIoT) – stanno contribuendo a migliorare l’efficienza dei processi e delle lavorazioni.
Tuttavia, questo tipo di tendenze portano con loro non solo vantaggi, ma anche rischi per quanto riguarda la sicurezza, moltiplicando i possibili punti di vulnerabilità. Grazie alle maggiori possibilità di azione offerte dalle nuove tecnologie, gli attacchi si fanno sempre più frequenti e sempre più sofisticati.
Dall’analisi fatta dal nostro Industrial Control Systems Cyber Emergency Response Team (ICS Cert), il progetto globale lanciato nel 2016 con l’obiettivo di coordinare gli sforzi dei fornitori di sistemi di automazione, i proprietari di infrastrutture industriali, gli operatori e i ricercatori nell’ambito della sicurezza nella protezione delle industrie dai cyberattacchi, è emerso il quadro delle aziende più colpite da minacce informatiche nella seconda metà dello scorso anno. Le aziende del settore dell’energia sono state le più esposte: le soluzioni Kaspersky Lab a protezione dei loro ICS hanno rilevato almeno un tentativo di attacco malware all’anno nel 38,7% dei casi. In un’ipotetica classifica di settori più colpiti, al secondo posto troviamo quello dei network di engineering e integrazione ICS (con il 35,3%). Per altri ambiti di applicazione industriale la media è stata tra il 26 e il 30%.
La cybersicurezza negli impianti industriali è un problema di grande rilievo, perchè può portare a conseguenze molto serie e anche comportare perdite economiche ingenti in caso di attacchi ai processi di lavorazione e sviluppo.
Questi attacchi sono fonte di notevole preoccupazione, proprio perché ormai è chiaro che potrebbero portare a conseguenze catastrofiche, che vanno dai possibili danni ai prodotti alla perdita della fiducia da parte dei clienti e di opportunità commerciali, fino a problematiche a livello ambientale e cali nella produzione in uno o più stabilimenti. Un singolo cyberattacco può danneggiare i processi industriali e perfino minacciare la continuità operativa; se un incidente non viene identificato entro una settimana, il danno economico per l’impresa può arrivare a 1,2 milioni di dollari in media (un dato che proviene dal nostro report “New Threats, New Mindset: Being Risk Ready in a World of Complex Attacks”).
Secondo l’ICS CERT di Kaspersky Lab nella seconda metà del 2017 ben il 37,8% dei computer (ICS) in tutto il mondo hanno subito delle cyberminacce. Tra le organizzazioni che hanno subito almeno un incidente informatico al proprio sistema di controllo industriale negli ultimi 12 mesi, inoltre, il 20% afferma che il danno economico alla propria attività è cresciuto, fornendo un ulteriore incentivo per gli investimenti in migliori sistemi di cybersecurity.
Per tutti questi motivi le organizzazioni industriali si sentono sempre più a rischio: secondo un sondaggio più recente – dal titolo “State of Industrial Cybersecurity 2018”, che ha visto la partecipazione di 320 figure con potere decisionale nel campo della sicurezza informatica OT/ICS in realtà industriali di tutto il mondo – oltre i tre quarti (il 77%) delle aziende ritiene che la propria organizzazione possa diventare obiettivo di un incidente di sicurezza informatica diretto proprio alle reti del controllo industriale.
Malgrado la consapevolezza in aumento e gli investimenti per la sicurezza IT avanzata che stanno crescendo, quasi i due terzi (64%) delle aziende interpellate dichiarano di aver subito almeno un attacco tramite malware o tramite virus tradizionali negli ultimi 12 mesi sul proprio ICS.
Il 30% delle aziende dice di essere stato colpito da un attacco ransomware e un quarto (27%) di aver subito una violazione del proprio sistema di controllo industriale a causa di errori e cattive azioni da parte dei propri dipendenti. Gli attacchi mirati che hanno colpito il settore nel 2018 interessano solo il 16% (in calo rispetto al 36% registrato nel 2017).
Le aziende che si affidano agli ICS, quindi, continuano ad essere vittime di minacce convenzionali, inclusi malware e ransomware, così come di attacchi mirati. E l’attacco da parte di un ransomware, in particolare, può causare problemi di vasta portata ai sistemi critici, come dimostrato da numerosi incidenti (specialmente WannaCry e exPetr infection) che hanno colpito i sistemi ICS/SCADA nel 2017.
Tra i trend dello scorso anno, i nostri ricercatori hanno scoperto anche un aumento degli attacchi di mining sugli ICS, dopo lo sviluppo del mercato delle criptovalute e dei miner in generale.
Comportando un significativo carico sui computer, agendo in modo negativo sulle operazioni dei componenti ICS dell’azienda e compromettendo così la loro stabilità, questo tipo di attacco può costituire una pericolosa minaccia per le industrie.
In questo quadro complesso, tra minacce reali e percezioni variabili, sembra che le organizzazioni stiano affrontando la questione della sicurezza informatica all’interno delle loro realtà e nelle loro reti in modo differenziato e con vari livelli di consapevolezza, tra un’idea del rischio che a volte sembra distante dalla realtà del panorama attuale delle minacce e approcci talvolta diversi tra mondo IT e OT. I nostri studi mostrano che le industrie, anche se hanno ben presenti i possibili rischi che si associano ad una maggiore digitalizzazione, non stanno mettendo in atto le giuste pratiche di sicurezza informatica per proteggere le loro reti operative.
Il margine per una miglior integrazione tra IT e OT a livello di cybersecurity esiste. Lo testimonia l’ammissione fatta dal 48% delle organizzazioni riguardo al fatto di non avere messe in atto misure ad hoc per la rilevazione o il monitoraggio di eventuali attacchi subiti da parte delle loro reti di controllo industriale.
