Non esiste Industry 4.0 senza una buona pratica di Cybersecurity
Iniziai l’attività di consulente IT verso la metà degli anni ’80 dopo una parentesi da ricercatore nel campo delle reti neurali, settore all’epoca non ancora maturo e in cui le possibilità di guadagno futuro, anche in termini di carriera, erano immaginabili ma non prevedibili.
Tuttavia, uno dei primi incarichi che mi conferirono fu in qualità di analista e formatore, in particolare come formatore ebbi il compito di addestrare il personale addetto alle “Transfer” di produzione presso lo stabilimento ILVA di Torino, diventata poi TAS (Terni Acciai Speciali) ed infine Thyssenkrupp, luogo della terribile tragedia del 2007. Ebbene, le persone da addestrare, in quello stabilimento, erano operai addetti alla produzione che alla fine di ogni turno di lavoro dovevano digitare sulla propria postazione, composta da un PC-IBM industriale collegato ad una rete ARCNET (2,5 Mb/s), i dati relativi alla produzione; tali dati venivano poi trasmessi al CED aziendale che li elaborava.
Quello di Torino fu certamente uno dei primi esempi di produzione informatizzata anche se i dati non venivano trasmessi direttamente dalle macchine di produzione ma da personale addetto e tramite specifiche postazioni di rete. Non esisteva ancora Internet e di conseguenza nessuna possibilità di cyber-attack, anche se tale assenza non escludeva la possibilità di intrusioni atte al furto di dati e segreti industriali tramite attività d’ingegneria sociale (Social Engineering).
Questa era l’epoca di Industry 3.0, della rivoluzione digitale o era digitale in cui i livelli di automazione si avvalevano di sistemi elettronici e di LAN, ma non ancora un’interazione diretta con internet e il cyberspazio.
Industry 4.0: la quarta rivoluzione industriale e le sfide della cybersecurity
Sono passati poco più 30 anni di storia industriale, e arriviamo a Industry 4.0 la quarta rivoluzione industriale; uomini e cose vengono interconnessi in qualsiasi parte del mondo si trovino, in uno status di Always-on, già ampiamente sperimentato nelle abitazioni civili con applicazioni di domotica a cui oggi si aggiunge l’informatizzazione delle industrie tradizionali come quella manifatturiera che ha come obiettivo la fabbrica intelligente, o Smart Factory.
Quindi tecnologie abilitanti come Robot, Droni, Big data, Intelligenza Artificiale, Cloud, Banda larga e Ultralarga, e, in particolare per Industry 4.0, Internet of Things (IoT). Industry 4.0 sarà quindi l’industria in real time, processi e merci saranno aggiornati in tempo reale e, nel momento in cui un sensore di prossimità indicherà il passaggio di un prodotto finito all’interno di un processo di produzione, potremo leggerlo sul nostro tablet dall’altra parte del mondo. Tuttavia il “Alway-on” comporta dei rischi sulla sicurezza delle informazioni e dei processi di produzione. Il vantaggio di poter accedere, online, alla configurazione di una macchina di produzione ha come contropartita l’esposizione al rischio di poter subire un cyber-attack.
Caso studio: cyber-attack alle acciaierie tedesche del 2014
Un cyber-attack come quello avvenuto alle acciaierie tedesche nel 2014. L’attacco avvenne ad opera di Hacker non identificati che sono riusciti ad infliggere ‘gravi danni’ ad un’acciaieria tedesca attraverso l’accesso ad una rete interna che conduceva ad un software per l’accesso ai comandi principali della fabbrica, l’Ufficio federale tedesco per la Sicurezza Informatica (BSI) lo ha poi rivelato nella sua relazione annuale
Il rapporto afferma anche che l’intrusione nel sistema mainframe ha causato danni significativi ad un altoforno. E la tecnica di accesso utilizzata per penetrare la sicurezza, riguarda l’uso di un sofisticato “spear phishing” per ottenere l’accesso alle rete locale e di conseguenza alla rete di produzione. Con molta probabilità gli attaccanti avevano acquisito a tempo debito, con attività d’ingegneria sociale, ulteriori dettagli sulla rete locale, software e sistema di produzione.
Tuttavia questi attacchi molto diffusi e non sempre sono denunciati dalle aziende che temono i contraccolpi d’immagine da eventuali inchieste della magistratura, qualora fosse accertato un furto di progetti, piani industriali, brevetti, ed infine furti di dati o attacchi di ransomware.
