Confidentiality – Integrity – Availability nella Operation Technology in ottica Industria 4.0: parte seconda

Un sistema automatizzato di produzione gestito in Industria 4.0 ha necessariamente a disposizione una rete interna/esterna di gestione dei dati e del processo (ricetta di produzione, ciclo di gestione del magazzino, prove automatizzate, etc.). 

In Figura 3 è possibile capire la complessità di un sistema completo OT sviluppato in base ai moderni standards.

Figura 3: Esempio di sistema OT integrato

Questo vale dal semplice sensore che trasmette il dato alla Control Room fino alla gestione in remoto di una isola robotizzata, ove dal Server viene inviata la ricetta delle posizioni nuove per i vari robot dell’isola in base al nuovo componente da costruire (si pensi ad esempio ai robot di verniciatura in linea in una catena di produzione di componenti auto).

La ricetta o il valore del dato costituiscono il know-how dell’azienda, spesso sono proprio alla base del successo del dato processo. Così come per le persone fisiche (impiegati, addetti, managers, etc.) è d’obbligo la riservatezza, lo stesso impegno deve essere profuso per evitare il furto di dati depositati su Cloud, archivi locali, memorie distribuite nei vari punti della rete aziendale. Lo stesso vale per gli accessi: non tutti possono accedere a particolari luoghi ove si mantiene un segreto industriale, e lo stesso vale per chi vuole accedervi tramite la rete.

Allo stesso modo, anche il mantenimento della integrità sia del dato che della struttura che lo elabora e trasmette è fondamentale: cosa accadrebbe se il sensore andasse fuori calibrazione ed invece di leggere il corretto valore, leggesse un valore diverso? E se il robot applicasse una ricetta diversa sul componente in produzione? Nel primo caso potrebbe far fermare l’impianto se il valore inviato è sopra una certa soglia di warning o allarme. Nel secondo caso potrebbe imporre al robot di fare una manovra che vada a danneggiare il pezzo o il robot stesso. Esattamente come per qualsiasi errore umano.

Esiste però un terzo caso molto più subdolo per quanto riguarda l’integrità ed è il concetto di “integrità apparente”: Il sistema sotto attacco è sostanzialmente funzionante ma nel processo c’è un valore che in maniera spesso random viene alterato al fine di falsare il risultato finale del processo. Ad esempio, il collaudo in fine linea di produzione oltre ai propri scarti naturali, accuserà degli scarti dovuti a falsi segnali dati dai sensori e che verranno riconosciuti come scarto naturale.

Nella filiera di controllo nessuna informazione è relativa all’intervento del malware nascosto, ma intanto lo stesso ogni tanto da il suo contributo al totale dei pezzi scartati aggravando il costo aziendale in un continuo stillicidio. O viceversa, caso ancora peggiore, tale malware farà risultare in maniera random buono un pezzo che in realtà è scarto e quindi tale componente verrà immesso sul mercato!

Il terzo punto della triade si riferisce alla Disponibilità: sia il sistema che i dati devono essere disponibili, anche a seguito di un attacco. Nella regola di buona pratica il programma PLC o il sstema ICS (Industrial Control System) è già ridondante, così come tutte le parti critiche della rete. Ma la pratica basilare è la esecuzione di back-up di sistema fisico e organizzato in maniera “artigianale”: Mettere i dati su un hard-disk esterno che viene collegato giusto per tale scopo e poi sconnesso ed alternarlo con un secondo hard-disk è molto più efficiente nella fase di recovery che non un sistema costoso e per i ritmi richiesti di recovery spesso troppo macchinoso e lento.

Come proteggersi e con quali strategie

Da quanto discusso sopra, seppur la base di partenza è la C.I.A. e tale concetto deve essere chiaro nello sviluppo della rete OT, Una parallela triade deve essere preliminarmente predisposta e aggiornata con maggior impegno:

• Consapevolezza
• Conoscenza
• Contesto Operativo

Le prime due componenti si riferiscono al fattore umano: Se tutti gli operatori, a qualsiasi livello, agenti nel sistema OT non hanno consapevolezza e conoscenza della delicatezza della sicurezza cibernetica e dei rischi che si possono tramutare in minacce o attacchi, nessun sistema di protezione è in grado di proteggere realmente.

La base è a dir poco banale: ognuno di noi si chieda cosa accadrebbe se il PC che provo ad accendere non si avvia? Quali conseguenze nell’immediato? Quali a medio-lungo termine?

E se a non partire fosse il PC della linea di produzione? O il sistema intero di produzione o controllo qualità? Essere consapevoli di questo è la prima barriera contro possibili attacchi poichè innesca il meccanismo di autodifesa con la ricerca per conoscere come fare per proteggersi, applicarsi a realizzare le protezioni e aggiornarsi anche suggerendo o concordando insieme al responsabile IT, in base al contesto applicativo, quali siano i reali possibili rischi e magari quali potrebbero essere le possibili azioni di mitigazione.

Figura 4: Il Contesto Operativo di base di un sistema OT

Pur lasciando ai tecnici esperti la definizione della struttura OT e la gestione, la Policy di sicurezza aziendale deve essere tracciata dal proprio Board che deve coinvolgere e responsabilizzare.

