Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.
Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?
Francesco Tieghi, responsabile marketing e comunicazione in ServiTecno:
In particolare, il ‘piano B’ dovrebbe includere: procedure di isolamento e contenimento per evitare la propagazione dell’attacco; backup verificati e ripristino controllato dei sistemi critici; definizione chiara di RTO (Recovery Time Objective) e RPO (Recovery Point Objective), calibrati sulla criticità del processo – in ambito industriale, pochi minuti o ore possono fare la differenza; la creazione di team di crisi multidisciplinare (IT, OT, legale, comunicazione, management); una comunicazione interna ed esterna coordinata, per limitare danni reputazionali.
Un piano efficace non si limita al ripristino tecnico, ma punta a garantire la ripartenza delle operations nel minor tempo possibile, minimizzando l’impatto su produzione, sicurezza fisica e continuità del servizio”.
“In ambito industriale, quando un attacco blocca una linea di produzione, non è solo un problema tecnologico, è un’emergenza operativa. Il ‘piano B’ deve essere costruito con questa consapevolezza e, soprattutto, prima che l’emergenza si verifichi. La prima azione da fare è il contenimento rapido: isolare i segmenti OT compromessi per bloccare i movimenti laterali, impedendo al malware di propagarsi dai sistemi IT agli HMI e ai PLC. Questo richiede procedure pre-definite, che gli operatori di produzione possano attivare anche in autonomia.
Un aspetto spesso sottovalutato riguarda proprio chi deve agire, non solo nelle aziende manifatturiere: definire in anticipo una catena di comando chiara, con ruoli, responsabilità e canali di comunicazione alternativi, nel caso in cui i sistemi principali siano compromessi, deve essere parte integrante del piano. Tuttavia, per essere efficace il ‘piano B’ deve poter contare anche su una strategia di backup e recovery orientata all’OT: non solo dati, ma configurazioni di PLC, parametri di macchina, dettagli di produzione ecc.
Elementi che in molte aziende esistono solo nella memoria degli operatori più esperti, o in fogli Excel/documenti spesso non aggiornati. Questi backup, invece, devono essere conservati su supporti o sistemi fisicamente separati, come su uno storage dedicato, non collegato alla rete, in modo che un ransomware non possa comprometterli. Ma anche avere il backup non basta: occorre sapere esattamente come usarlo sotto pressione. Testare il ripristino in modo realistico, verificando tempi, sequenze e competenze necessarie, è indispensabile per trasformare un ‘piano B’ da documento teorico a strumento operativo affidabile.
Irina Artioli, security solutions consultant di Acronis:
“La priorità assoluta è il contenimento e il controllo, non la rapidità della bonifica. Occorre isolare immediatamente i sistemi e gli account interessati, in particolare le identità privilegiate e i percorsi di accesso remoto. Molte intrusioni moderne si basano su credenziali o token rubate; quindi, il ripristino dell’identità e la revisione dei privilegi dovrebbero avvenire nelle prime fasi della risposta. È opportuno poi conservare le prove, prima di apportare modifiche significative. I registri, le tracce di accesso e gli stati del sistema sono fondamentali per comprendere la portata dell’attacco e prevenire la reinfezione durante il ripristino. Agire troppo rapidamente, senza chiarezza, può compromettere la visibilità necessaria per rispondere in modo adeguato. Poi bisogna contenere il movimento laterale, rafforzando la segmentazione tra le zone, in particolare tra IT e OT, o tra le reti di produzione e di gestione, e verificare che gli strumenti amministrativi e le console cloud non siano stati utilizzati in modo improprio. In caso di estorsione, bisogna presumere che i dati siano stati consultati anche se non è stata effettuata la crittografia.
Il recupero dei dati deve essere pianificato; inoltre, occorre stare attenti a eseguire il ripristino solo da fonti affidabili, isolate e, idealmente, non modificabili; verificare l’integrità del backup, ove possibile; coordinare il ripristino con la ricerca delle minacce, per garantire che i meccanismi di persistenza non vengano reintrodotti.
Un solido ‘piano B’ è la capacità di operare in modalità ridotta ma controllata, il che include soluzioni manuali predefinite per i processi critici, percorsi di comunicazione alternativi, procedure di ripristino di emergenza collaudate e una chiara autorità decisionale tra i team tecnici, legali ed esecutivi. L’obiettivo non è quello di evitare completamente le interruzioni, ma di mantenere il controllo operativo mentre si ripristinano i servizi in modo strutturato e verificato.
Quanto conta il ‘fattore uomo’?
