Cybersecurity: «Strutture criminali organizzate»

Quali sono i principali rischi relativi al cyber crime che corrono le imprese del settore siderurgico?

L’industria siderurgica italiana, seconda per importanza in Europa, vale circa 60 miliardi, occupa circa 70,000 addetti diretti, che raddoppiano se si considera l’indotto. Un settore così avanzato fa uso della tecnologia informatica per tutti i processi chiave: per gestire il ciclo attivo, per programmare la produzione, per gestire gli impianti di produzione, per gestire il ciclo passivo, etc.

Come le imprese degli altri comparti manifatturieri, quelle dell’industria siderurgica corrono quindi il rischio di attacchi informatici a scopo di estorsione di denaro, il rischio di attacchi da parte di attivisti e il rischio di attacchi a scopo di danneggiamento da parte della concorrenza. In questo periodo di tensione tra Russia e Ucraina, che sta portando un inasprimento dei rapporti dell’Europa verso la Russia, non si possono escludere anche attacchi da parte di entità russe (anche in risposta alla cyber-war avviata da Anonymous contro enti e aziende russe).

Quali conseguenze potrebbero derivare, o sono già derivate, da cyber attacchi nei confronti delle aziende siderurgiche?

Un attacco informatico può bloccare l’intero sistema informatico di un’azienda. Gli attacchi sono sempre più sofisticati e sono in grado anche di danneggiare i backup esistenti (che non sono più su nastri, ma su dischi in qualche modo accessibili dalla rete aziendale). Senza sistema informatico non si possono gestire gli ordini dei clienti, non si può programmare la produzione, non si possono inviare gli ordini ai fornitori.

Un attacco può paralizzare l’azienda per diverse settimane, anche qualora si riescano a ripristinare i backup esistenti. Oltre a questi vi possono essere anche potenziali attacchi, molto più rari, per fortuna, agli impianti di produzione.

Esiste uno studio che metta in evidenza e quantifichi i rischi e le possibili conseguenze?

Esistono diversi studi, eseguiti da società di prodotti per la sicurezza, da enti di ricerca, da associazioni specializzate, da università, etc. Tutti mettono in evidenza la crescita esponenziale della criminalità informatica in tutti i settori. È importante tenersi aggiornati per capire quali attacchi sono svolti con maggior frequenza e quali sono le finalità.

Ad esempio, un “semplice“ attacco di phishing può portare all’esfiltrazione di credenziali di accesso dell’azienda (ad esempio quelle di una VPN per l’accesso remoto) con effetti drammatici, nel momento in cui queste credenziali vengono utilizzate per sferrare un attacco dall’interno. Erroneamente, infatti, si tende a proteggere bene il perimetro esterno (i.e. ciò che è esposto su Internet), mentre si ritiene che l’interno sia sicuro perché i dipendenti non sferrerebbero mai un attacco.

In questo modo si commettono due errori di valutazione: innanzitutto un attacco può essere svolto con la complicità di personale interno, in secondo luogo può essere svolto da un esterno che, avendo avuto accesso ad una credenziale della VPN, può “entrare” nella rete aziendale e agire esattamente come se fosse interno.

A vostro avviso ci sono delle criticità particolari che differenziano le imprese del settore da quelle che operano in altri comparti?

Non ritengo che ci siano cyber risk specifici per il settore siderurgico. I rischi sono quelli tipici del mondo manifatturiero. Uno dei fattori chiave della difesa è quella di mantenere sempre aggiornati i sistemi informatici. Infatti, man mano che i produttori scoprono delle vulnerabilità dei propri software, rilasciano patch (correzioni) pubblicando i dettagli delle vulnerabilità che sono state eliminate. In questo contesto è fondamentale procedere senza indugi all’installazione di tali patch per evitare che gli hacker sfruttino le vulnerabilità note.

Quando un software di base (tipicamente un sistema operativo) diventa obsoleto non viene più manutenuto dal produttore. In altre parole, non vengono più prodotte le patch e le vulnerabilità non vengono eliminate. In questo caso è fondamentale abbandonare tale software di base a favore di una versione recente (che tipicamente richiede in investimento anche di hardware, oltre che di software).

Nel manifatturiero, in generale, l’esistenza di software applicativo custom sviluppato da piccole aziende o internamente, oppure di software applicativi comunque fortemente personalizzati, comporta una difficoltà nell’adozione delle nuove versioni di software di base perché tali versioni potrebbero non garantire il funzionamento del software applicativo esistente. Questo “ritardo” di aggiornamento, che nella mia esperienza ho potuto misurare in anni, comporta un rischio notevole che ha avuto un ruolo rilevante in quasi tutti gli attacchi che ho analizzato.

Una delle particolarità dei cyber criminali è quella di modificare continuamente le proprie strategie. Esistono delle “difese” in grado di adeguarsi a questi mutamenti?