Fatta la parte di “evangelizzazione”, i suggerimenti vengono spontanei dai vari attori e quindi si scopre che:

• Sensori Analogici che forniscono semplicemente il dato in formato analogico (ad esempio il classico 4-20 mA) o digitale (ma solo in uscita) senza possibilità di essere calibrati da remoto, sono molto più sicuri di sensori in logica IoT (Internet of Things).
• Sensori o sistemi in logica IoT sono molto performanti rispetto ai primi, ma occorre proteggerli tramite password dedicate e tutte le comunicazioni devono essere crittografate.
• Tutte le password di sensori e sistemi forniti di default dai fornitori devono essere cambiate già dal primo utilizzo.
• Ogni volta che si accede al sistema o al sensore specifico per cambio processo, calibrazione o manutenzione predittiva o accesso da remoto tramite linea esterna, occorre cambiare le impostazioni e password di sicurezza.
• Il processo di cui al punto 4, se automatizzato, deve essere mediante sistema interno all’azienda
• Un opportuno procedimento formalizzato di back-up, che sia fisico o su cloud o su più entità, deve essere implementato e verificato.

Da ultimo, ma che in realtà è l’anello debole di tutto quanto sopra e per questo motivo lo indichiamo come promemoria finale, il fattore umano (sia come possibile errore che come azione predeterminata) gioca un ruolo fondamentale nella sicurezza informatica e specialmente nel sistema OT poiché distribuito sia come IT network che fisicamente per tutte le fasi e dislocazioni produttive. L’Insider Threat deve essere opportunamente valutato e le possibili conseguenze previste e mitigate con un approccio formale e molto flessibile in base alle situazioni contingenti.

 

Alberto Monici, Alessandro Rugolo

Bibliografia

[1] Stuxnet Worm Attack on Iranian Nuclear Facilities (stanford.edu)

[2] https://www.nbcnews.com/tech/security/colonial-pipeline-paid-ransomware-hackers-5-million-u-s-official-n1267286

[3] https://www.mise.gov.it/index.php/it/incentivi/impresa/beni-strumentali-nuova-sabatini

[4] http://ijarcsse.com/Before_August_2017/docs/papers/Volume_4/1_January2014/V4I1-0528.pdf

[5] What is the CIA Triad? Defined, Explained, and Explored (forcepoint.com)

Social Engineering: perchè le aziende dovrebbero temerlo?

“La sicurezza informatica è difficile (forse anche impossibile), ma immagina per un momento di esserci riusciti. La crittografia potente viene applicata dove necessario, i protocolli di sicurezza svolgono le loro funzioni in modo impeccabile. Abbiamo sia hardware affidabile che software affidabile a nostra disposizione. Anche la rete su cui operiamo è completamente sicura. Meraviglioso!

Sfortunatamente, questo non è ancora abbastanza. Questo meraviglioso sistema può fare qualsiasi cosa di utile solo con la partecipazione degli utenti.

Le persone sono spesso l'anello debole di un sistema di misure di sicurezza, e sono loro che rendono costantemente inefficaci queste ultime.

In termini di sicurezza, la matematica è impeccabile, i computer sono vulnerabili, le reti sono pessime e le persone sono semplicemente disgustose.”

tratto da: "Secrets and Lies: Digital Security in a Networked World" , di Bruce Schneier.

L'informazione è uno dei beni più importanti di un'azienda.

Le informazioni possono costituire un segreto commerciale della società, ad esempio in circostanze esistenti o possibili possono servire per aumentare i ricavi, evitare spese ingiustificate o contribuire a mantenere una posizione dominante nel mercato di beni, lavori, servizi o apportare altri benefici commerciali all'azienda. Di conseguenza, tali informazioni devono essere protette.

Dal momento che le persone per lavorare si spostano potenzialmente in qualsiasi azienda, inevitabilmente sorge l'influenza del fattore umano su tutti i processi dell'organizzazione. Compreso il processo di protezione delle informazioni riservate.

Qualsiasi azione umana associata a una violazione del regime di sicurezza può essere suddivisa in due grandi categorie: intenzionali e non intenzionali.

Le azioni intenzionali includono il furto di informazioni da parte dei dipendenti, la modifica delle informazioni o la loro distruzione (sabotaggio). Quest'ultimo è un caso estremo e deve essere affrontato a posteriori, coinvolgendo gli organi di polizia.

Per azioni non intenzionali si intendono, per esempio, la perdita dei supporti di memorizzazione, la distruzione o il danneggiamento dei dati per negligenza. La persona in questo caso non si rende conto che le sue azioni portano a una violazione del regime del segreto commerciale.

Lo stesso vale per eventuali azioni involontarie compiute a vantaggio delle persone sbagliate, spesso indotte con l'inganno attraverso tecniche dette di "ingegneria sociale".

In molti casi un dipendente non si rende conto che le sue azioni possono comportare violazioni del regime del segreto industriale, ma allo stesso tempo chi glielo chiede sa chiaramente che sta violando il regime.

