Cybersecurity OT: Le soluzioni alle aziende manifatturiere per non restare in panne

Tra gli effetti più importanti della digitalizzazione in ambito industriale, per buona parte alimentati dalla scia di Industria 4.0, c’è un problema rimasto in disparte a lungo tempo, diventato di recente estremamente attuale: la convergenza OT/IT, in particolare per quanto riguarda la cybersecurity.

Due argomenti cresciuti su strade parallele. A prima vista neppure così tanto diversi tra loro, sempre di scienze informatiche si tratta, pensati e sviluppati però in modo totalmente diverso al punto da prevedere spesso anche due team separati.

Oggi però, la questione non si può più ignorare, ne tanto meno rimandare. Nel momento stesso in cui un qualsiasi dispositivo viene connesso a Internet, diventa per definizione un obiettivo e ogni vulnerabilità si trasforma in un rischio per l’azienda.

Ora, quel momento è già arrivato ed è fondamentale mettere a punto strategie e relative contromisure, acquisendo anche le relative competenze e infine mettere in preventivo i necessari investimenti.

Il mondo OT

Quando si parla di OT (Operational Technology), in generale si parla di dispositivi elettronici utilizzati per governare, monitorare o gestire processi industriali.

Una definizione ormai molto vaga, difficile per inquadrare lo scenario. Più utile al riguardo la descrizione formale proposta da Gartner. In questo caso si parla di un insieme hardware e software in grado di rilevare o causare cambiamenti all’interno di strumenti risorse, processi ed eventi in ambito industriale.

Fino a quando tutto questo rimane circoscritto all’impianto, non esiste un vero e proprio problema di sicurezza, se non fisica legata alla produzione. Nel momento in cui si decide di connettere un sensore alla rete, anche solo per consentire il controllo remoto via Wi-Fi, il discorso cambia. Entrano in gioco tutti gli aspetti tipici della cybersecurity, da valutare e trattare però con un approccio diverso. Il punto più importante, mentre sul fronte classico IT l’obiettivo è proteggere i dati, in questo caso di tratta di preservare funzionamento e accesso a macchinari o infrastrutture.

Per capire l’importanza, è utile ricordare alcuni punti fondamentali. Oggi, i sistemi OT, e sempre più anche IoT in ambito industriale, sono utilizzati per governare autovetture, centrali elettriche, infrastrutture idriche e tanti altri aspetti della vita quotidiana di tante persone. Non di rado, a loro insaputa e quindi inconsapevoli dei rischi.

Il nuovo fronte della cybersecurity

È quindi indispensabile intervenire a monte per evitare ripercussioni pesanti. Se nel caso di un’azienda in tema di sicurezza IT l’obiettivo è tutelare soprattutto i propri dati, ed eventualmente quelli dei clienti e dei partner all’interno di una supply chain, in questo caso l’attenzione è da rivolgere a sicurezza fisica, affidabilità e produttività.

I problemi della sicurezza OT sono anche altri. A partire dalla necessità di gestire eventuali interruzioni di alimentazione negli impianti o più in generale stabilire protocolli per affrontare situazioni di emergenza e spesso dover fare i conti anche con le condizioni ambientali.
Una situazione spesso resa più complicata da una grande varietà di sistemi, per buona parte installati da tempo e poi praticamente ignorati se non in caso di manutenzione. Quindi, un parco macchine molto variegato per tipologia ed età, difficile da aggiornare se non addirittura acquistato da produttori non più sul mercato.

Raramente, la cybersecurity OT ha, o ha avuto, contatti diretti con quella IT. Al punto da essere la regola nelle organizzazioni più strutturate, di avere due reparti distinti, non necessariamente comunicanti tra loro. In termini manageriali, spesso si definisce il problema indicando la responsabilità della struttura dati affidata al CIO, mentre quella della parte industriale in carico al CSO.
Con la convergenza, inevitabilmente, anche i rispettivi reparti devono aprirsi reciprocamente. Se non unirsi, almeno agire in sintonia, con strategie e interventi condivisi. Anche perché il rischio è reale e concreto. Non si parla di una prospettiva, ma di una situazione attuale.

