IoT e Industria 4.0 aprono la porta a modi inediti di fare impresa. Ma la tecnologia rivela sempre un rovescio della medaglia. Serve consapevolezza per implementare il nuovo modello in modo sicuro.
Industria 4.0 o – all’inglese – Industry 4.0: ormai il termine ha conquistato il suo spazio nel campo semantico dell’innovazione. Come sappiamo designa una tendenza pervasiva, nell’ambito dell’automazione industriale, che vede gli apparati lungo le linee di produzione e la catena distributiva diventare sempre più ‘intelligenti’. Con ciò intendiamo dire che tali apparati sono in grado di scambiare dati con il mondo esterno e, proprio per questo, di comportarsi in modo intelligente: adeguano le loro performance al contesto esterno, prevengono i propri malfunzionamenti, comunicano quello che ‘sentono’ al resto del sistema, operano in modo tendenzialmente sempre più autonomo.
Ma, quando si parla di Industria 4.0, è essenziale anche essere consapevoli dei rischi che il nuovo paradigma si porta dietro. Ogni apparato connesso alla rete costituisce una potenziale vulnerabilità e un possibile punto di attacco da parte di attori mossi da cattive intenzioni: pirati, sabotatori, spie industriali, semplici curiosi in grado di fare gravi danni. Per questo è sempre più importante essere al passo anche con la cybersecurity. Una volta si parlava di IT security, e l’enfasi era sulla protezione degli asset caratteristici della information technology: dati, software e hardware. Il passaggio dalla IT security alla cybersecurity implica l’idea che, nel mondo della Industria 4.0, la minaccia si estende a tutti gli asset del sistema produttivo, comprese le persone. Perché tutto è interconnesso con tutto. Il gioco si fa più duro, insomma.
In un post recente dedicato alla sicurezza IoT per abitazioni abbiamo visto diversi scenari nei quali vulnerabilità fisiche e concettuali possono essere sfruttate da malintenzionati. Ma cosa succede se consideriamo i rischi correlati al contesto della Industria 4.0?
Dopo l’avvento del vapore, dell’elettricità e della prima automazione industriale, la possibilità di connettere e integrare tutti i macchinari di un impianto produttivo segna oggi l’integrazione del cyberspazio nel mondo della manifattura e quindi la nascita della quarta rivoluzione industriale. Tra le declinazioni più interessanti del paradigma Industria 4.0 citiamo il dominio della predictive maintenance, o manutenzione predittiva: se prima i sensori segnalavano all’operatore solo se un macchinario era OK o in avaria, ora essi – associati all’elevata potenza di calcolo disponibile – permettono di prevedere guasti futuri in base ad esempio a pattern di vibrazioni e consumi. La conseguenza è che si può programmare l’attività di business sulla base di questi dati. Inoltre si può avere accesso da remoto agli impianti attraverso ERP integrati con tablet e smartphone in modo da avere sempre sotto controllo i processi critici.
Cosa significa Industry 4.0 per la cybersecurity?
Da una ricerca effettuata da Adam Philpott, Director della Cybersecurity di Cisco per la regione EMEAR, risulta che solo il 58% dei responsabili della sicurezza informatica ritiene adeguate le misure messe in atto a protezione di attacchi informatici.
Con l’avvento della Industria 4.0 bisogna tenere conto che i tipi di attacchi non si limitano al furto di documenti o file riservati, ma possono includere sabotaggio di impianti, lesione della reputazione e terrorismo.
L’attacco informatico nella centrale nucleare di Natanz
Se pensavate che la possibilità di vedere hackerata l’auto fosse già di per sé una cosa spaventosa, allora non avete mai sentito parlare dell’attacco alla centrale iraniana di Natanz.
Per sabotare le attività di arricchimento dell’uranio da parte dell’Iran, gli Stati Uniti (ma secondo altre fonti si è trattato di Israele) hanno messo a punto un virus informatico, successivamente chiamato Stuxnet, che andasse a infettare i sistemi della centrale nucleare iraniana di Natanz.
Il virus è stato progettato per sfruttare alcune vulnerabilità ancora inedite dei sistemi Windows, per poi propagarsi nel software dei macchinari della centrale: in particolare Step7 della Siemens, un applicativo per uso industriale usato per gestire e controllare gli impianti.
Il virus si è installato sulle macchine attraverso una chiavetta USB senza generare alcun genere di allarme, poiché i suoi driver erano firmati digitalmente da certificati rubati a due aziende conosciute (JMicron e Realtek) e che quindi non generano avvisi su Windows. Subito dopo esso provvedeva alla sua replicazione e diffusione tramite network peer-to-peer in modo da non rendere necessaria la connessione a internet per la sua diffusione.