L’introduzione dell’IoT nel mondo della produzione industriale e dei sistemi basati su cloud, inoltre, ha portato il settore della sicurezza a confrontarsi con problematiche ulteriori e rappresenta una nuova sfida per le imprese industriali. Per più della metà delle aziende coinvolte (54%), il possibile aumento del rischio determinato da connettività e integrazione di ecosistemi IoT sarà un importante problema per la sicurezza informatica nel prossimo anno, nonché per la messa in atto di misure per la loro gestione. Con le aziende che investono sempre più in tecnologie smart e nell’automazione, con l’adozione di un approccio industriale 4.0, la tendenza ad una maggiore connettività e all’IoT può solo crescere. In effetti, quando si parla di implementazione del cloud, scopriamo che il 15% delle organizzazioni industriali utilizza già soluzioni cloud per i propri sistemi di controllo SCADA e che un ulteriore 25% sta pensando di implementarle nei prossimi 12 mesi. Questo quadro attuale porta con sé una forte spinta all’uso del cloud per la gestione ad alto livello delle infrastrutture critiche.
Molto si fa per la sicurezza in ambito IT, anche se in alcuni casi si continua a fare affidamento su modelli che si basano su convinzioni antiquate, come quelle che vedono nell’isolamento dei sistemi tramite air gap o nell’applicazione del principio della “Sicurezza tramite segretezza”, traduzione dell’inglese “Security through Obscurity”, la soluzione a qualunque tipo di situazione critica.
In questo panorama così sfaccettato, e anche così preoccupante, è, invece, fondamentale che le possibili misure di cybersecurity siano costantemente al passo con le novità tecnologiche: solo in questo modo si può garantire alle organizzazioni coinvolte il fatto che i possibili benefici andranno oltre i rischi. Le aziende devono occuparsi con maggior serietà dei programmi di risposta agli incidenti ICS, per evitare il rischio di gravi danni operativi, economici e reputazionali. Solo sviluppando uno specifico programma “incident response” e utilizzando soluzioni di cybersecurity dedicate per gestire la complessa natura degli ecosistemi industriali connessi e distribuiti, le aziende potranno tenere al sicuro i servizi, i prodotti, i clienti e il loro ambiente produttivo. Uno dei casi più recenti di aziende che hanno deciso di affrontare in modo strutturale e corretto il discorso della sicurezza è quello della Pavlodar Oil Chemistry Refinery (POCR LLP), una delle maggiori società di raffinazione e produzione di petrolio del Kazakistan, che utilizza attrezzature avanzate e tecnologie di automazione per i propri processi industriali.
Per evitare attacchi, il dipartimento IT della raffineria ha avviato un progetto per migliorare la propria sicurezza informatica e le misure tecnologiche dei suoi processi industriali. Dopo aver considerato diverse opzioni, la Pavlodar ha scelto come piattaforma Kaspersky Industrial Cyber Security.
L’implementazione della soluzione in grado di garantire la sicurezza dei computer industriali e dei server SCADA, ma anche di fornire uno strumento per controllare i parametri fondamentali dei processi industriali senza avere alcun impatto su di loro e senza richiedere modifiche, così come la formazione dei dipendenti, sono stati passi fondamentali nella difesa dalle minacce informatiche.
Un altro caso interessante è quello di Plzeňský Prazdroj, la nota azienda produttrice di birra, conosciuta per la produzione della Pilsner Urquell e per aver dato origine ad una tipologia di birra che ora corrisponde a più dei due terzi della birra prodotta oggi nel mondo. L’azienda si è rivolta a Kaspersky Lab per rendere più solido il proprio sistema di cybersicurezza a livello industriale e per migliorare la resistenza agli attacchi informatici delle linee di produzione e delle tecnologie operative, identificando possibili vettori di attacco e mettendo in sicurezza eventuali falle nella sua complessa infrastruttura IT.
In questo caso i nostri esperti hanno avviato un assessment completo a livello di cybersecurity, una valutazione da remoto, minimamente invasiva e on-premise, che ha avuto inizio con un audit dell’Infrastruttura e con lo sviluppo di un modello di simulazione di minaccia su 2 birrifici e 8 linee di imbottigliamento dello stabilimento.
Dopo l’esame della rete aziendale connessa alla zona industriale, dei software SCADA e delle connessioni esterne prive di controllo da e verso il settore della produzione, è stato possibile mettere a disposizione un elenco delle vulnerabilità scoperte, delle vulnerabilità 0-day, i dettagli su possibili vettori di attacco e alcuni consigli da mettere in atto.
In questo modo il team per la sicurezza IT di Plzeňský Prazdroj ha scongiurato le disastrose conseguenze di un potenziale attacco che avrebbe potuto influire negativamente sulla sicurezza e l’affidabilità dei birrifici, oltre che sui risultati economici dell’azienda.
Questi due casi sono emblematici del tipo di approccio che le industrie dovrebbero avere in materia di cybersecurity. È sempre più importante implementare soluzioni di sicurezza complesse, altamente flessibili e configurate in conformità con i processi tecnologici di ciascuna organizzazione.
Le tecnologie e i servizi devono coprire le varie esigenze delle imprese industriali ed essere in grado di proteggere ogni livello, inclusi server SCADA, HMI, workstation di progettazione, PLC, connessioni di rete e postazioni di lavoro. Le soluzioni più adatte sono quelle in grado di coprire tutte le fasi del modello di sicurezza adattivo, dalla previsione di nuovi vettori di attacco all’uso di tecnologie specializzate per la prevenzione, il rilevamento e la risposta.
Morten Lehn , General Manager Italy di Kaspersky Lab
