Il tema della cyber security in ambito industriale è un tema di scottante attualità. Il fenomeno di digitalizzazione dei processi industriali, normalmente identificato con il concetto di industria 4.0, ha infatti modificato completamente la geografia dei sistemi aziendali. Se fino a qualche tempo fa i reparti di Information Technology (IT) e Operation Technology (OT) erano considerati come due elementi distinti sia sotto il profilo della progettazione sia sotto quello della gestione, nella nuova declinazione 4.0 il confine tra IT e OT si è praticamente dissolto. L’utilizzo di strumenti digitali per la gestione e il monitoraggio di processi produttivi ha infatti creato un’intima connessione tra i due ambiti, con ripercussioni che coinvolgono anche (e soprattutto) il tema della sicurezza informatica. Un’implicazione confermata da Alessio Aceti di Sababa Security, azienda specializzata nella fornitura di servizi gestiti di sicurezza informatica. “Nel nuovo panorama la preoccupazione per la possibilità di subire un attacco informatico si amplifica enormemente” spiega Aceti.
Who's Who
Alessio Aceti
Non solo: come conferma il fondatore dell’azienda con sede a Milano, per soddisfare le esigenze delle aziende in ambito industriale servono competenze estremamente specifiche.
Indice degli argomenti
Cosa cambia con la filosofia 4.0
La prima conseguenza di questa “mutazione” comporta un aumento esponenziale dei potenziali danni legati a un attacco informatico. Oltre ai costi legati al ripristino dei sistemi informatici e alle possibili ripercussioni sulla dimensione “virtuale” dell’azienda, si dovrebbero aggiungere infatti quelli che interessano le linee produttive, a rischio di blocco o danneggiamento a causa di un eventuale “effetto domino” provocato proprio dal legame tra IT e OT. La seconda, ancora più rilevante, riguarda l’aumento di quella che in gergo viene definita “superficie d’attacco”. Il tema, in questo caso, è riassunto nella sigla IoT (Internet of Things) con cui si indicano generalmente i dispositivi che vengono utilizzati per interfacciare la linea di produzione al sistema IT. Si tratta di controller e altri device “intelligenti” che, nell’ottica della cyber security, rappresentano altrettanti potenziali bersagli per i pirati informatici. Con un ulteriore elemento di complessità: a differenza di un normale PC, nella maggior parte dei casi non permettono di installare programmi antivirus. La loro protezione a livello di sicurezza informatica, quindi, richiede un approccio diverso. “Il tema della sicurezza in ambito industriale ha finalmente conquistato un ruolo di primo piano nelle strategie delle aziende -conferma Alessio Aceti-. Le imprese del settore richiedono strumenti specifici che consentano di rispondere a queste esigenze”.
La logica del SIEM
La soluzione per la cyber security in ambito industriale è riassumibile nel concetto di SIEM (Security Information and Event Management) e in una implementazione di un sistema di controllo che sia in grado di “coprire” tutta la potenziale superficie di attacco in un ecosistema complesso. I sistemi SIEM, che sfruttano tecnologie di machine learning e intelligenza artificiale, permettono infatti di monitorare tutto ciò che accade a livello della rete OT, raccogliendo i log di sistema, analizzandoli e mettendoli in correlazione tra loro per individuare eventuali attività anomale. Un compito estremamente complesso, che non può essere affidato a strumenti generici. “Un aspetto fondamentale della nostra attività riguarda l’analisi delle esigenze specifiche dell’azienda sulla base del settore di produzione” spiega Aceti. “Per garantire una difesa efficace serve un livello di personalizzazione estremamente elevato, che richiede un’intensa attività di scouting per individuare le soluzioni più adatte”. Gli strumenti di automazione e il contributo dell’AI, però, è solo una parte del sistema SIEM. La gestione delle informazioni classificate richiede infatti l’intervento di un team di sicurezza dedicato, che sia in grado di interpretare le informazioni e predisporre le necessarie contromisure in collaborazione con gli amministratori IT. Una risorsa che nella moderna declinazione del SIEM dedicato all’industria 4.0 non richiede la predisposizione di un’infrastruttura dedicata e i relativi investimenti, ma viene erogata attraverso la formula dei servizi gestiti, attraverso una parziale esternalizzazione della cyber security.
Verso una sicurezza a tutto tondo
Se questo è il presente, nel futuro prossimo la logica del SIEM è destinata ad ampliarsi. A confermarlo è il progetto ideato da Sababa Security in collaborazione con Iren e Università di Genova, selezionato per un finanziamento di 200.000 euro all’interno del bando pubblicato dal Centro di Competenza per la sicurezza e l’ottimizzazione delle infrastrutture strategiche Start 4.0. L’obiettivo è quello di creare un sistema di monitoraggio centralizzato della sicurezza informatica, fisica e dei sistemi IT/OT per le imprese industriali. La logica è quella di consolidare i tre aspetti, in modo che le informazioni sulla sicurezza informatica, quelle sulla sicurezza fisica (come la gestione degli accessi agli impianti o sistemi di riconoscimento automatico dell’identità) e quelle sui sistemi PLC e SCADA possano essere analizzati in mettendoli in relazione tra loro. L’analisi degli eventi, in pratica, è affidata a un complesso algoritmo di machine learning, che è in grado di individuare eventi anomali attraverso il confronto con le attività pregresse e regole predefinite. “Spesso gli indizi di un evento potenzialmente dannoso sono distribuiti in questi tre ambiti, ma analizzati singolarmente non sono significativi” spiega Alessio Aceti. “Attraverso l’implementazione di un sistema centralizzato è possibile correlare le informazioni e avere così una maggiore visibilità di ciò che accade nelle linee produttive”. Il nuovo sistema dovrebbe vedere la luce a metà 2021.