Tecniche di ingegneria sociale

Tutte le tecniche di ingegneria sociale si basano sulle peculiarità del processo decisionale umano.

Esistono varie tecniche e tipologie di ingegneria sociale:

- Il pretexting è un'azione elaborata secondo uno script prescritto (pretesto). Di conseguenza, il bersaglio (vittima) deve fornire determinate informazioni o eseguire una determinata azione. Questo tipo di attacco viene solitamente utilizzato per telefono. Il più delle volte, questa tecnica comporta niente più che semplici bugie e richiede alcune ricerche preliminari (ad esempio, la personalizzazione: scoprire il nome del dipendente, la sua posizione e i nomi dei progetti a cui sta lavorando) al fine di garantire la credibilità quando ci si presenta al bersaglio.

- Il phishing: una tecnica volta all'ottenimento fraudolento di informazioni riservate. In genere, l'attaccante invia al bersaglio un'e-mail, contraffatta da una lettera ufficiale - da una banca o da un sistema di pagamento - che richiede la "verifica" di determinate informazioni o l'esecuzione di determinate azioni. Questa lettera di solito contiene un link a una pagina web falsa, che imita quella ufficiale, con un logo e un contenuto aziendale, e contiene un modulo che richiede di inserire informazioni riservate, dal tuo indirizzo di casa al PIN della tua carta di credito.

- Troian horse: questa tecnica sfrutta la curiosità o l'avidità del bersaglio. L'aggressore invia un'e-mail contenente un allegato con un importante aggiornamento antivirus o anche nuove prove compromettenti contro un dipendente. Questa tecnica rimane efficace finché gli utenti fanno clic ciecamente su qualsiasi allegato.

- Road Apple: questo metodo di attacco è un adattamento di un cavallo di Troia e consiste nell'uso di supporti fisici. Un utente malintenzionato può posizionare un CD o una scheda di memoria, infatti, in un luogo in cui è possibile trovare facilmente il supporto (corridoio, ascensore, parcheggio). Il mezzo è forgiato come ufficiale ed è accompagnato da una firma progettata per suscitare curiosità.

Esempio: un utente malintenzionato può lanciare un CD con un logo aziendale e un collegamento al sito Web ufficiale dell'azienda di destinazione ed etichettarlo "stipendio dei dirigenti del primo trimestre 2010". Il disco può essere lasciato al piano dell'ascensore o nella hall. Un dipendente può inconsapevolmente prendere un disco e inserirlo in un computer per soddisfare la sua curiosità.

- Quid pro quo: un utente malintenzionato può chiamare un numero casuale dell'azienda e presentarsi come un dipendente dell'assistenza tecnica chiedendo se ci sono problemi tecnici. Se ce ne sono, nel processo di "risoluzione", il bersaglio immette comandi che consentono a un utente malintenzionato di lanciare software dannoso.

- Ingegneria sociale inversa.

L'obiettivo del social reverse engineering è far sì che l'obiettivo si rivolga all'aggressore per "aiuto". A tal fine, un utente malintenzionato può utilizzare le seguenti tecniche:

Sabotaggio: crea un problema reversibile sul computer della vittima.

Pubblicità: L'aggressore fa scivolare la vittima con un annuncio del tipo "Se hai problemi con il tuo computer, chiama questo numero" (questo riguarda principalmente i dipendenti che sono in viaggio d'affari o in vacanza).
Possiamo però limitare la percentuale di essere truffati e trafugare dati sensibili che potrebbero compromettere la nostra immagine e la nostra vita quotidiana. 

La difesa più basilare contro l'ingegneria sociale è attraverso l'istruzione. Perché chi è avvisato è armato. E l'ignoranza, a sua volta, non esonera dalla responsabilità. Tutti i dipendenti dell'azienda devono essere consapevoli dei pericoli della divulgazione di informazioni e di come prevenirla.

Inoltre, i dipendenti dell'azienda dovrebbero avere istruzioni chiare su come e su quali argomenti parlare con un generico interlocutore, quali informazioni devono ottenere da lui per un'accurata autenticazione dell'interlocutore.

Ecco alcune regole che potrebbero essere utili:

1. Tutte le password utente sono di proprietà dell'azienda. Va spiegato a tutti i dipendenti il giorno dell'assunzione che le password loro fornite non possono essere utilizzate per nessun altro scopo, ad esempio per l'autorizzazione sui siti Internet (è noto che è difficile per una persona mantenere in attenzione a tutte le password e codici di accesso, quindi usa spesso la stessa password per situazioni diverse).

Come si può sfruttare tale vulnerabilità nell'ingegneria sociale? Supponiamo che un dipendente dell'azienda sia vittima di phishing. Di conseguenza, la sua password su un determinato sito Internet è diventata nota a terzi. Se questa password corrisponde a quella utilizzata nell'azienda, esiste una potenziale minaccia alla sicurezza per l'azienda stessa.

In linea di principio, non è nemmeno necessario che un dipendente dell'azienda diventi vittima di phishing. Non ci sono garanzie che il livello di sicurezza richiesto sia osservato sui siti in cui si accede. Quindi c'è sempre una potenziale minaccia.