Flavio Renaldini, training manager di B&R Automazione Industriale:
Password deboli o condivise tra colleghi, cliccare su link o allegati sospetti nelle email, condividere involontariamente informazioni sensibili, dimenticarsi di aggiornare i software, o usare dispositivi personali non protetti per il lavoro, sono tra gli errori e comportamenti più comuni, che possono aprire la porta ai malintenzionati. Ed è qui che entra in gioco l’ingegneria sociale. Si tratta di una tecnica di manipolazione psicologica che gli hacker usano per convincere le persone a fare cose che normalmente non farebbero: rivelare password, cliccare su link pericolosi, o dare accesso a sistemi protetti.
La cosa interessante è che non serve essere un genio dell’informatica per usare queste tecniche, basta capire come funziona la psicologia umana. Gli attaccanti sfruttano emozioni e comportamenti naturali, come la fiducia, l’urgenza o l’autorità. Tra le casistiche più comuni, si fingono colleghi dell’IT, fornitori o clienti conosciuti, creano situazioni d’emergenza fittizie, come per esempio un blocco account, impersonano CEO o manager importanti, minacciando conseguenze negative. Le tecniche più diffuse sono: il phishing, ossia quelle email che sembrano arrivare dalla banca o dall’IT aziendale, ma in realtà sono false; il vishing, che è la stessa cosa ma al telefono; o il pretexting, la costruzione di una storia credibile, tipo fingersi l’HR per verificare i dati personali di un dipendente.
Poi ci sono tecniche più creative, come il baiting: lasciano chiavette USB infette in giro, sperando che qualcuno le raccolga e le inserisca nel computer per curiosità, o il tailgating, quando seguono un dipendente autorizzato per entrare in aree riservate senza badge. Queste azioni sono estremamente funzionali, poiché bypassano completamente le difese tecnologiche e colpiscono direttamente l’elemento umano, sfruttando la naturale tendenza umana a fidarsi, ad aiutare gli altri, e a rispondere rapidamente quando ci si sente sotto pressione. E la cosa peggiore è che è difficilissimo da rilevare con strumenti automatici.
In questi casi, la prima difesa a tutto ciò passa dalla consapevolezza, verificando sempre l’identità di chi chiede informazioni, non condividendo mai password via email o telefono, restando scettici verso richieste urgenti o inusuali, controllando attentamente i mittenti delle email e gli URL prima di cliccare”.
“Il fattore umano rappresenta sia la risorsa più preziosa, sia la vulnerabilità più critica in qualsiasi strategia di cybersecurity. La vulnerabilità umana agli attacchi informatici non è una questione di intelligenza o competenza. Gli attaccanti sfruttano sistematicamente i bias cognitivi: la tendenza a fidarsi di comunicazioni che sembrano provenire da fonti autorevoli, l’urgenza che ci spinge ad agire rapidamente senza riflettere, la curiosità che ci porta ad aprire allegati o link interessanti. Gli attacchi sono insidiosi perché aggirano completamente i sistemi di sicurezza, convincendo gli utenti a fornire volontariamente le proprie credenziali o a compiere azioni dannose.
Il lavoro ibrido e la digitalizzazione accelerata hanno amplificato queste vulnerabilità. I dipendenti si connettono da casa, utilizzano dispositivi personali, gestiscono comunicazioni attraverso molteplici canali; questa frammentazione dell’ambiente lavorativo crea zone grigie e il sovraccarico informativo tipico dell’era digitale riduce la capacità di fare attenzione ai dettagli che in condizioni normali potrebbero essere notati, passano inosservati quando siamo sotto pressione o distratti. E poi gli attaccanti non si limitano più a email generiche, inviate a migliaia di destinatari, ma conducono ricerche approfondite sui loro target, utilizzando informazioni raccolte dai social media, siti aziendali, e database pubblici, per creare comunicazioni estremamente personalizzate e credibili.
La difesa più efficace contro questi attacchi non può essere puramente tecnologica, ma deve necessariamente includere l’elemento umano: bisogna trasformare ogni dipendente in sensore attivo del sistema di sicurezza. Nelle organizzazioni, la sfida è creare una cultura della sicurezza, che sia percepita come un acceleratore del business, con programmi di formazione continua per aumentare la consapevolezza della sicurezza nelle attività quotidiane. Le simulazioni di phishing si sono dimostrate estremamente efficaci, perché permettono ai dipendenti di sperimentare in sicurezza situazioni di attacco, sviluppando l’‘intuizione’ per riconoscere tentativi di manipolazione. E poi c’è la tecnologia: sistemi di AI che analizzano il comportamento normale di un utente e segnalano anomalie, interfacce che forniscono feedback immediato su azioni potenzialmente rischiose, strumenti che rendono visibili elementi normalmente nascosti delle comunicazioni digitali.
