Si è tenuta a San Donato Milanese, negli uffici messi a disposizione da Saipem, la giornata di studio “Cyber Security: una sfida non più rimandabile anche per l’industria italiana” organizzata da ANIPLA con il patrocinio di AIS, ISA Italy Section, GISI, Clusit e AIP ITCS e la sponsorizzazione di Endian, Honeywell, Intellium e Phoenix Contact.
Ad aprire i lavori Alessio Pennasilico del Clusit (in foto), con un intervento dal titolo quanto mai provocatorio: “Guarda babbo, quante stelle! Non le avevo mai viste! Ovvero quando il rischio cyber incontra le infrastrutture critiche”. Il perché di questo titolo è presto spiegato: “Poter osservare il cielo in una notte senza luci artificiali non è sempre un bel sogno… “, spiega Pennasilico, il cui intervento ha voluto sensibilizzare la platea sulla vulnerabilità e le minacce (cybercrime, hacktivism, spionaggio, cyber warfare) che riguardano potenzialmente tutti i sistemi e sono di particolare rilevanza per le infrastrutture critiche. “Il numero di attacchi – prosegue Pennasilico – è in costante crescita, nonostante l’aumento degli investimenti in Security. Non solo: il costo medio del danno causato dai cyberattacchi è in crescita”. Al punto che l’Internet of Things rischia di trasformarsi nell’Internet of Hacked Things.
Filippo Novario, consulente informatico giuridico e forense, proposto una definizione di cyber security secondo lenti informatico giuridiche e forensi, trattando i principali ambiti di positivo impatto aziendale associati alle soluzioni nel campo di management, assessment e della consulenza. “La cyber security, in quanto disciplina concepita prettamente secondo profili tecnici, presenta ricadute principalmente in campo informatico e di ICT security”, spiega Novario. “A fronte di un approccio informatico giuridico e forense, questa mostra benefici trasversali all’intera attività aziendale a fronte di attività tecnico-giuridiche. In particolare, per quanto concerne aziende di servizi o industriali, sotto il profilo assicurativo, di qualità del dato e di responsabilità dell’ente”. Particolare interesse ha suscitato la questione della responsabilità congiunta del fornitore e del fruitore nel caso dei sistemi integrati.
Alfredo Cusin (Endian) e Massimiliano Brugnoli (Orange Business Services) hanno parlato di come implementare piattaforme di comunicazione efficaci e sicure nel settore dei trasporti via mare (marina mercantile, navi passeggeri e piattaforme offshore) come base per il fondamento del Maritime IoT. I relatori hanno documentato una serie di casi in cui gruppi di hacker hanno approfittato delle debolezze dei sistemi, citando un caso in cui addirittura gli hacker sono riusciti a spostare una nave trivella dalla Corea verso il Sud America. Per implementare una soluzione sicura occorre disporre di un ambiente protetto per il passaggio dei dati tra nave e terra che consenta di operare la gestione remota delle apparecchiature e la manutenzione predittiva. La piattaforma realizzata da Endian e Orange prevede un’infrastruttura di comunicazione che consente di creare collegamenti in VPN e che offre connettività granulare ai sistemi e permette di differenziare i diritti di accesso alle apparecchiature di bordo e di salvaguardare la banda necessaria alle applicazioni critiche.
Emanuele Temi di Phoenix Contact ha parlato di cyber security nell’era di Industry 4.0. “Nel 2018 ci saranno 3,6 miliardi di utenti collegati alla rete”, sottolinea Temi. L’ingresso di internet e dei sistemi cyberfisici nel mondo industriale sta dando vita al mondo di Industry 4.0, per la quale l’integrità del dato è un fattore di importanza cruciale. A questo tema Phoenix Contact dedica uno specifico team di lavoro. “La prima cosa da fare è segmentare le isole funzionalmente coerenti e proteggerle con un firewall”, spiega Temi. L’integrità del dato è garantita dalla tecnologia CIFS (Common Internet File System): l’apparato di sicurezza ha accesso alle informazioni più importanti e “fotografa” il sistema rilevando eventuali differenze tra quello che viene rilevato e il modello di riferimento. Il CIFS consente di fare a meno degli antivirus (che limiterebbero le prestazioni) all’interno delle reti d’impianto: “Si tratta di una sorta di sigillo digitale che ci permette di garantire che il sistema non è stato modificato”. Un altro utile tool è l’OPC Inspector, che filtra il traffico OPC e dialoga con il firewall in maniera dinamica. Per la manutenzione a distanza infine va considerato l’utilizzo di soluzioni di teleassistenza sicura (grazie all’impiego di VPN) basate su cloud.
Konstantin Rogalas ha illustrato come Honeywell si sia organizzata internamente per rispondere alle sfide poste dalla Cyber Security, istituendo un Cyber Security Lab ad Atlanta, a quali standard faccia riferimento e soprattutto come proponga ai propri clienti di gestire questo delicato tema. “Affrontare un tema come la cyber security richiede standardizzazione, completezza, consapevolezza, coerenza e prontezza”, spiega Rogalas. E’ necessario definire i “livelli di security” e i “livelli di maturità” richiesti dai sistemi, tenendo conto che “Solo con un’attenta profilazione della security è possibile mettere in atto investimenti e strategie realmente sostenibili”. Grazie al tool Risk Manager di Honeywell è possibile tenere traccia delle deviazioni dal profilo di security impostato.
A concludere gli interventi Giovanni Michelini, Head of IT Infrastructure and Security di Saipem, che ha passato in rassegna le minacce di cyber attacchi diretti a infrastrutture del settore energetico. “Stuxnet, Night Dragon, Shamoon e Flame sono tutti esempi recenti di attacchi a infrastrutture di questo settore”. La flotta di operatori dell’Oil & Gas come Saipem dispone di sistemi di controllo collegati in rete, magari basati su server spinti da macchine Windows in “end of life” (senza più quindi patch di sicurezza), con connettività per accesso remoto: in altre parole, è chiaramente esposta ad attacchi. “Portare reti tradizionalmente segregate su Internet è un po’ come portare un bambino a spasso nel Bronx”, spiega con una riuscita metafora Michelini. Cosa fare? Saipem ha avviato un’attività di Cyber Security assessment di tipo sia qualitativo che quantitativo sulla sua nave di perforazione Saipem10000 per valutare le vulnerabilità attuali e potenziali dei sistemi IT e industriali. La conclusione dell’attività è stata positiva: è stata utile a innalzare il livello di attenzione del personale e a verificare che il rischio è relativamente contenuto.
In chiusura di giornata i relatori hanno potuto rispondere alle domande del pubblico sui temi affrontati nel corso della giornata. Particolarmente sentita e discussa la questione del risk assessment, il tema della security by design, quello delle certificazioni e dei costi assicurativi.
Franco Canna