Il Rapporto Clusit certifica l’aumento dei rischi

Al riguardo, il Rapporto Clusit 2024 non lascia spazio a incertezze. A livello complessivo, infatti, i cyberattacchi valutati come grandi nel 2023 sono aumentati del 12%. Niente però rispetto alla situazione in Italia, dove la crescita è del 65%. In particolare, l’11% di questi è sicuramente andato a buon fine.

Inoltre, un quarto degli attacchi su scala mondiale rivolti al mondo manifatturiero interessa proprio l’Italia. Nell’81% dei casi la gravità è stata classificata come elevata o critica, secondo la scala utilizzata dai ricercatori di Clusit, basata sulla tipologia e gli impatti.

Più in generale, il nostro Paese si sta rivelando uno degli obiettivi preferiti. Gli attacchi totali andati a segno nel 2023 sono stati 310. Oltre la metà di questi, il 56%, ha avuto conseguenze importanti. Se si allarga la visuale temporale, cresce il livello di allarme per il futuro. Dal 2019 in poi, quasi la metà delle osservazioni riguarda il solo 2023.

Il Rapporto Clusit considera la cybersecurity a tutto campo, senza distinzione tra IT e OT. Il mondo industriale non è tra i più colpiti, l’attenzione resta rivolta soprattutto a Pubblica Amministrazione, Sanità od obiettivi multipli. A preoccupare però, è una certa tendenza.

In percentuale, infatti, crescono in maniera rilevante gli attacchi ai settori dei trasporti e della logistica (+41%), del manifatturiero (+25%) e del retail (26%). Tra le ragioni individuate, proprio la crescente diffusione di IoT e la tendenza all’interconnessione di sistemi, considerati ancora non abbastanza protetti.

In Italia, infine, il settore più colpito nel 2023 si conferma la PA, con il 19% degli attacchi e un incremento del 50% rispetto al 2022. Subito dietro, il manifatturiero con il 13%, cresciuto del 17% rispetto ai dodici mesi precedenti.
Una buona notizia è il crescere della percezione. Secondo il Fortinet State of Operational Technology Report, il rischio per la sicurezza OT è effettivamente una delle principali preoccupazioni.

Quasi il 74% delle organizzazioni ha riferito di aver subito un’intrusione di malware negli ultimi dodici mesi sulla parte industriale, con danni alla produttività, ai profitti, alla fiducia nel marchio, alla proprietà intellettuale e alla sicurezza fisica.

Importanti le ripercussioni sul mercato. Sempre Fortinet, in un sondaggio ha raccolto l’intenzione del 70% delle organizzazioni di introdurre la sicurezza nei sistemi OT sotto la supervisione del CISO nel prossimo anno (solo il 9% dei CISO si occupano attualmente della sicurezza OT), con il 62% dei budget per la sicurezza dedicato in aumento.

La strada più sicura è la convergenza

La questione diventa quindi urgente. Nelle strutture di lunga data il concetto di cybersecurity collegato ai sistemi OT non è mai stata una priorità. Reti produttive e reti informatiche sono infatti nate e cresciute separate, una orientata all’efficienza e l’altra preoccupata di proteggere i dati in senso più tradizionale.

Con la connessione degli apparati, spesso la strategia è rimasta invariata, allargando le competenze, ma sempre con reparti e responsabilità distinti. A lungo termine, questo porta solo a una duplicazione di mansioni, con relativo aumento dei costi, e soprattutto una diminuzione nel livello di sicurezza dell’azienda.

Reti separate IT e OT incidono negativamente anche sulla trasparenza.