Tralasciando per un momento il fatto che i progettisti del virus ovviamente erano a conoscenza dell’architettura informatica della centrale, la cosa più interessante e allo stesso tempo terrificante è che il virus si è propagato anche al di fuori della struttura, colpendo in tutto il mondo un gran numero di impianti su cui era installato il software Siemens. L’effetto collaterale è stato quindi l’infezione di un gran numero di macchine che impiegavano lo stesso software. Questo ha avuto un notevole impatto mediatico poiché ha portato allo scoperto le aziende che fornivano all’Iran i mezzi per portare avanti il suo programma nucleare.
Moventi e attori dei cyberattacchi
Quali sono i take-away di questo episodio?
Innanzitutto è necessario riflettere sul fatto che le misure di cybersecurity messe in atto dal governo iraniano per proteggere la centrale non sono state sufficienti. E il primo punto di vulnerabilità del sistema si è rivelato quanto mai banale. L’attacco è stato mosso infatti attraverso una semplice chiavetta USB. Una lezione da ricordare, quando si definiscono le politiche di sicurezza aziendale sulla gestione degli archivi rimovibili. Si tratta di dispositivi che vengono messi in contatto con diverse macchine, alcune delle quali potrebbero essere infette senza che l’utente ne sia a conoscenza.
Il secondo step dell’attacco alla centrale iraniana è stata l’infezione vera e propria. In questo caso ogni hacker si può sbizzarrire in base al suo target. Due semplici esempi possono far comprendere meglio le potenzialità degli attacchi.
Pensando ad uno studio legale, basterebbe la pubblicazione di qualche file relativo ai clienti per abbattere la reputazione e farlo chiudere. Mentre in un’industria manifatturiera il blocco della produzione può generare danni milionari che trascinerebbero in un baratro fornitori, clienti, e tutto l’indotto.
Tuttavia ci possono essere attacchi più sofisticati che nascono come rovescio della medaglia dei vantaggi dell’IoT.
Infatti un concorrente potrebbe ingaggiare un gruppo di hacker per modificare gli algoritmi di predictive maintenance o le tolleranze di produzione. In questo modo l’azienda-obiettivo non sarebbe palesemente vittima di un attacco informatico, ma agli occhi del pubblico sarebbe negligente e il competitor si ritaglierebbe una buona fetta di mercato (ad esempio per ritardi nella produzione o prodotti difettosi).
Una struttura aziendale dedicata esclusivamente alla cybersecurity
L’Industry 4.0 apre la porta all’innovazione. Molti processi industriali possono diventare sempre più semplici ed economici. ma il rovescio della medaglia è sempre sul lato della sicurezza: più interazioni con i dispositivi significano più vulnerabilità.
Il grafico mostrato sopra evidenzia gli attacchi effettuati negli Stati Uniti in base all’anno e al settore vittima dell’attacco. Si può notare come la quantità di attacchi sia notevolmente cresciuta in questi anni, e quindi con l’entrata del mondo digital nelle aziende.
Ovviamente a questo punto non basta mettere un firewall in azienda e usare password complesse (non il classico 1234, per intenderci). Si rende necessaria una struttura interna all’azienda dedicata esclusivamente alla cybersecurity.
Molti sono gli strumenti a disposizione degli analisti di sicurezza: se ne è parlato al road show “Cyber Security. L’evoluzione della sicurezza nell’ecosistema 4.0”, tenutosi presso l’Auditorium Gio Ponti di Assolombarda. Francesco Teodonno, Security leader IBM Italia, ha raccontato come l’intelligenza artificiale può notevolmente contribuire a costruire degli standard di sicurezza elevati. Watson di IBM, grazie ad algoritmi di machine learning e a funzionalità cognitive, è in grado di analizzare report, documenti e dati non strutturati in modo da identificare possibili aspetti che ora o in futuro possono tramutarsi in minacce.
Ma non c’è solo IBM. E la protezione dell’ambiente aziendale non può limitarsi solo all’area produttiva. la società americana Digital Reasoning, finanziata da Goldman Sachs, NASDAQ e altri, offre servizi di monitoraggio anticrimine per le aziende. La piattaforma di Digital Reasoning, denominata Synthesys, monitora in tempo reale eventi e comportamenti di ciascun dipendente dell’istituzione finanziaria. Enormi flussi di dati sono analizzati alla ricerca di correlazioni nascoste con possibili minacce (fughe di dati, tangenti, appropriazioni indebite, ricatti ecc.)
Analogo il caso di Versive. Finanziata da Bank of America, Bloomberg Beta, Goldman Sachs e altri, la società ha creato una piattaforma di machine learning proprietaria, denominata Versive Security Engine. Il sistema offre diversi servizi di adversary detection e di verifica della conformità alle norme di sicurezza, non solo per le istituzioni finanziarie: insider threat detection, malicious domain identification, data exfiltration early warning e regulatory compliance.
La cybersecurity division, insomma, deve essere responsabile sia del controlli di sicurezza propriamente detti, sia nella costruzione di policy aziendali atte a mitigare e prevedere i rischi attuali e futuri su sistemi, network e procedure. Questo serve a garantire che la tecnologia venga sempre implementata in modo intelligente, minimizzando il più possibile le incognite che posso facilitare un cyber-attacco.
