La sicurezza dei dati informatici è uno dei punti dolenti dell’intero processo di trasformazione digitale. Anche se le applicazioni dell’Industria 4.0 hanno aperto le porte a molteplici novità e molteplici opportunità per le aziende, indipendentemente dalle loro dimensioni, allo stesso tempo hanno fornito ai criminali informatici nuovi “orizzonti da esplorare”.
I tentativi di accesso illegale ai sistemi aziendali sono ormai all’ordine del giorno. Sempre più spesso, infatti, i cybercriminali tentano di approfittare di ogni singola falla per trafugare informazioni di carattere industriale o dati sensibili che l’azienda ha archiviato all’interno dei propri server. Da non sottovalutare, poi, il rischio di un blocco totale o parziale della produzione: se qualcuno dovesse inserirsi nell’infrastruttura di rete potrebbe anche mettere fuori uso i macchinari e produrre così un danno economico non indifferente.
Per le imprese che hanno intenzione di investire in strumenti e dispositivi dell’Industria 4.0, dunque, è fondamentale pensare anche alla sicurezza dei dati informatici. Un approccio “security first” è la strada che dovrebbe essere seguita in qualunque progetto di trasformazione digitale: solo con uno sviluppo “parallelo” delle applicazioni di Industria 4.0 e delle applicazioni deputate alla sicurezza informatica dell’infrastruttura e dei dati assicurerà risultati ottimali.
Sicurezza dei dati informatici: investire in protezione
La prima cosa da fare, dunque, è investire in strumenti di sicurezza che consentano di erigere una sorta di “muraglia virtuale” a difesa dell’infrastruttura informatica aziendale. La stragrande maggioranza delle minacce che mettono a repentaglio la sicurezza dei dati informatici, infatti, arriva dall’estero, sotto forma di tentativo di accesso da parte di un cybercriminale.
Gli attacchi possono essere causati da una falla in un software utilizzato da un macchinario o da un PC degli uffici, che dà modo all’hacker di introdursi nella rete aziendale e trafugare informazioni. O in seguito a un’infezione malware, portata avanti magari grazie a una campagna malware. In entrambi i casi, adeguati strumenti di network security consentono di mettere al sicuro lo smart manufacturing da tentati di intrusione e conseguente perdita di dati (e danno di immagine ed economico che ne consegue).
Necessario, dunque, un cambio di paradigma all’interno dell’azienda, che consenta di far comprendere che le spese sostenute per la sicurezza dei dati informatici non devono essere concepite come un costo per i bilanci aziendali, ma come un investimento che darà i suoi frutti nel medio e lungo periodo.
Sicurezza dei dati informatici: gli strumenti utilizzati dalle aziende
Come emerge dalla Ricerca 2019 dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, il 68% delle aziende intervistate mette già in atto delle azioni di sicurezza informatica, conducendo periodicamente security assessment e/o audit su sistemi e reti OT come ICS e SCADA.
Non solo: grande attenzione viene dedicata a tecniche come quella della segmentazione della rete, molto utile per evitare la propagazione di infezioni malware o precludere l’accesso alle sezioni più importanti del network aziendale; controllo degli accessi e gestione dei privilegi e monitoraggio della rete e analisi dei log.
La sicurezza dei dati informatici nei prossimi anni, però, passa attraverso altri strumenti. In ottica prospettica, infatti, aumenteranno gli investimenti in piattaforme SaaS e strumenti come i SIEM, i Security Operation Center e tool di anomaly detection.
Il ruolo del SIEM nell’ambito della sicurezza dei dati informatici dell’Industria 4.0
Acronimo di Security Information and Event Management, questo strumento consente di raccogliere e gestire, in maniera completamente automatizzata, le informazioni e i dati provenienti dai log di sistema di tutti i macchinari e i dispositivi connessi alla rete aziendale. Facendo ampio ricorso all’intelligenza artificiale e al machine learning, soluzioni di questo tipo consentono di monitorare in tempo reale gli eventi che accadono all’interno del network.
Questa combinazione consente agli analisti e ai tecnici di ridurre le tempistiche necessarie a compiere indagini su cosa sta accadendo “nell’ecosistema aziendale”. Grazie ai SIEM, ad esempio, è possibile scoprire “in diretta” se uno dei nodi (sia esso un PC, un sensore IoT o un centro di controllo SCADA) si stia comportando in maniera anomala e agire di conseguenza, isolandolo. L’aggregazione dei dati, invece, consente agli algoritmi di AI e machine learning di studiare e apprendere il comportamento dei dispositivi, così da valutare se ci siano degli scostamenti e attivare automaticamente degli alert.
Il ruolo dei Security Operation Center nell’Industria 4.0
Nonostante il livello di automazione raggiunto dagli algoritmi di intelligenza artificiale e apprendimento automatico siano ormai molto elevati, il corretto funzionamento di sistemi di sicurezza come i SIEM si basa ancora sul controllo e la supervisione di tecnici in carne e ossa. Fondamentale, in questa ottica, il ruolo giocato dai SOC (acronimo di Security Operation Center), che hanno il compito di monitorare il flusso continuo di dati in arrivo dai SIEM.
Solitamente organizzato in vari livelli, il SOC aziendale è da considerarsi alla stregua di una delle infrastrutture critiche per l’Industria 4.0. Che sia internalizzato o che venga fornito attraverso piattaforme SaaS esterne poco cambia. Il Security Operation Center, infatti, si occupa di rilevare anomalie (attraverso i dati in arrivo dal SIEM), di Incidente respond e di analisi proattiva, con lo scopo di verificare in maniera preventiva il livello di sicurezza di applicativi, infrastrutture di rete e altro.
A cosa servono i tool di anomaly detection nell’ambito della cybersecurity e dell’Industria 4.0
Può accadere, però, che non tutti i tentativi di intrusione o infezione siano immediatamente “visibili”. Alcune anomalie, infatti, possono accadere così raramente che, spesso, passano inosservate agli occhi degli algoritmi più “allenati”. A questo punto entrano in campo i tool di anomaly detection, che analizzando in profondità i dataset rilevati dagli altri sistemi (come i già citati SIEM) sono in grado di rilevare anche il più piccolo degli scostamenti da quello che viene individuato come un “comportamento normale”.
L’anomaly detection, ad esempio, è utile nello scovare tentativi di intrusione e di “siphoning” di informazioni riservate dai server aziendali. Utile, dunque, per la sicurezza dei dati informatici. Se, ad esempio, viene improvvisamente registrato un picco del traffico in uscita da un nodo della rete, è probabile che ci sia qualcosa che non va. Un’anomalia, per l’appunto, che dovrà essere circoscritta nel più breve tempo possibile se non si vogliono correre rischi inutili.