Andrea Fiorina, system consultant di SEW-Eurodrive Italia:
“Il fattore uomo è assolutamente strategico. È fondamentale, in primo luogo, una corretta informazione e la comprensione da parte degli utenti dei rischi connessi a una violazione e dell’impatto che possono avere le azioni del singolo: parliamo della possibilità di bloccare i processi produttivi, gli uffici e le attività dell’intera azienda. Da parte degli operatori specifici IT-OT è necessario comprendere a fondo le tecniche alla base sia della sicurezza, sia dell’haking non etico.
Se, da un lato, non è possibile offrire a tutti i collaboratori in azienda questo tipo di formazione, così specifica e approfondita, sui rischi cyber, dall’altro, è necessario che tutti gli operatori vengano sensibilizzati e comprendano i meccanismi di base e l’enorme impatto, anche di una loro singola azione. La consapevolezza innesca un circolo virtuoso e genera una certa necessaria cautela nell’agire, come per esempio l’esecuzione di regolari backup scollegati dalla rete”.
“Il fattore umano è una variabile critica e imprevedibile nella protezione OT: può essere l’ultima linea di difesa o l’elemento che provoca il fallimento. La sua importanza si articola su quattro ambiti specifici; il primo, colmare il divario culturale e linguistico: esiste una profonda divisione tra ingegneri industriali, concentrati sulla continuità produttiva, e professionisti della cybersecurity, che invece mettono l’hardening in primo piano.
Gli esperti di sicurezza devono imparare il linguaggio del reparto produttivo, fatto di PLC e ICS, non solo di laptop e aggiornamenti software. Secondo: giudizio esperto nella gestione di crisi. Gli strumenti tecnici da soli non bastano, servono esperti umani per valutare l’impatto reale di un attacco: può una linea produttiva continuare a operare nonostante un virus? O è necessario il suo arresto totale? Fermare una fabbrica costa spesso molto più dell’infezione IT iniziale e gli operatori devono evitare decisioni d’impulso, senza aver definito e considerato un chiaro percorso di ripristino.
Terzo punto, preservare le competenze legacy: molti sistemi industriali hanno decenni di vita e scarsa documentazione, per cui il fattore umano diventa archivio ‘vivente’. La differenza tra successo e fallimento dipende spesso da esperti di lunga data, a volte non più attivi, ma che restano gli unici a comprendere architetture obsolete e non documentate. Infine, ci vogliono consapevolezza e prevenzione: il fattore umano è la difesa primaria contro il vettore iniziale d’infezione. La maggior parte degli attacchi ransomware industriali inizia con un errore umano, per esempio un dipendente che apre un file ‘invoice.exe’ dannoso. Serve un piano di awareness dedicato alla popolazione OT, che consideri anche rischi unici di questo mondo, come l’impossibilità di riavviare semplicemente un sistema per risolverne le vulnerabilità”.
Paolo Mura, team leader sales engineer di Axis Communications:
In secondo luogo, bisogna soffermarsi sugli strumenti a disposizione. Un modo semplice, sicuro e affidabile per accedere alle telecamere (o altri dispositivi) da remoto è una priorità per molti utenti di sistemi di sorveglianza. Tuttavia, la connessione ai prodotti remoti può rappresentare una sfida, specialmente quando questi si trovano dietro router o firewall. Per offrire agli utenti un modo semplice e sicuro di accedere alle telecamere da remoto, Axis ha sviluppato la tecnologia Axis Secure Remote Access, che consente a uno smartphone o a un client PC di accedere alle telecamere di rete quando il client e le telecamere si trovano su reti locali diverse. Utilizzando server mediatori esterni, il client e la telecamera possono individuarsi a vicenda e stabilire una connessione peer-to-peer sicura.
Infine, è importante intendere la cybersecurity come un processo continuo e non come un prodotto. Non esiste una soluzione ‘definitiva’, ma serve disciplina: aggiornamenti regolari, controllo delle configurazioni, gestione delle credenziali, verifica delle reti. Quando il personale adotta questi comportamenti di igiene informatica come parte delle normali operazioni di stabilimento, il livello di protezione cresce in modo reale, non formale”.
“Il fattore umano conta moltissimo. Eset è un vendor europeo e punto di riferimento per la cybersecurity nella regione, con una lunga storia di innovazione indipendente.
Fondata oltre trent’anni fa in Slovacchia, è presente in più di 200 Paesi ed è attiva in Italia dal 2019, con una sede a Milano che conta oltre 50 professionisti altamente qualificati. Un nostro principio cardine è mettere il fattore umano al centro, in quanto riteniamo che la tecnologia sia fondamentale, ma che senza un team appassionato e competente, anche l’intelligenza artificiale resti un guscio vuoto, mentre è la collaborazione tra le persone a fare realmente la differenza.