2. Tutto il personale dovrebbe essere istruito su come trattare con i visitatori. Sono necessarie regole chiare per stabilire l'identità del visitatore e del suo accompagnatore. Un visitatore dovrebbe sempre essere accompagnato da qualcuno dell'azienda. Se un dipendente dell'azienda incontra un visitatore che si aggira da solo per l'edificio, allora deve avere le istruzioni necessarie per scoprire correttamente a quale scopo si trovava il visitatore in questa parte dell'edificio e dove si trova la sua scorta.

3. Dovrebbe esserci una regola per la corretta divulgazione delle sole informazioni realmente necessarie per telefono e di persona, nonché una procedura per verificare se chi richiede qualcosa è un vero dipendente dell'azienda. Non è un segreto che la maggior parte delle informazioni viene ottenuta da un utente malintenzionato durante la comunicazione diretta con i dipendenti dell'azienda. Dobbiamo anche tenere conto del fatto che nelle grandi aziende i dipendenti potrebbero non conoscersi, quindi un utente malintenzionato può facilmente fingere di essere un dipendente che ha bisogno di aiuto.

Tutte le misure descritte sono abbastanza semplici da attuare, ma la maggior parte dei dipendenti dimentica queste misure e il livello di responsabilità che viene loro assegnato quando firmano gli obblighi di non divulgazione. 

Così l'azienda spende enormi risorse finanziarie per garantire la sicurezza delle informazioni con mezzi tecnici che purtroppo possono essere facilmente aggirati se i dipendenti non adottano misure per contrastare gli ingegneri sociali e se i servizi di sicurezza non controllano periodicamente il personale aziendale.

Andrea Filippo Mongelli

DIVERSITY & INCLUSION: LA CYBER-TUTELA DELLE FASCE DEBOLI

Nella valutazione del rischio cibernetico, la considerazione di una larga fetta di vulnerabilità si fonda su evidenze e studi di natura vittimologica. Le organizzazioni e le Autorità, infatti, nel mitigare i rischi inerenti la sicurezza informatica e la protezione cibernetica, oltre a soppesare la eventualità di disfunzioni di tipo elettronico, fisico ed ambientale, hanno da considerare anche le debolezze che - inevitabilmente - il fattore umano introduce in qualsiasi sistema informativo.

In questo senso, la valutazione di impatto della componente umana comporta la considerazione di tre aspetti: il divario digitale, cioè la carenza generalizzata di competenze informatiche tra la popolazione; la minaccia interna, cioè l’evidenza criminologica di dipendenti infedeli o non collaborativi; la fragilità digitale, cioè la realtà di persone con condizioni di debolezza psico-fisica - età, salute, capacità cognitive - che non permettono un accesso equivalente alla tecnologia.

Sui primi due aspetti non mi soffermo in questa sede. Accenno soltanto che sul “digital divide” - da mitigare investendo in programmi strutturati di alfabetizzazione digitale - il nostro Paese si è dato l'obiettivo strategico di colmare il gap di competenze informatiche entro il 2026, rendendo digitalmente abile per quella data almeno il 70% della popolazione. Sul fronte, invece, della tematica dell'inaffidabilità personale, l’esperienza consiglia l’implementazione di programmi di insider threat prevention & response, tipicamente basati su approcci e risorse di intelligence.

La terza considerazione, invece, è relativa alla minaccia asimmetrica portata da cyber-criminali verso tre specifiche fasce di popolazione: gli anziani, generalmente carenti di conoscenze informatiche ed affetti da problemi geriatrici che riducono le performance cognitive ed aumentano le difficoltà di memorizzazione; i bambini, naturalmente limitati nel comprendere concetti astratti, con comprensibili problemi nella lettura dei testi e limitate capacità cognitive e di controllo corporeo (ad esempio nella gestione del mouse); i disabili, con deficit visivi, daltonismi oppure con disabilità cognitive o motorie.

Per ciascuna delle categorie individuate, esistono studi di settore che, muovendo dalla considerazione delle fisiologie e delle patologie costituenti impedimento o rallentamento, suggeriscono le soluzioni assistive oppure immersive più utili per abbattere le relative barriera di accesso.

Sul fronte della tecnologia, ad esempio, uno studio apparso sul Journal of Computer Science ha preso in esame un campione di anziani, uno di bambini dai 3 agli 8 anni ed un gruppo di disabili. Sottoponendoli ad interviste finalizzate ad individuare le difficoltà ad interagire con i software, l’analisi è pervenuta ad individuare le linee programmatiche di sviluppo di nuove interfacce utente che assicurino maggiore accessibilità e inclusione e, dunque - aggiungo io - maggiore sicurezza in rete. E’ emerso ad esempio che gli anziani potrebbero meglio padroneggiare la tecnologia, se si limitasse la terminologia informatica e si riducesse l’ingombro di informazioni sugli schermi; i bambini potrebbero meglio interagire coi software, qualora si diminuisse la complessità informativa e si eliminassero i testi, sostituendoli con disegni e foto; ed infine i disabili potrebbero meglio relazionarsi coi dispositivi elettronici grazie all’utilizzo di soluzioni di riconoscimento testuale e di sintesi vocale, oppure ancora di traduzione in braille del testo che appare sullo schermo. Altri studi, più focalizzati sulle tecniche di interfaccia utente, hanno permesso di ipotizzare l’utilizzo di tecniche già note in ambito militare e medico-chirurgico, come la augmented reality - tecnologia che permette l’arricchimento della percezione umana - o delle metodiche di virtual reality che consentono la simulazione digitale della realtà.