Strategie di cybersecurity per Industry 4.0: standard, norme e protocolli
Si rende necessario, quindi, una cybersecurity all’altezza per industry 4.0. E considerata la situazione della sicurezza in Italia, risulta che, a differenza di altri Paesi, nel mondo dell’imprenditoria, con eccezione per le grandi banche e poche grandi società, tra i cittadini e il gruppo dirigente del Paese, non esiste la consapevolezza dell’importanza della cybersecurity (cyber-security awareness). E che la politica dello sviluppo del digitale, crescita e sicurezza sono elementi insostituibili dello stesso modello, in quanto una corretta strategia digitale orientata allo sviluppo non può che essere caratterizzata da un livello di security con i più elevati standard internazionali. Standard che sono oggetto di attente valutazioni anche nel mondo della cybersecurity italiana.
Innanzitutto distinguerei tra raccomandazioni, protocolli, standard e norme da adottare. Al momento esistono raccomandazioni nell’ambito della Pubblica Amministrazione come quelle suggerite da AGID, dal Cyber Intelligence and Information Security (CIS), oppure, più in generale, quelle prodotte dal Cyber Security National Lab del (CINI), che lavora anche per la produzione di proposte normative.
Abbiamo poi, a livello europeo, l’European Network and Information Security Agency (ENISA) che ha il compito di migliorare la sicurezza informatica e delle reti di telecomunicazioni dell’Unione europea. Invece, per quanto riguarda le norme, un quadro normativo preciso di riferimento per questo settore non è ancora disponibile. Tuttavia, lo standard ISO 27002 del 2007 stabilisce che la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità, pilastri base per la costruzione di protocolli metodologici necessari per un corretto sistema di sicurezza.
Interessanti, poi, le proposte d’adozione di protocolli di sicurezza metodologici sviluppati da istituti di ricerca e società come Il CEFRIEL di Milano con il SDVA (Social Driven Vulnerability Assessment) e la STVA (Social Tilting Vulnerability Assessment) del Mit Media Lab di Torino.
Valutazione delle vulnerabilità in Industry 4.0: nuovi strumenti e approcci
Innanzitutto è bene ribadire che con Industry 4.0 si allarga il campo delle vulnerabilità, e, standard come ISO 27002 sono insufficienti per dare i giusti orientamenti al fine di sviluppare protocolli metodologici di difesa adeguati. E prima di addentrarci nelle specifiche dei nuovi strumenti di misura e valutazione delle vulnerabilità, è bene evidenziare che la complessità delle organizzazioni non consente di sviluppare uno strumento standard ma, piuttosto, un modello di strumento che potremmo definire ad “assetto variabile”, cioè, in grado di correggere ed adattare strategie di difesa contestaulmente alle esigenze dell’organizzazione.
Tale strumento deve poter effettuare dei test di Vulnerability Assessment (VA) presso le imprese in cui viene misurato il rischio reale a cui è sottoposto il personale che viene colpito da una minaccia di SE (social engineering). E tali test devono poter essere effettuati con simulazione di penetration testing utilizzando ToolSet specifici.
Il fattore umano nella cybersecurity di Industry 4.0
Intanto è bene ricordare che difendersi da attacchi di SE è complicato e i motivi sono molteplici: gli attacchi tecnologici si evolvono e, come già ricordato, siamo passati dagli attacchi automatizzati nei sistemi di protezione, ai Malware 2.0 che sfruttano la SE nelle strategie d’intrusione; il “fattore umano”, punto debole della catena di protezione, va protetto rendendolo consapevole dei rischi e, allo stesso tempo, formarlo per il sistema di protezione. Occorre tuttavia ricordare che le strategie di SE cambiano e di conseguenza si rende necessario un monitoraggio continuo del livello di rischio.
In conclusione si può dire che non esistono soluzioni tecnologiche definitive e che il “fattore umano” è sempre più rilevante nella protezione dei sistemi informativi per cui un buon specialista e un utente formato sono i pre requisiti per un sistema informatico “Sicuro”.
Bibliografia
- Agrillo, A., (1994), La rete unitaria della pubblica amministrazione, Torino, Elea Press;
- Watson,G., Mason A., Ackroyd R.,(2014), Social Engineering Penetration Testing, (MA) U.S.A., Syngress;
- Cencetti C., (2014), Cybersecurity: Unione europea e Italia: Prospettive a confronto, Roma, Ed. Nuova Cultura
- Chirillo, J., (2000/2004), Hack Attacks Revealed, second edition, New York, MCGraw-Hill
A cura di: Agostino Agrillo
Computer scientist and Historian of Scienze. E’ consulente di Sistemi Informativi e Cyber-Security per la pubblica amministrazione, docente a contratto presso varie Università europee e divulgatore scientifico presso istituzioni culturali e scientifiche. E’ Presidente del Museum Instrumentorum calculi di Torino e membro di comitati tecnico scientifici di diverse istituzioni culturali. Dal 2014 è direttore scientifico del Mit MediaLab Research Torino. Inoltre presiede il premio “Fibonacci” che ogni anno viene assegnato al miglior informatico professionista. Ha pubblicato sei libri e oltre 40 pubblicazioni "peer-reviewed".