Per questo motivo, a fine 2022 è stato costituito il primo Eset SOC-Security Operations Center a Milano, operativo 24/7, uno dei pochi presidi di sicurezza gestiti interamente da esperti italiani, in lingua italiana. Serve ricordare che durante un attacco, la tempestività e la chiarezza di comunicazione sono essenziali: in quei momenti serve comprendersi subito, senza barriere linguistiche. Il SOC rappresenta, quindi, il cuore dei servizi MDR- Managed Detection and Response di Eset, che uniscono monitoraggio costante, analisi delle anomalie e risposta immediata agli incidenti. Servizi gestiti che stanno diventando indispensabili in quanto proteggere i dati oggi significa proteggere il cuore dell’impresa.
In conclusione, il nostro approccio adotta il principio ‘prevention first’: anticipare le minacce prima che si trasformino in veri incidenti, riducendo i tempi di esposizione e i rischi per la continuità operativa. Una filosofia che integra innovazione tecnologica e competenza umana, rendendo la difesa più efficace e sostenibile.
Eset, poi, continua a investire in soluzioni cloud-native, nell’integrazione tra AI e analisi comportamentale, e in programmi di formazione continua, perché la tecnologia può difendere, ma sono il contributo delle persone, il loro impegno e le relative competenze a contare davvero”.
“In Genetec consideriamo il fattore umano come il vero e proprio ‘tallone d’Achille’ della cybersicurezza contemporanea, ma la nostra analisi non si ferma a questa pur veritiera constatazione. Non è un caso se, in un panorama di minacce sempre più sofisticate, la formazione e la sensibilizzazione degli utenti, unite a una rigorosa governance delle identità e all’hardening dei sistemi, rappresentino le misure di protezione più adottate dalle aziende. Tuttavia, il nostro approccio sposta l’accento dal limite umano alla capacità tecnologica di supportarlo: la vulnerabilità non nasce solo dalla distrazione del singolo, ma spesso da un ecosistema di sicurezza frammentato, che espone l’operatore a un carico insostenibile.
La vera svolta avviene quando la sicurezza smette di essere un insieme di compartimenti stagni: la collaborazione e la condivisione dei dati e delle piattaforme tra reparti che storicamente parlavano linguaggi diversi, come la sicurezza fisica e l’IT, trasforma la protezione in una funzione strategica, capace di generare un valore operativo che va ben oltre la semplice difesa degli asset. Quando uniamo questi due mondi, non stiamo solo sommando tecnologie, ma stiamo creando un approccio di difesa unificata, dove l’identità digitale e l’accesso fisico diventano un unico perimetro coerente. Questo è il cuore della visione Genetec: fornire agli esseri umani gli strumenti per non essere più l’anello debole, ma il primo sensore intelligente della rete.
Matteo Goglio, direttore marketing&sales di Infosecbox:
“Il fattore umano è coinvolto in due momenti del processo di gestione della sicurezza: la prevenzione e la reazione. Nella fase di prevenzione, quando si costruiscono le barriere a difesa dalle minacce, l’utente è il rischio maggiore di causa di incidenti informatici: diversi studi di settore recenti affermano che in media l’80% degli attacchi ha origine da un errore umano. Se non preparato e reso consapevole di quale sia l’utilizzo più adeguato degli strumenti informatici, l’utente diventa il vettore principale degli attacchi da parte di malintenzionati, o la causa di incidenti involontari, potenzialmente altrettanto gravi e impattanti sull’azienda. Per questo riteniamo che un programma di security awareness conciso, semplice da seguire, non troppo stressante, ma comunque efficace per fornire delle basi di consapevolezza e metodo agli utenti, sia una componente fondamentale di una soluzione di cybersecurity, al pari degli aspetti tecnologici di protezione e monitoraggio.
Nella fase di reazione, dunque nella gestione di un incidente accaduto o in corso di esecuzione, la capacità delle persone di reagire con competenza, freddezza, incisività e rapidità può fare la differenza tra una risoluzione ordinata e poco impattante per l’azienda, o un disastro con conseguenze operative ed economiche potenzialmente devastanti. Le organizzazioni più resilienti non sono quelle con le tecnologie più costose, o gli algoritmi più avanzati, bensì quelle che hanno investito sul fattore umano con la stessa serietà e metodicità con cui lo hanno fatto in tecnologia”.
LEGGI LE RISPOSTE ALLE ALTRE DOMANDE
-
Sicurezza IT-OT: come ottenerla?
A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?
-
Conoscere l’avversario: le tecniche di attacco
Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre?
-
L’evoluzione attesa
In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?
-
Le normative
Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?
-
Come agire sotto attacco
In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?
Fonte foto Pixabay_thewalkergroup