Sul fronte invece di chi fornisce assistenza - tipicamente i caregiver e le famiglie - sono state evidenziate alcune suggestioni di natura socio-culturale. Ad esempio, specificamente per i più piccoli, è di interesse particolare uno studio del National Institute of Standards and Technology che ha sondato le conoscenze e le prassi di un campione di bambini in età scolare. Le risultanze hanno fatto emergere che i bimbi esaminati - generalmente adusi ad effettuare i log-in sui computer di scuola o di casa e dunque già in possesso di buone competenze di igiene digitale - hanno dimostrato però idee non chiare sulla funzione della password, confondendo i concetti di autenticazione con quello di protezione delle credenziali di accesso (password security), piuttosto che tra il diritto alla riservatezza (privacy) ed il diritto alla sicurezza della navigazione on-line (safety). La maggior parte degli scolari, ad esempio, ha affermato che la password "è importante perché ci salva la vita”: ciò ha ingenerato nei ricercatori la convinzione che sarebbe in atto un approccio educativo fondato sulla paura che - creando modelli mentali inaccurati - comprometterebbe alla lunga lo sviluppo in età adulta di adeguate competenze di autotutela cibernetica. Al contrario, altri studi in tema di "human-centred security" hanno acclarato quanto siano più efficaci nel lungo periodo gli approcci formativi basati su creatività e fiducia, piuttosto che quelli fondati sul timore di conseguenze nefaste.

Insomma, la comunità scientifica ha le idee piuttosto chiare sulle soluzioni tecniche, pedagogiche e organizzative necessarie per rendere più robusta la difesa in rete dei fragili digitali.

Il problema, però, è che nella pratica non si tengono ancora in debito conto le necessità della fascia di popolazione in esame: il web ed i software di computer, tablet e smartphone sono sviluppati per esaltarne l’usabilità generale, intesa come la capacità di massimizzare la soddisfazione, l’efficacia e l’efficienza dell’esperienza dell’utente medio. Di contro, la sicurezza cibernetica di chi è più debole in rete deve far leva su due altre caratteristiche che si possono ottenere a scapito della usabilità generale e cioè: l'accessibilità, intesa come la possibilità del disabile di riuscire comunque, in modo equivalente, a percepire, comprendere, navigare ed interagire con gli applicativi, nonché di contribuire (per il loro tramite) in modo equo e senza barriere; l’inclusività, definibile come la capacità dei programmi informatici di assicurare il massimo coinvolgimento possibile per chiunque.

Insomma, la soluzione del problema passa per approcci socio-economici e culturali che assicurino un corretto bilanciamento tra usabilità, accessibilità ed inclusività della tecnologia.

Non è solo un problema di equità sociale. E’ un fattore strategico di sicurezza: la possibilità che gli utenti con fragilità digitale - sotto questo aspetto, l’anello più debole della catena - siano nelle condizioni di difendersi in rete, nonché di riconoscere e segnalare incidenti, pericoli e preoccupazioni, garantisce un dominio cibernetico più sicuro per tutti! 

Orazio Danilo Russo

Per approfondire:

https://www.helpage.it/?s=anziani+divario+digitale 

https://innovazione.gov.it/notizie/articoli/competenze-digitali/ 

https://www.w3.org/WAI/fundamentals/accessibility-usability-inclusion/ 

https://csrc.nist.gov/publications/detail/conference-paper/2019/02/24/exploring-children’s-password-knowledge-and-practices 

https://www.researchgate.net/publication/277589616_A_review_on_user_interface_design_principles_to_increase_software_usability_for_users_with_less_computer_literacy 

https://www.wsj.com/articles/why-companies-should-stop-scaring-employees-about-cybersecurity-11607364000?page=1 

---

Confidentiality – Integrity – Availability nella Operation Technology in ottica Industria 4.0: parte prima

Con questo studio vogliamo invitarvi a conoscere meglio il mondo della Operational Technology (O.T.) con riferimento specifico alla cybersecurity. 

Lo studio è suddiviso in due articoli. Il primo comprende una breve introduzione sull'importanza della gestione dei dati nel processo aziendale, per passare a descrivere i Processi industriali nell’industria 4.0. 

Nel paragrafo Il Concetto C.I.A. dalla Cyber security al processo industriale entriamo nel cuore della materia descrivendo le relazioni tra Confidentiality, Integrity e Availability.

Nel secondo articolo passiamo in arssegna degli esempi di attacco a sistemi OT e le possibili conseguenze. Infine alcuni consigli sulle strategie da seguire per proteggersi.

Senza voler essere esaustivi, speriamo però che questo lavoro di sintesi possa essere utile per chi si avvicina alla cybersecurity del mondo Industria 4.0. 

Buona lettura.

