L’industrial security sarà uno dei temi dei prossimi anni, anche se l’industria 4.0 è ancora un processo in divenire, infatti, il fenomeno a cui stiamo assistendo è quello di un progressivo assottigliamento di quello spazio che separa IT (Information Technology) dall’OT (Operation Technology).Un avvicinamento dei due ambiti che porta gli esperti di sicurezza a parlare appunto di Industrial security, cioè di una visione specifica in ambito di computer security che punta a garantire l’integrità e la sicurezza dei sistemi di produzione automatizzati (e non solo) in caso di attacchi informatici.
Siti industriali tra i bersagli privilegiati per le estorsioni
Negli ultimi anni le aziende che operano nel settore industriale stanno sperimentando un notevole aumento di attacchi da parte dei pirati informatici. Il motivo è semplice: i cyber-criminali si muovono nella maggior parte per motivi economici e, negli ultimi anni, si sono concentrati su tecniche estorsive che prendono di mira specificatamente le imprese che operano nell’industria. In questo settore, infatti, i pirati informatici possono massimizzare i loro guadagni facendo leva su un elemento semplice: il fatto che un attacco informatico può provocare danni enormi. Una violazione dei sistemi in un settore manifatturiero, per esempio, può bloccare la produzione per tempi lunghissimi o, addirittura, danneggiare la linea di produzione. Per le aziende che lavorano in particolari settori, come quello energetico, un blocco può avere conseguenza anche gravi sulla collettività. Senza contare che in qualsiasi contesto un malfunzionamento può anche provocare incidenti che potrebbero coinvolgere persone.
Allarme per gli attacchi mirati
La situazione delle imprese industriali è critica: oltre al costante martellamento da parte degli attacchi “a pioggia”, si trovano a dover fronteggiare tecniche più sofisticate ed estremamente “mirate”. Piuttosto che i classici malware, i pirati informatici adottano strategie di infiltrazione che mirano a ottenere l’accesso ai dispositivi di controllo e manometterli. Le tecniche possono variare: dagli attacchi di phishing che puntano a compromettere un computer aziendale per poi raggiungere i dispositivi tramite il cosiddetto “movimento laterale”, all’utilizzo di strumenti per la scansione di rete che consentono di individuare eventuali servizi esposti verso l’esterno. Quest’ultima tecnica di attacco, segnalano gli esperti, è anche favorita dalla presenza di un gran numero di tool di hacking, come Metasploit, che integrano moduli specifici sia per eseguire le scansioni, sia per portare gli attacchi sfruttando vulnerabilità note dei dispositivi ICS.
Il problema dei dispositivi connessi e IoT
A peggiorare la situazione ci pensano i dispositivi “smart” utilizzati in ambito industriale. Come riportano le cronache, buona parte dei device IoT (soprattutto quelli costruiti all’inizio del periodo di espansione del settore) è afflitta da vulnerabilità anche banali, dovute in molti casi a una progettazione ben lontana da quel concetto di “security by design” cui cercano di ispirarsi i produttori più attenti alla sicurezza. L’uso di password predefinite, la presenza di backdoor e di servizi facilmente attaccabili rendono i dispositivi IoT il vero anello debole della catena. Anche perché molti elementi dei sistemi industriali come i PLC (programmable logic controller) utilizzano spesso sistemi legacy, per i quali può essere addirittura terminato il supporto. Il problema, ben conosciuto da chi lavora nella cyber security, è legato al cortocircuito che si crea tra la longevità delle linee industriali, che spesso hanno 10 o 15 anni, e la rapida obsolescenza dei componenti software, che dopo un periodo del genere sono considerati a “fine vita”. La loro protezione (e la correzione di eventuali falle di sicurezza nei loro software) è quindi una priorità.
Industrial security e il monitoraggio continuo
Gestire la protezione di tutti questi dispositivi è un compito che richiede un approccio diverso da quelli tradizionali che puntano al controllo degli endpoint. Nella maggior parte dei casi, infatti, si tratta di dispositivi il cui controllo è affidato a sistemi operativi real-time, o versioni estremamente “scarne” di Linux. Sebbene alcuni produttori stiano cominciando sviluppare degli agent particolarmente leggeri che possono essere installati su questo tipo di macchine, l’unica strategia attuabile è quella di implementare un controllo della rete che consenta di individuare tempestivamente eventuali indizi di compromissione e avviare le conseguenti procedure di verifica.