La visibilità su quanto succeda in ogni angolo digitale della propria organizzazione è requisito essenziale. Una sovrapposizione dei compiti sempre più estesa, con confini sempre meno definiti, rende difficile definire le competenze e di conseguenza aumenta ancora una volta l’esposizione.
Fino a quando i sistemi Scada e DCS si limitavano a mandare dati a un server di riferimento isolato per valutazioni a uso esclusivamente interno, la situazione non poteva destare problemi.

Oggi però, la domanda di informazioni favorita anche da Industria 4.0 ha di fatto abbattuto ogni barriera e la convergenza è fuori discussione.
Sotto un certo punto di vista, gli apparati OT possono essere considerati in modo non molto diverso da un comune utente aziendale: producono dati, li inviano e a volte li ricevono. Dati ormai regolarmente utilizzati non solo a scopo di efficienza o manutenzione. Insieme a ogni altra sorgente di informazioni aziendale, concorre a gestire l’intera organizzazione.

È ormai abitudine combinare queste informazioni con quelle raccolte da un ERP o da un CRM, così da avere un quadro più completo sullo stato di salute e l’efficienza complessiva dell’azienda. Aiutando anche a individuare punti deboli e segnali di malfunzionamento, sui quali intervenire prima del manifestarsi di un problema o di un guasto.

Una visuale diversa per uno scenario in rapida evoluzione

L’integrazione di OT in una strategia di cybersecurity è quindi imprescindibile. D’altra parte, in questo caso non si tratta solamente di aggiungere un nuovo componente a un’infrastruttura esistente o ridisegnarla, serve un approccio diverso.

I dispositivi OT, infatti, difficilmente sono stati progettati in un’ottica di sicurezza. A parte i più recenti, pensati già per la connessione, buona parte del panorama è ancora composto da dispositivi legacy, in attività anche da decenni, dei quali non è facile ricostruire caratteristiche tecniche o modalità di interfaccia digitale.

Renderli sicuri, significa spesso sostituirli, con una spesa importante che non tutti sono necessariamente disposti ad affrontare. D’altra parte, connettività non significa solo esporsi a ricchi, i potenziali vantaggi che ne derivano in termini di ottimizzazione ed efficienza sono certamente maggiori.

Sarebbe tuttavia un errore anche pensare di poter estendere a OT le strategie di cybersicurezza sviluppate nel mondo IT. Da una parte bisogna gestire un numero in genere elevato di dispositivi industriali, macchine, sensori, attuatori o controller connessi in rete ai fini di monitoraggio, anche da remoto, con lo scopo di migliorare l’efficienza, ridurre i costi e aumentare la redditività. Un gran volume di dati, di dimensioni però ridotte.

Dall’altra, le applicazioni di produttività e gestione aziendale, con volumi di traffico più variegati e soprattutto più elevati. Legati però ad applicazioni dove esistono, o è possibile individuare, momenti di pausa dal servizio per eventuali aggiornamenti o attacchi. Mentre viceversa è molto più difficile pensare di fermare una produzione per una normale amministrazione. La ragione per la quale i pericoli legati al mondo OT tendono ad aumentare rapidamente. Come rilevato da Check Point Software, non di rado si preferisce correre consapevolmente dei rischi pur di non mettere in discussione la produzione, e anche questo contribuisce a rendere i dispositivi più vulnerabili.

Nuove strategie per vecchi sistemi

I pericoli a cui è esposta un’infrastruttura OT moderna sono concreti

A rendere la situazione più delicata, non si parla di una situazione nuova, dove quindi viene spontaneo pensare a una strategia su misura, ma l’evoluzione di sistemi in uso da anni, sui quali la cybersecurity non è mai stata presa in considerazione. Mettere a punto una strategia efficace non è però difficile come può sembrare.

Un primo passo sempre utile può essere un approccio basato su standard o framework di riferimento, come per esempio IEC62443 o NIST, dai quali ricavare una guida chiara e strutturata a protezione dei sistemi.