Introduzione

Nel processo industriale la gestione dei dati forniti dai vari sensori è fondamentale per il controllo del processo stesso, per prevedere attività manutentive in logica predittiva e per poter stabilire la qualità del prodotto finale.

Il dato fornito dal singolo sensore quindi non è soltanto un numero ma è lo spunto per un insieme di analisi che coinvolgono tutto il processo aziendale, dalla manutenzione alla qualità al processo stesso di vendita fino alla proprietà intellettuale.

Se in passato il sensore era costituito da un sistema meccanico a lancetta o digitale “stand-alone”, in cui quanto sopra veniva gestito principalmente dall’uomo grazie alle sue specifiche competenze, oggi il dato viaggia in rete, può essere elaborato e condiviso, può essere di aiuto ad una attività di controllo in remoto così come ad una manutenzione predittiva e può in conclusione aiutare il processo gestionale e decisionale dell’azienda. Questa evoluzione oggi si chiama Industria 4.0 e connessa ad essa sono anche processi aziendali di miglioramento e digitalizzazione, aiutati anche da fondi pubblici. Nella Fig. 1 viene illustrata in linea temporale l’evoluzione discussa sopra.

Figura 1: Evoluzione del concetto di Industria, e di pari passo di gestione del dato

(fonte: Wikipedia)

Ma, come tutto in rete può essere teoricamente violabile, lo è anche il singolo sensore o trasduttore dell’impianto? La rete OT (Operation Technology) quanto si può considerare sicura? Qual è il livello di sicurezza richiesto dagli standards attuali e come prepararsi alle evoluzioni future?

Se in passato ci è capitato di vedere sensori di pressione che indicavano un valore appositamente errato per proteggere il valore vero e quindi la proprietà intellettuale del processo a cui il sensore era dedicato, tale logica oggi ha ancora senso in un sistema gestibile da remoto?

Cosa ci ha insegnato il caso del virus Stuxnet [1] o il ransomware che ha bloccato il sistema di gestione della Colonial Pipeline [2] ? Senza arrivare a tali casi, vogliamo in questa breve trattazione indicare gli elementi base di una strategia di protezione che, al di fuori delle proposte di mercato, possa essere da guida per un corretto impiego della tecnologia disponibile. Un esempio applicativo servirà di aiuto alla comprensione dei concetti trattati e delle fasi di Early Warning e Incident Response.

Processi industriali nell’industria 4.0

Il termine Industria 4.0 indica un insieme di azioni migliorative dell’intero processo aziendale mediante l’applicazione di strumenti e concetti all’avanguardia facenti parte di un pacchetto individuato dalla Comunità Europea con il termine “Tecnologie Abilitanti”. In breve tali tecnologie sono di seguito elencate:

• Advanced manufacturing solution: tutte le tecnologie di produzione avanzata, inclusa lo robotizzazione e la logistica automatizzata
• Additive manufacturing: Utilizzo e sviluppo di sistemi di produzione mediante stampa 3D e con impiego di materiali di varia natura in settori high-tech.
• Realtà aumentata: sistemi di simulazione 3D e ambienti con realtà aumentata per aiutare gli operatori a svolgere il proprio lavoro con aumento della sicurezza e riduzione di errori.
• Simulazioni: Simulazione della interazione tra meccanismi diversi volta alla integrazione
• Integrazione orizzontale e verticale: Integrazione orizzontale e verticale tra i vari componenti del processo produttivo per incrementare sicurezza, affidabilità e produttività.
• Industrial internet: utilizzo della rete internet per comunicazioni sicure sia interne che esterne.
• Cloud: implementazione di tutte le tecnologie di archiviazione e gestione/analisi mediante l’uso del cloud computing,
• Sicurezza informatica: Dai due punti precedenti è naturale la necessità di aumento della sicurezza dei dati.
• Big Data Analytics: Gestione di grandi quantità di dati attraverso sistemi aperti che permettono previsioni o predizioni.

Tutto quanto sopra fa parte del bagaglio tecnologico che l’azienda deve necessariamente avere per poter essere competitiva sul mercato. 

La conseguente necessità di nuovi investimenti va di pari passo con la accresciuta esposizione dei dati aziendali a possibili attacchi esterni. Le medie e grandi aziende stanno affrontando in maniera strutturata le proprie aree critiche e investendo in personale e sistemi di protezione, aiutati anche da varie iniziative pubbliche sia nazionali che internazionali, quale Legge Sabbatini [3] o appunto Industry 4.0.

Il problema per le piccole aziende è fondamentalmente di approccio al sistema, mancando ad oggi una diffusa cultura di base sulla sicurezza informatica, spesso risolta con un antivirus installato sul PC o sul server e un consulente esterno.

Purtroppo a livello di Cyber Security la lotta è impari: i tempi di attacco vero e proprio di un criminale in rete sono  molto più rapidi della evoluzione degli antivirus o dell’intervento del tecnico. Prima di un qualsivoglia intervento, un hacker ha avuto tutto il tempo per organizzare l’attacco, mentre chi deve difendere il proprio sistema generalmente si trova a dover rispondere e recuperare in tempi rapidissimi. Il danno che con alcune tipologie di attacco si può causare ad un processo produttivo in ambito OT è esponenziale rispetto al semplice furto di dati aziendali fatti con una mail o il blocco del PC di casa.

