Windows XP e le infrastrutture critiche
Un seminario dell’AIIC, l’Associazione Italiana esperti in Infrastrutture Critiche, ha recentemente affrontato la questione dell’informatizzazione nelle Infrastrutture Critiche e la fine assistenza di Windows XP e di altri sistemi operativi.
Il seminario, intitolato “Pillole di Security – Cosa c’entra Windows XP con le Infrastrutture Critiche?” ha riunito sul palco esperti del settore informatico, dell’industria ed end user; hanno partecipato Raul Chiesa (Security Brokers), Pierluigi Paganini (Bit4id), Giorgio Basanini (Spike Replay), Andrea Carcano (Nozomi), Angelo Luca Barba (Selex ES), Andrea Guarino (Acea).
Il quadro che è stato dipinto ha evidenziato che le infrastrutture critiche hanno sistemi eterogenei che vanno dal più datato DOS al più moderno Windows 7 ed in particolare circa il 17% ha ancora installato sistemi con Windows XP (ancora oggi venduto per gli ATM ed i sistemi di vendita dei biglietti), come mostrato da Raul Chiesa, e che le minacce più diffuse in questo scenario sono date dal ATP al Data Breach fino ai malware; in particolare Pierluigi Paganini ha evidenziato come nessuno abbia voluto modificare e replicare stuxnet, che ha agito proprio su macchine con XP e dotate di sistemi Scada molto vecchi. Tali minacce hanno detto i due speakers sono possibili anche al fatto che non si è fino ad oggi pensato ad una “security by Design”.
Alcune soluzioni per ridurre gli impatti come la segmentazione della rete efficace e l’analisi del traffico, come evidenziato da Giorgio Basanini, sono alcune soluzioni applicabili nel breve periodo.
Andrea Carcano ha dato invece enfasi a come le similitudini tra sistemi operativi, permetta di creare in laboratorio vettori sempre più aggressivi e distruttivi, facendo riferimento anche alle vulnerabilità di XP.
Il punto della “Security by Design” è stato ripreso da Angelo Luca Barba che ha evidenziato come la mancanza di un piano di upgrade in fase progettuale porta poi anche a problemi di reperibilità delle parti che devono essere sostituite o riparate, non dimenticando che stiamo alle soglie dell’internet of things.
Il seminario si è chiuso con l’esperienza di Andrea Guarino che come operatore ha ripreso la contraddizione detta all’inizio, percui non tutti i sistemi di controllo devono essere raggiungibili da internet, contrariamente a quanto succede oggi; quindi per molti di essi non serve una politica di upgrade.
Le infrastrutture critiche necessitano di un giusto bilanciamento tra sicurezza fisica e sicurezza logica perché la prima controlla gli accessi a tutto ciò che non è su internet, mentre la seconda agisce sui sistemi, spesso tramite operatore.
Alcuni spunti di come rendere i sistemi più sicuri per il patch management gratuito, applicati in ACEA, ha permesso di dare un esempio delle possibilità della rete e delle esperienze che un security manager deve mettere in campo.
Piergiorgio Foti, Vice President, AIIC
Contenuti correlati
-
Bitdefender: gli impianti a energia solare sono a rischio di attacco
Bitdefender ha pubblicato una ricerca sui punti deboli di una piattaforma di gestione di impianti fotovoltaici ampiamente utilizzata e di una piattaforma di inverter fotovoltaici. Le vulnerabilità, se accoppiate, potrebbero consentire a un hacker di ottenere pieno...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Security Summit sbarca a Cagliari
L’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Il 2023 di Pilz: numeri da record
Fatturato 2023 da record per Pilz, la cui storia di successo prosegue puntando su prodotti e soluzioni di safety e security per la trasformazione dell’industria L’esercizio 2023 di Gruppo Pilz si è chiuso con un fatturato da...
-
La salvezza che viene dagli standard
Il ‘Main Event 2024’ di Consorzio PI Italia ha costituito un momento di confronto su due tematiche molto sentite dall’industria, robotica e cybersecurity, nonché un’occasione per ‘fare il punto’ sulla diffusione ed evoluzione delle tecnologie di comunicazione...
-
The State of Cloud Native Security 2024, un report di Palo Alto Networks
Con le previsioni di Gartner di una crescita del 20,4% della spesa per i servizi di cloud pubblico quest’anno, in gran parte sulla spinta dell’intelligenza artificiale, il report The State of Cloud Native Security 2024 di Palo...
-
Palo Alto Networks: il 41% delle aziende italiane subisce attacchi agli ambienti OT
Un nuovo report di Palo Alto Networks, realizzato in collaborazione con ABI Research, rivela che 2 imprese italiane su 5 (41%) subiscono mensilmente attacchi informatici ai loro ambienti di tecnologia operativa (OT). Ciononostante, solo un quarto considera...
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies
Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...
-
Al Main Event 2024 di Consorzio PI Italia si è parlato di ‘Robotica e cybersecurity per un’industria protetta’
La presenza di esperti e imprese del settore al Main Event 2024 di Consorzio Profibus e Profinet Italia (PI Italia), parte integrante dell’organizzazione internazionale PI-Profibus & Profinet International, ha ribadito l’impegno del Consorzio nel promuovere l’innovazione e diffondere la...
-
Chiusa con oltre 1.600 partecipanti l’edizione milanese di Security Summit
La complessità dello scenario cyber è stata scandagliata nei tre percorsi, tecnico, gestionale e legale, durante la tappa milanese di Security Summit 2024, convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, e Astrea, Agenzia di Comunicazione...