In quasi tutti i settori industriali, le aziende produttive investono ingenti capitali in macchinari ed impianti, spesso sofisticati e tecnologicamente avanzati. Fino a quando questo patrimonio tecnologico era “isolato” dall’IT tradizionale, confinato all’alveo dell’Operational Technology (OT) con “sistemi di bordo” (sistemi operativi e software) non connessi a Internet, l’attenzione alla Cybersecurity era pressoché minima (forse in alcuni casi persino inesistente).
Internet of Things e Industry 4.0 hanno sicuramente avuto il pregio di accelerare la trasformazione digitale del settore Manufacturing spingendo verso una convergenza sempre più forte tra OT ed IT ma, di contro, hanno contribuito ad impoverire le barriere che fino a qualche anno fa, seppur limitate, consentivano di tenere al riparo i cosiddetti ICS – Industrial Control Systems da malware ed attacchi hacker. Senza trascurare il cybercrime più avanzato: spesso le aziende industriali hanno dimensioni enormi, sono geograficamente dislocate in diversi Paesi del mondo e sono “vitali” per la sopravvivenza di intere regioni e delle persone. Basti pensare all’industria legata alle utility che producono e distribuiscono energia o acqua alle popolazioni ed alle aziende di intere nazioni; oggi il cyberwarfare ha un potenziale enorme, può addirittura spostare l’ago della bilancia del potere nei rapporti internazionali, permettendo per esempio a piccoli Stati di sfruttare tecnologie e competenze avanzate per minacciare e produrre danni a Stati più grandi e ipoteticamente più potenti (andando a colpirli, per esempio, nel cuore produttivo).
Eppure, solo di recente il mondo industriale manifatturiero ha iniziato a digitalizzare i propri processi produttivi e a “connettere le fabbriche”, come risposta puntuale ad una esigenza sempre più sentita di accessibilità, controllo e gestione di linee produttive, impianti, macchinari, sensori e dispositivi nonché infrastrutture critiche. Uno scenario all’interno del quale non si possono sottovalutare i rischi di sicurezza; a questo tipo di aziende è oggi richiesta una estensione della Cybersecurity, tipica del mondo IT, verso l’Operational Technology affinché non diventi l’anello debole della security-value-chain e non esponga l’intera organizzazione a vulnerabilità e minacce pericolose.
Stuxnet, il primo grande attacco cyber ad un impianto industriale
Le infrastrutture critiche industriali hanno scoperto di essere vulnerabili e soggette ai cyberattack nel 2010, quando fu reso pubblico Stuxnet, un virus informatico appositamente creato e diffuso dal Governo statunitense, in collaborazione con il Governo israeliano, qualche anno prima, nel 2006, con l’obiettivo di sabotare la centrale nucleare iraniana di Natanz.
Il virus era stato pensato per disabilitare le centrifughe della centrale, impedendo la rilevazione dei malfunzionamenti (nonché della presenza stessa del malware). Stuxnet colpiva di fatto i PLC – Programmable Logic Controller, i “computer di bordo” degli impianti dai quali dipendeva l’automazione dei macchinari ed il controllo degli impianti e dei processi, facendo leva tra l’altro anche su quattro vulnerabilità di Windows ancora inedite (0-day)
Il virus venne alla luce pubblicamente perché si propagò al di fuori della centrale tramite un PC portatile infetto (a causa di un difetto stesso nella scrittura del codice del virus che poteva essere eseguito su più sistemi dotati di SCADA – Supervisory Control And Data Acquisition – e PLC), arrivando a colpire anche altri sistemi in Giappone, Europa e Stati Uniti.
Le debolezze dei sistemi di controllo industriali
Il virus Stuxnet diede ufficialmente il via al concetto di Industrial Cybersecurity; tuttavia, nonostante sia passato più di un decennio, i sistemi di controllo industriali, le infrastrutture critiche e le reti industriali sono ancora oggi poco protetti e soggetti a vulnerabilità che possono avere ricadute importanti sull’intero business dell’industria.
Più recentemente, malware distruttivi come WannaCry e NotPetya, nonché attacchi ICS mirati come Triton e Industroyer, hanno mostrato il potenziale impatto degli attacchi informatici che vanno a colpire nello specifico i sistemi di gestione e controllo dell’industria (le OT, Operational Technology); impatti che vanno dalle interruzioni della produzione (con conseguenze dirette su produttività e reddittività dell’azienda) ai costi di ripristino esorbitanti, fino ad arrivare ad incidenti ambientali che hanno impatto sulla vita delle persone.
Da un report CyberX del 2018 sui sistemi di controllo industriali globali emerge che il 69% utilizza password in grado di attraversare le reti OT: un enorme rischio per la sicurezza. Il rapporto CyberX 2019 [basatosi sul traffico acquisito in 12 mesi da oltre 850 reti di produzione ICS e SCADA, in sei continenti e in tutti i settori industriali inclusi energia e servizi pubblici, produzione, prodotti farmaceutici, prodotti chimici e petrolio e gas – nda] fa emergere dati ancora più allarmanti a testimonianza del fatto che i sistemi di controllo industriale continuano a essere obiettivi “morbidi” per gli avversari, con lacune di sicurezza in aree chiave come:
- password in chiaro (69%);
- connessioni dirette a Internet (40%);
- protezioni antivirus deboli (57%);
- WAP – Wireless Access Points (16%).
Secondo quanto emerso dal report 2019 CyberX, infatti, il 40% dei siti industriali ha almeno una connessione pubblica diretta a Internet e il 53% dei siti produttivi ha sistemi Windows obsoleti come Windows XP. Dal momento che Microsoft non sviluppa più patch di sicurezza per questi sistemi operativi, i sistemi industriali possono facilmente essere compromessi da nuove forme di ransomware o malware distruttivo.
Il 57% dei sistemi monitorati da CyberX non ha protezioni antivirus con aggiornamento automatico delle signature, altra vulnerabilità che espone al rischio di attacchi e danni agli impianti produttivi.
Infine, secondo gli analisti, c’è una sorta di “eccessiva accessibilità” ai sistemi critici industriali. L’84% dei siti industriali è accessibile e controllabile da remoto attraverso diversi dispositivi con protocolli di accesso come RDP, VNC e SSH che, se da un lato rendono più facile per gli amministratori da remoto configurare i dispositivi, dall’altro lato espongono gli impianti a ulteriori rischi: le credenziali rubate sono tutt’altro che uno scenario raro e l’accesso non controllato e verificato ai sistemi industriali potrebbe consentire ai cyber criminali di imparare esattamente come sono configurate le apparecchiature al fine di manipolarle.
Come sottolinea infine un report McKinsey del 2019, molti sistemi di sicurezza tradizionali non possono essere applicati a un ambiente OT. L’applicazione di patch di sicurezza per la correzione delle vulnerabilità note potrebbe presentare qualche rischio perché sono ancora poche le strutture che dispongono di sistemi di back-up rappresentativi su cui testare le patch.
Servono dunque approccio e strumenti tecnologici adeguati ed efficaci, pensati appositamente per rispondere alle criticità ed alle vulnerabilità del settore industriale e manifatturiero. Serve, insomma, che si inizi a pensare davvero ad una Industrial Cybersecurity.
Maggiori informazioni sui trend e le soluzioni di protezione per le realtà industriali sono disponibili all’interno del whitepaper “Evolving Cybersecurity“ di Kaspersky. Per procedere con il download, si prega di compilare il modulo sottostante.