AO_426

92 AUTOMAZIONE OGGI 426 SOLUZIONI SOFTWARE PER L’INDUSTRIA ricerca S SI Trend Micro e il Politecnico di Milano hanno presentato una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT. La ricerca, dal titolo ‘Rogue Automation: Vulnerable and Ma- licious Code in Industrial Programming’, vede come autore principale il ricercatore italiano Federico Maggi di TrendMicro Research ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche, poco discusse nel mondo della cybersecurity, dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, pos- sono permettere a un aggressore di creare nuove tipologie di malware persistente. Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca. “Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico” ha af- fermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’auto- mazione industriale si basa su tecnologie legacy che troppo Andrea Pernichetti Gli ambienti di programmazione per robotica nascondono pericolosi difetti e vulnerabilità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT Difetti evulnerabilità tra i robot Ridurre l’impatto delle criticità spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la proget- tazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare co- dici maligni e vulnerabilità”. Linguaggi di programmazione che possiamo considerare ‘le- gacy’, in quanto cuore delle moderne catene di produzione come ad esempio Rapid, KRL, AS, PDL2 e PacScript, sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività criti- che di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono es- sere messi al sicuro facilmente. Foto di Michal Jarmoluk da Pixabay