C’è un rischio concreto di cyber attacchi al manifatturiero italiano

Secondo David Grout, CTO EMEA di FireEye, la possibilità di cyber attacchi sponsorizzati da Stati stranieri contro installazioni OT italiane non è un’ipotesi fantascientifica, ma anzi piuttosto concreta.

Pubblicato il 10 Giu 2019

power-plant 2


La possibilità di cyber attacchi mirati, sponsorizzati da Stati stranieri, contro installazioni produttive italiane non è un’ipotesi fantascientifica, ma anzi piuttosto concreta. Anche se probabilmente riguarda principalmente quelle aziende che hanno installazioni in aree geopoliticamente a rischio. La pensa così David Grout, CTO EMEA di FireEye, azienda specializzata nella security basata su intelligence.

Grout è stato a Milano qualche giorno fa per parlare alla convention nella quale FireEye ha riunito tutti i suoi partner italiani. Con l’occasione, FireEye ha annunciato ufficialmente l’acquisizione di Verodin, azienda attiva nel segmento della Security Instrumentation. La piattaforma di Verodin aggiunge significative funzionalità al portfolio prodotti di FireEye, grazie all’identificazione dei punti critici di un ambiente di sicurezza dovuti a errori di configurazione dei sistemi IT, cambiamenti negli ambienti stessi, evoluzione delle tattiche degli attaccanti e altro ancora.

Quali sono i settori più colpiti da attacchi cyber? Secondo FireEye è soprattutto il settore finanziario a essere preso di mira, ma stanno aumentando gli attacchi verso altri attori, per esempio gli enti governativi.

Gli attacchi verso il dominio della produzione

Abbiamo approfittato della presenza di Grout, esperto di cyber-intelligence, per capire cosa c’è di concreto nelle informazioni, spesso allarmistiche, sui rischi per l’OT (operational technologies, il dominio della produzione) derivanti non da semplici cyber criminali, ma da organizzazioni collegate in qualche modo con governi stranieri, che sarebbero attive sia nel cyber spionaggio che nel cyber sabotaggio.

Nella sua presentazione, Grout ha distinto nettamente fra cyber criminali, dediti essenzialmente a pratiche di attacco che permettono di guadagnare rapidamente denaro – dall’estorsione con ransomware al furto di credenziali bancarie – e altri tipi di attaccanti con motivazioni più “politiche”: da una parte i cyber attivisti, ovvero gruppi che attaccano avversari politici o aziende individuate come “cattive” – per esempio per scarsa coscienza ecologista, o perché impegnate in ambiti delicati come gli studi sugli OGM; dall’altra gruppi di cyber spionaggio, molto spesso legati a entità governative, dediti principalmente al furto di segreti industriali, di tecnologie di processo, e in generale di proprietà intellettuale.

Fra le prede preferite di questi gruppi troviamo, ultimamente, anche le informazioni sui metodi di certificazione dei prodotti per raggiungere la conformità con i regolamenti europei e americani. Ma possono questi gruppi rappresentare un rischio per la sicurezza dell’OT in un Paese come il nostro, nel quale la cybersecurity in fabbrica è ancora una novità? Ecco cosa abbiamo chiesto a Grout.

Quattro domande a David Grout

Normalmente associamo gli attacchi cyber sponsorizzati da governi con aree geopolitiche problematiche come il Golfo Persico o l’Ucraina. Ma, realisticamente, qual è il livello di rischio per l’OT italiano? Qual è, per le imprese manifatturiere, la probabilità di essere attaccate in uno scenario di guerra cibernetica?

Vedo due principali rischi per l’OT italiano. In primo luogo c’è il fatto che le aziende italiane sono schierate in tutto il mondo e soprattutto in Medio Oriente per il settore energetico e potrebbero essere bersagliate da attacchi di governi ostili poiché fanno parte della geopolitica locale. Il secondo aspetto riguarda gli attacchi pandemici o opportunistici: il mercato OT italiano, come gli altri mercati OT europei, è esposto a rischi opportunistici e pandemici tra OT e IT, l’attacco “notpetya” è stato un esempio nel 2017.

Criminalità informatica o cyber-attivisti: chi rappresenta la minaccia più pericolosa per le aziende italiane, in particolare da un punto di vista OT?

Entrambi sono preoccupanti. Per quanto riguarda la criminalità informatica, i clienti del settore energia sono obiettivi interessanti per gli aggressori, potrebbero essere presi di mira da spear-phishing, estorsioni e altri tipi di attacco. Anche dal punto di vista dell’attivismo informatico, il settore OT è esposto, ma probabilmente meno dell’IT al giorno d’oggi.

È stato detto che qualsiasi accordo, trattato o iniziativa internazionale innesca in genere una reazione in termini di attività informatica. Il recente patto dell’Italia con la Cina, relativo alla partecipazione del nostro Paese al cosiddetto progetto “Via della seta” ha prodotto qualche tipo di attacco sponsorizzato dallo stato contro strutture italiane? È possibile che lo farà nel prossimo futuro?

Attualmente la Nato ha riconosciuto i contenuti dei progetto Tallin 2.0 come regole di ingaggio in caso di cyberattacco. Tuttavia, il cyberspazio non è ancora veramente regolato (il manuale di Tallin 2.0 non ha un formale valore giuridico, ndr). I gruppi legati allo Stato che operano dalla Cina sono piuttosto attivi attorno all’iniziativa Belt and Road (BRI), chiamata in Italia Via Della Seta. È sempre difficile prevedere il futuro ma possiamo certamente prevedere un aumento degli attacchi informatici provenienti da gruppi come APT40 in Italia. Ne parliamo sul sito FireEye in questo approfondimento.

Con la rivoluzione di industria 4.0, cresce l’uso di smartphone e tablet commerciali per il controllo remoto degli impianti di produzione. Stiamo sottovalutando i rischi posti da sistemi operativi portatili intrinsecamente insicuri? Gli aggressori possono infettare questi dispositivi per entrare negli impianti di produzione e da lì attaccare non solo l’OT, ma diffondersi nell’IT?

La sfida nel settore è sempre la stessa: aumentare la superficie di attacco introducendo nuovi dispositivi è un rischio, tuttavia le aziende devono continuare a innovare. Per limitare i potenziali rischi è importante che l’industria anticipi attraverso l’intelligence le strategie degli attaccanti, e riesca a comprendere tecniche, strumenti e procedure degli aggressori. Allo stesso tempo, bisogna essere in grado di valutare, misurare e adattare la propria struttura di sicurezza informatica. Questo è un fattore chiave per rendere l’adozione di industria 4.0 un successo.

Valuta la qualità di questo articolo

Z
Renzo Zonin
email Seguimi su

Articoli correlati

Articolo 1 di 4