AS_04_2019

tecnica 90 Maggio 2019 Automazione e Strumentazione CYBER-SECURITY Conoscere le minacce In questo scenario, quali sono gli spazi di miglioramento di chi deve mettere in atto le dovute difese informatiche? Purtroppo, e per fortuna, molti. Purtroppo, perché i dati dimostrano che si è fatto ancora troppo poco per proteggere il patrimonio IT e quello OT la cui esposi- zione va via aumentando per effetto della convergenza dei due mondi. Ancora oggi, più della metà degli incidenti di sicurezza IT è causato da errori umani o problemi legati alla configurazione e gestione dei sistemi da parte delle imprese. Tra gli attacchi gravi registrati dal Rapporto Clusit, sono in cre- scita del 40% quelli derivanti dallo sfruttamento di vulnerabilità note dei sistemi , ovvero vulnerabilità per le quali esiste un aggior- namento del fornitore che non è stato installato in tempo. Salgono inoltre del 60% rispetto al 2017 gli attacchi avvenuti mediante tecniche di phishing e social engineering , ovvero influenzando gli utenti per far loro compiere operazioni peri- colose o in violazione delle policy aziendali (per esempio, fare click su un allegato malevolo, inserire le credenziali su un sito fasullo ecc.): in questi casi, molto spesso un’attività di sem- plice informazione e sensibilizzazione porterebbe ad una dra- stica riduzione dei possibili incidenti. Inoltre, è sempre più rilevante il pericolo connesso con l’utilizzo di strumenti OT/IoT (Internet of Things, come sensori, indossa- bili, telecamere connesse ecc.) non opportunamente configurati o gestiti, utilizzati dal crimine informatico come mezzo di attacco verso terzi o come strumento per aggirare le difese aziendali. Famoso è il caso della botnet Mirai, una rete di telecamere com- promesse che a fine 2016 sono state sfruttate per effettuare una serie di attacchi di tipo ‘DDoS’ (Distributed Denial of Service, ogni dispositivo compromesso è stato usato per generare traffico verso un bersaglio, saturandone quindi le risorse e rendendolo non disponibile), con risultati senza pari nella storia dell’IT. Riguardo alla capacità di azione delle aziende di difendersi si è detto che ‘purtroppo’ vi sono margini di miglioramento. D’altro canto, ‘per fortuna’ la capacità dell’ attaccante medio è ben lungi da supe- rare difese ben organizzate: sono ancora molte le situazioni in cui uno sforzo minimo è sufficiente, in uno scenario a larga scala quale è Internet, per ottenere risultati soddisfacenti, proprio grazie alle difficoltà sopra elencate che le aziende incon- trano per proteggersi dalle minacce più diffuse. Ciò non significa che con uno sforzo minimo un’azienda possa ritenersi tranquilla: piuttosto, è ragionevole valu- tare che, in quanto minimo, tale sforzo sia ormai impre- scindibile nello scenario descritto, soprattutto all’aumen- tare del valore degli asset che vengono connessi. In par- ticolare nel caso dei sistemi industriali, è più facile che in altri settori valutare l’impatto di un fermo alla produ- zione per ore, giorni o settimane, per decidere quale sia l’investimento corretto in sicurezza IT. Non bisogna poi trascurare che all’evoluzione delle tecniche di attacco si accompagna anche lo sviluppo di nuovi strumenti di difesa. Particolarmente per il settore dell’Automazione, sono rilevanti due fattori cardine di tale innovazione: Minore complessità di integrazione e gestione: gli strumenti di protezione sono sempre meno complessi da configurare nel con- testo dell’azienda. È ancora vero (fortunatamente per chi scrive, lavorando nel settore) che l’efficacia di protezione aumenta signifi- cativamente con una maggiore competenza del personale dedicato alla sicurezza, ma è altrettanto vero che il grado di specializzazione ‘di prodotto’ necessario ad attivare le funzionalità di protezione più elevate si è decisamente ridotto nel tempo. Ciò consente al perso- nale interno alle imprese, che sostiene già uno sforzo significativo nell’acquisire competenze integrate IT/OT, di poter sfruttare al meglio (o meglio che in passato) tali strumenti nel proprio contesto; Maggiore capacità di analisi e intercettazione degli attacchi informatici, con una sensibile riduzione dei falsi positivi: gran parte delle soluzioni tecnologiche di sicurezza informatica si basa oggi sulla condivisione delle informazioni, integra componenti di Intelligenza Artificiale o di big data analytics , poiché il riconosci- mento di pattern di attacchi noti non è ormai sufficiente per fronteg- giare azioni mirate ad uno specifico settore o ad una singola orga- nizzazione. Soprattutto, nel ricco panorama dell’offerta sono final- mente presenti soluzioni pensate e specializzate per il mondo OT, non semplicemente ‘trasportate’ in questo contesto dal mondo IT. Conclusioni Che sia ‘purtroppo’ o ‘per fortuna’, è pertanto opportuno che una strategia di integrazione e convergenza IT/OT includa oppor- tune valutazioni di cybersecurity . Questo lo insegna il rischio più grave di tutti: i vostri competitor ci stanno già pensando, come dimostrano le statistiche del mondo insurance. Per i board delle più grandi aziende, il rischio di cybersecurity è la seconda preoc- cupazione, superata solo dal disastro naturale. Se ci hanno pensato gli altri, e non voi, rischiate di essere già fuori dalla competizione. Riferimenti [1] Il Rapporto Clusit è liberamente scaricabile dal sito: https:// clusit.it/rapporto-clusit/ [2] www.securitysummit.it [3] https://it.wikipedia.org/wiki/WannaCry [4] https://it.wikipedia.org/wiki/Mirai_ (malware) Figura 2 - Distrubuzione delle vittime degli attacchi. Gli eventi contro le infrastrutture critiche acquisiscono una percentuale rilevante (7% del totale), in crescita del 42% rispetto al 2017