Sempre più spesso tra le attività degli hacker non ci sono solo attacchi distruttivi ma anche spionaggio industriale perpetrato attraverso le vulnerabilità dei dispositivi IoT. Quando si pensa a un attacco informatico, il pensiero corre a ransomware e altri malware che sono in grado di danneggiare i sistemi IT dell’azienda. In realtà, uno dei maggiori rischi legati alla security riguarda lo spionaggio industriale, che nel nuovo panorama iper-digitalizzato rappresenta ormai un fenomeno dalle dimensioni in costante crescita.
Professionisti del cyber spionaggio industriale
I cyber criminali non sono tutti uguali. Nonostante si muovano (prevalentemente) per il loro profitto, adottano modus operandi diversi e si specializzano in attività specifiche. I pirati informatici che prendono di mira la proprietà intellettuale delle aziende rappresentano una sorta di élite nel panorama del cyber crimine. Si tratta di professionisti che agiscono spesso su commissione o sfruttano reti di relazioni che permettono loro di trovare compratori per le informazioni che rubano. Non solo: negli ultimi anni si è assistito alla crescita di attacchi che prendono di mira la proprietà intellettuale a scopo estorsivo. La logica è semplice: qualsiasi azienda, all’interno dei suoi sistemi informatici, conserva informazioni che possono fare molta gola ai suoi concorrenti. Non solo progetti, prototipi e brevetti, ma anche informazioni commerciali e documentazioni riguardanti possibili partner o fornitori. I criminali, consapevoli del potenziale danno provocato dalla pubblicazione di informazioni di questo genere, decidono spesso di taglieggiare le loro vittime chiedendo una sorta di “riscatto” per non diffonderle.
Il rischio legato ai dispositivi IoT
Le aziende che operano nel settore industriale, nel panorama attuale, sono quelle più esposte a questo tipo di attacchi. La ragione è duplice e fa riferimento in ogni caso alla diffusione dei dispositivi della cosiddetta Internet of Things (IoT) all’interno delle infrastrutture. I dispositivi “smart” hanno, infatti, conquistato uno spazio sempre maggiore, sia all’interno delle linee di produzione sia nella gestione dei sistemi ambientali (riscaldamento, illuminazione, gestione degli accessi) all’interno degli edifici. Il primo elemento di rischio è legato allo scarso livello di sicurezza dei dispositivi IoT. È un tema ampiamente dibattuto dagli esperti di cyber security e può essere riassunto in una scarsa “sensibilità” dei produttori al tema della sicurezza in fase di progettazione e sviluppo dei software di controllo. La conseguenza è che i dispositivi IoT rappresentano spesso un “anello debole” nella catena della cyber security che i pirati informatici possono sfruttare per violare i sistemi aziendali. Il secondo riguarda una specificità del settore industriale, in cui i device della Internet of Things non rappresentano solo un possibile punto di accesso per un hacker, ma contengono essi stessi informazioni sensibili, come nel caso dei controller in ambito manifatturiero.
Proteggere l’IoT dal cyber spionaggio industriale
Il tema della protezione da attacchi informatici che prendono di mira i dispositivi IoT industriali è tra quelli che possiamo considerare più “caldi” nel settore della cyber security. A renderla problematica è la natura stessa dei dispositivi, che spesso hanno caratteristiche tali da rendere difficoltosa l’implementazione degli strumenti di protezione. La maggior parte dei dispositivi, per esempio, ha una dotazione hardware ridotta all’osso, che non consente l’installazione di agenti autonomi per la loro protezione. Non solo: in considerazione dell’enorme differenza a livello di “ciclo di vita” che separa i dispositivi IT dagli impianti industriali che controllano, molte aziende si trovano di fronte al rebus di dover gestire dispositivi che utilizzano firmware e sistemi operativi obsoleti, per cui spesso è terminato il supporto. Le statistiche riguardanti la presenza di sistemi operativi legacy come Windows XP o lo stesso Windows 7 nel settore industriale lo confermano. La protezione di questi sistemi, di conseguenza, richiede un approccio basato su due direttrici. La prima, in chiave preventiva, richiede un’attenta pianificazione a livello di architetture di rete, che permetta di segmentare il network per isolare i dispositivi che contengono dati sensibili. La seconda prevede l’implementazione di sistemi di monitoraggio a livello di traffico di rete, oltre a una costante raccolta e analisi degli eventi (log) attraverso strumenti SIEM (Security Information and Event Management) che consenta di individuare tempestivamente eventuali attività sospette.