In particolare, lo standard IEC62443 mira a garantire la sicurezza delle infrastrutture di rete industriali, coprendo tutte le fasi del loro ciclo di vita, partendo da un’analisi iniziale delle vulnerabilità tramite Risk Assesment, procedendo successivamente all’implementazione delle tecnologie e dei processi interni necessari ad aumentare il livello di difesa e monitoraggio, fino al mantenimento continuo nel tempo delle prestazioni di sicurezza.

Partendo da linee guida come queste, e scegliendo soluzioni integrate disegnate espressamente allo scopo, è più facile realizzare un ecosistema di difesa completo. Subito dopo, si può tenere come riferimento una serie di passaggi od operazioni di riferimento, da adottare alla propria realtà.

Le best practice della cybersecurity OT

Il punto di partenza per una strategia di sicurezza OT non è tanto diverso da quello in altre situazioni simili.

È sempre utile una fase di assessment, con la ricerca e l’analisi della configurazione attuale di risorse e strumenti, al fine di capire se siano realmente necessari, se ci sia qualche vuoto da colmare e quale uso ne venga effettuato.

Da questo, dovrebbe scaturire il relativo inventario, accompagnato da una classificazione per attività svolta, ma soprattutto per individuare la priorità e l’importanza all’interno dell’infrastruttura aziendale.

Questo permette il passaggio successivo, segmentare la rete. Suddividere prima logicamente e poi fisicamente le risorse connesse, aiuta a inquadrare meglio il rischio e ridurre la portata di eventuali attacchi, permettendo anche di raggiungere più velocemente il punto rivelatosi vulnerabile. Meglio ancora, se l’operazione può essere effettuata in modo dinamico. Cambiare cioè l’organizzazione a seconda delle necessità. Anche solo per isolare una sezione colpita e ridurre prontamente il propagarsi di un’intrusione.

In tema di prevenzione è poi sempre utile uno strumento di analisi del traffico

In condizioni normali, questo permette di tenere sotto controllo l’efficienza dei sistemi in produzione. In caso di attacco, sarà più facile cogliere i primi segnali di anomalie e ridurre il tempo di reazione.

Un compito questo dove l’intelligenza artificiale può giocare un ruolo importante, arrivando a prevedere i segnali di pericolo dall’analisi continua dei dati raccolti nel tempo.

Periodicamente sarà utile anche sottoporre l’infrastruttura a una serie di test per individuare punti deboli o comportamenti sospetti. Appoggiandosi anche ad applicazione dedicate per l’analisi, sarà possibile contare su un quadro sempre aggiornato della sicurezza ma anche dell’efficienza.

Bisogna inoltre tenere conto di un altro cambiamento nelle infrastrutture OT. L’integrazione e l’accesso ai dati di produzione vanno oltre i software di gestione, a partire da ERP, CRM e SCM. La regola è ormai permettere l’accesso remoto via Wi-Fi o 5G. Significa in pratica abbattere ogni confine geografico ella rete, con in relativi rischi.

In condizioni del genere, la strategia migliore è non ammettere eccezioni. Si parla del modello Zero Trust, un approccio non necessariamente gradito dagli utenti, ma indispensabile ai fini della sicurezza aziendale. Non viene applicato alcuno sconto in termini di fiducia implicita.

Ogni passaggio critico, deve prevedere l’autenticazione sicura dell’utente, anche a più livelli, senza possibilità di memorizzare credenziali. Qualcosa di simile a quanto succede con le operazioni di home banking, dove ogni operazione richiede anche più di una verifica prima di ottenere l’autorizzazione.

Al riguardo, vale la pena di sottolineare un punto per nulla scontato. Sul fronte Zero Trust, uno degli aspetti più restrittivi in materia di sicurezza, l’azienda italiana si rivela sensibile.

Secondo una ricerca Paolo Alto Networks, infatti, il 32% lo considera il modo migliore per garantire alti livelli di sicurezza, il 28% per proteggere le iniziative di trasformazione digitale e il 24% per soddisfare i requisiti di conformità o le normative governative, mentre il 16% ritiene sia utile per rimediare alle minacce più pericolose.

di Giovanni Ticozzi