Dobbiamo prendere atto che gli hacker non sono più i goliardici ragazzi di un tempo che passavano i giorni e le notti per violare un unico sistema, ma sono strutture criminali organizzate che nella maggior parte dei casi non prendono di mira una singola azienda, ma provano ad attaccare le aziende di un settore (sono tipici, ad esempio, gli attacchi di attivisti in ambito sanitario o ambientale, oppure gli attacchi a carattere estorsivo ad aziende in buona salute, etc.).

Con tale presupposto potremmo dire che un’azienda con una buona difesa, anche se non perfetta, ha minori rischi di attacco di un’azienda non ben difesa. Infatti, è verosimile che l’hacker abbandoni velocemente l’idea di attaccare un’azienda ben difesa passando alla successiva nella sua lista, che magari gli dà meno problemi).

Le imprese puntano sempre di più sull’utilizzo dell’intelligenza artificiale: questo potrebbe essere un rischio aggiuntivo, inteso come possibile “cavallo di Troia” per i cyber criminali o potrebbe invece essere un elemento difensivo aggiuntivo?

In generale l’evoluzione tecnologica comporta esperienze nuove e, quindi, l’esposizione ad alcune incognite. Tra queste incognite vi possono essere nuove tipologie di attacco. L’intelligenza artificiale non sfugge a questa logica. Tuttavia, l’evoluzione tecnologica ci ha portato dove siamo oggi, in uno stato ben più avanzato del 1942, data in cui si ritiene essere stato messo in opera il primo computer.

Quindi anche l’intelligenza artificiale porterà miglioramenti ai quali non è corretto rinunciare per timore che possa essere attaccata. Del resto, la stessa intelligenza artificiale è oramai anche alla base dei sistemi di difesa degli attacchi (antivirus, firewall, intrusione detection/prevention systems, etc.).

Avete fatto delle proposte relative a possibili misure preventive da mettere in atto?

Per una protezione efficace innanzitutto è necessario capire cosa proteggere e quali sono le priorità. Deve essere garantito un totale allineamento tra responsabili del business e il responsabile della sicurezza delle informazioni. Quali sono gli obiettivi di business? Come saranno perseguiti? Quali sono gli stakeholder da tenere in considerazione? Qual è la struttura organizzativa della sicurezza e quali sono i ruoli? Qual è il processo di mappatura e di valutazione degli asset? Come vengono definite le strategie di sicurezza? Quindi si deve comprendere lo status della propria protezione.

Quando un rischio non è percepito si rischia, al suo accadimento, di non essere pronti. Provate a porvi le seguenti domande:

• Qual è la preparazione del personale informatico in merito alla sicurezza? E quella degli utenti?
• Avete individuato tutti gli asset informatici e per ciascuno di essi definito le adeguate misure di protezione?
• Da un punto di vista tecnico le misure di protezione sono adeguatamente applicate?
• I sistemi vengono mantenuti aggiornati e quelli non più supportati dai fornitori dismessi?
• Quali sono i processi di gestione della sicurezza?
• Sono svolte prove tecniche di vulnerabilità? E simulazione di attacchi phishing agli utenti?
• È stato previsto un processo di risposta agli incidenti? E di gestione della continuità operativa?
• Fate ricerche sul Darkweb / Deepweb per vedere se vi sono informazioni critiche relative alla vostra azienda (e.g. credenziali, etc.)?

Una volta identificato lo status delle proprie vulnerabilità è necessario definire un aspetto progettuale per la soluzione delle vulnerabilità. Tale approccio è usato anche per introdurre le misure di protezione aggiuntive rispetto a quelle esistenti. È necessario cercare di invertire il paradigma per cui chi attacca è favorito verso chi difende.

Ricordiamoci che i cyber criminali non sono più i nostalgici hacker che violano i sistemi per sfida. Sono invece soggetti molto pragmatici orientati a massimizzare i risultati. Se un target è ben difeso, anche se ritengono di poterlo violare dedicando un po’ di tempo, non esitano a cambiare target scegliendone uno meno difeso.

Talvolta il processo degli investimenti non è ben supportato da tecniche di gestione. Qual è il vostro processo di gestione del portfolio dei progetti? Dedicate il budget adeguato alla sicurezza? Qual è il processo di gestione dei progetti? Sono presenti project manager in azienda? Qual è il processo di valutazione dell’andamento di un progetto? Nella gestione della sicurezza il commitment dell’Alta Direzione è fondamentale. Qual è il processo di coinvolgimento dell’Alta Direzione? Qual è il processo di comunicazione e di reporting verso la stessa per segnalare lo status dei progetti sulla sicurezza, lo status della sicurezza e dei rischi?

Resta infine la gestione del sistema di monitoraggio del processo e dei sistemi. Sono stati definiti dei Key Performance Indicators e dei Key Risk Indicators? Sono definiti dei sistemi automatici di acquisizione del valore di tali indicatori? Sono definite le soglie, i sistemi di allarme ed i sistemi di reporting?

Intervista rilasciata a Siderweb