Il rischio di un attacco al sistema OT va dal blocco della produzione alla rottura di parti di impianto fino alla distruzione dell’impianto stesso e dell’intero ciclo produttivo con possibili conseguenze anche ambientali e sul territorio.

I due casi citati nell’introduzione (Stuxnet e Colonial Pipeline) sono eclatanti e infatti hanno avuto risonanza mondiale: attacchi di tale tipo sono realmente difficili da contrastare. Ma nell’approcciarsi allo sviluppo e mantenimento del sistema OT, la componente di sicurezza informatica deve essere fondamentale e sempre presente in tutte le singole azioni di tutti i singoli attori e una necessaria cultura della sicurezza deve essere di base per favorire l’armonico sviluppo del concetto di Industria 4.0. Non bisogna intendere in maniera pessimistica gli eventi citati pensando che “…se sono riusciti a penetrare una centrale nucleare o un sistema strategico di distribuzione nazionale, qualunque azione io faccia non ha sicuramente efficacia” così come non è pensabile ed attuale il detto “Un PC è sicuro se non è collegato in rete”. Occorre invece una maggior consapevolezza dei rischi, una attenta valutazione delle possibili specifiche conseguenze e quindi le necessarie azioni di contrasto, recovery e mitigazione. In questo ci viene d’aiuto la ricerca finora fatta in ambito Cyber Security, i cui elementi di base dovrebbero essere conosciuti e applicati spontaneamente come una qualsiasi elaborazione del sistema OT durante la sua operatività.

Il Concetto C.I.A. dalla Cyber security del processo industriale

Lo sviluppo della sicurezza informatica è andato di pari passo allo sviluppo tecnologico sia delle tecniche di attacco che di difesa. Se solo negli ultimi anni è diventato argomento comune di discussione, storicamente la necessità di sottrarre/manipolare informazioni e la conseguente possibile difesa ha radici molto remote (i codici e la crittografia sono praticamente nati fin dall’epoca dei Babilonesi se non prima). Una presentazione dello sviluppo negli ultimi decenni della sicurezza informatica si può trovare in [4].

Uno dei concetti di base, valido in realtà in tutti gli ambiti della gestione delle informazioni, che è stato sviluppato e dovrebbe essere il punto di partenza di qualsiasi sistema informativo volto alla gestione in sicurezza del dato, è la triade C.I.A. [5], acronimo che in inglese viene esplicitato come: Confidentiality – Integrity – Availability

Figura 2: La Triade C.I.A.

Ovvero in Italiano: Riservatezza – Integrità – Disponibilità.

L’insieme delle tre azioni rappresentano la base della sicurezza informatica, a tutti i livelli e con i necessari specifici sviluppi in base a cosa e quanto occorre mettere in sicurezza.

Tale triade trova però nella OT e nei processi industriali una delle sue migliori espressioni: Nessun processo industriale può permettersi di essere a disposizione di tutti (mancata riservatezza), con possibili variazioni introdotte in maniera malevola o anche semplicemente inconsapevole (mancata integrità) e non disponibile.

Un processo industriale che non ha di base tale triade è potenzialmente un processo non solo a rischio per l’azienda ma per la stessa comunità: si pensi a cosa accadrebbe se un virus potesse manipolare un sistema di aumento incontrollato della pressione di un serbatoio di gas o intervenisse sul sistema di filtraggio prima dell’immissione in atmosfera di vapori di processo!

Sviluppiamo in logica C.I.A. le tre componenti in maniera da renderle esplicite in un sistema OT.

Se il Sistema OT è inteso come l’Operation Technology alla base del sistema produttivo e gestionale dell’azienda ed è pensato in logica Industria 4.0, la prima preoccupazione deve essere sul modello di implementazione della C.I.A. in tutti i suoi aspetti. La seconda preoccupazione deve essere la costante analisi, revisione e riverifica della C.I.A. in tutte le sue componenti. La terza preoccupazione è… non deve passar giorno senza che sia stato fatto e riverificato puntualmente quanto sopra.

Ma perché la triade è più importante in un sistema OT rispetto ad un normale sistema informativo aziendale?

Ne parleremo nel prossimo articolo.

Alberto Monici, Alessandro Rugolo

Bibliografia

[1] Stuxnet Worm Attack on Iranian Nuclear Facilities (stanford.edu)

[2] https://www.nbcnews.com/tech/security/colonial-pipeline-paid-ransomware-hackers-5-million-u-s-official-n1267286

[3] https://www.mise.gov.it/index.php/it/incentivi/impresa/beni-strumentali-nuova-sabatini

[4] http://ijarcsse.com/Before_August_2017/docs/papers/Volume_4/1_January2014/V4I1-0528.pdf

[5] What is the CIA Triad? Defined, Explained, and Explored (forcepoint.com)

Sicurezza e DevOps: cosa vuol dire "shift left" ?

Nel documento DBIR (Data Breach Investigations Report) 2021 rilasciato in Maggio da Verizon si analizzano le investigazioni su incidenti e data breach informatici del difficile anno appena trascorso.

Tra le diverse evidenze identificate nelle cause di incidenti e di perdite dati, una colpisce sia per la ricorrenza in entrambe le categorie che per la posizione in classifica – al secondo posto per importanza: gli attacchi alle applicazioni web.

La combinazione tra trasformazione digitale delle aziende e l’emergenza pandemica hanno caratterizzato importanti cambiamenti, che recentemente hanno enormemente amplificato l’utilizzo di applicazioni web per larga parte della produttività personale e professionale.

Figura 1 - Classifica delle cause di incidenti e compromissioni

- Fonte: Verizon DBIR 2021

Da un lato il tanto deprecato "lavoro da casa" si è in realtà rivelato un'eccellente soluzione, che ha contribuito a mitigare la devastazione che diversamente avrebbe colpito l'operatività delle aziende in modo importante.

Aziende che sia nei dirigenti che nei dipendenti hanno mostrato una creatività notevole nonostante note problematiche infrastrutturali ed operative.

Dall’altro si è assistito ad un aumento esponenziale della superficie di attacco esposta e dei conseguenti rischi di compromissione.

Il consorzio Open Web Application Security Project (OWASP) manutiene una lista di 10 categorie di vulnerabilità gravi sulle web application, in modo da permettere ai team di security di intervenire nel loro controllo.

Il problema rimane nella scarsa attenzione ad un’igiene digitale preventiva e a controlli applicati solo quando l’applicazione è pubblicata in Internet, quindi raggiungibile sia da utenti legittimi che – purtroppo – da cybercriminali.

Altra causa di debolezza degli applicativi web sta negli intervalli molto ampi – a volte anche di semestri o più – con cui sono eseguite verifiche per la presenza di vulnerabilità.

È necessario aumentare il livello di maturità di aziende e organizzazioni nei confronti di questa igiene digitale mancante, con un’azione spesso definita come shift left security.

Per capire meglio l’idea va analizzato il processo con cui sono sviluppate, verificate ed infine pubblicate le applicazioni web, secondo i dettami della metodologia agile che prevede Continous Integration, Continuous Delivery/Deployment (CI/CD).

Spesso rappresentato come un ciclo che ricorda la forma dell’infinito matematico, il flusso operativo di integrazione ed implementazione continua viene frequentemente sintetizzato con il termine DevOps – ad indicare la stretta collaborazione tra il team di sviluppo (Dev) ed il team di gestione operativa (Ops).

Figura 2 - Illustrazione del Ciclo DevOps

La domanda importante a questo punto diventa: dove inserire i controlli di sicurezza, per evitare che le vulnerabilità – quindi i potenziali vettori di attacco – siano scoperti quando l’applicazione è visibile e raggiungibile da chiunque?

Ecco l’idea alla base di “Shift Left Security”.

Quando un’organizzazione implementa il paradigma DevOps, spesso il processo prevede l’adozione di piattaforme software che agevolino la transizione tra le varie fasi del ciclo.

Esempi di queste piattaforme sono Jenkins, Bamboo, TeamCity, etc.

Figura 3 - Esempio di istruzioni nella fase Build

La logica utilizzata prevede di gestire i vari momenti, quali recupero del codice dal repository centralizzato (es. GitHub), eseguire le istruzioni per compilare l’applicazione (fase di build), eseguire azioni prima o dopo la fase di build (es. trasferire il semilavorato in un altro ambiente o eseguire il compilato).

La maggior parte di queste piattaforme sono strutturate in modo aperto, supportando plug-in software che permettano di espandere le funzioni di base previste dalla piattaforma.

Proprio grazie a questi plug-in è possibile integrare controlli di sicurezza automatici, in modo che intervengano nei passaggi tra una fase e la successiva.

A seconda dei plug-in utilizzati è addirittura possibile impostare dei criteri di sicurezza, in base ai quali la fase di build possa concludersi con successo o con errore.

Figura 4 - Esempio di definizione criteri di sicurezza con plugin

Ad esempio, definire che in presenza di vulnerabilità software oltre una certa soglia numerica o di criticità il progresso lungo la pipeline non debba essere possibile.Altre opzioni di configurazione dei plug-in permettono di esporre gli errori e le problematiche di security direttamente nella schermata visibile agli sviluppatori, in modo da renderli autonomi nella risoluzione del problema.

In questo modo i controlli di sicurezza si spostano sempre più verso l’origine, garantendo una miglior resilienza dell’applicazione quando finalmente verrà promossa in produzione e mitigando il rischio di attacchi informatici.

La tecnica dello “shift left” non riguarda soltanto le pipeline di produzione delle applicazioni web, ma viene spesso adottata per implementare lo stesso livello di agilità in ambiti quali container applicativi, formazione risorse cloud, immagini di server e client, infrastruttura.

Si tratta, in sostanza, di una crescita nella maturità del programma di sicurezza di un’organizzazione che riesce a combinare in modo efficiente agilità, velocità operativa ed efficacia nei controlli di sicurezza.

Marco Rottigni