9 marzo 2022 Translated by Deepl
Inizia oggi un nuovo ciclo di articoli di approfondimento che siderweb ha deciso di dedicare a una problematica specifica con la quale si devono confrontare anche le aziende della filiera siderurgica: la cybersecurity.
Visto il crescente e sempre più pericoloso “interesse”(alla luce anche del conflitto Russia Ucraina; ndr) che i criminali informatici stanno riservando a queste aziende, molte delle quali stanno marciando spedite lungo la strada che porta a un’automazione sempre più spinta e ad un utilizzo massiccio delle tecnologie più avanzate, si è pensato di provare a comprendere quali possono essere i rischi più gravi e le strategie di difesa e protezione che possono essere messe in atto.
Il primo interlocutore di siderweb è stato Marco Di Costanzo (nella foto di testa), Security Researcher Industrial Control Systems Cyber Emergency Response Team di Kaspersky, azienda di sicurezza informatica e digital privacy che opera a livello globale.
Quali sono i principali rischi relativi al cyber crime che corrono le imprese del settore siderurgico?
Le imprese siderurgiche sono potenzialmente esposte a diversi fattori di rischio. Innanzitutto, un rischio elevato può essere rappresentato dai sistemi vulnerabili, in quanto non adeguatamente aggiornati, o politiche di sicurezza insufficienti che potrebbero attirare criminali informatici. Inoltre le acciaierie, in quanto infrastrutture critiche, potrebbero essere bersagli di hacker informatici sponsorizzati dallo Stato.
Altri attori informatici che mirano al danneggiamento della produzione industriale potrebbero essere gli attivisti ambientali mossi da ragioni legate all’impatto che tali imprese possono avere sull’ambiente. Infine, da non sottovalutare sono le minacce interne causate da dipendenti malintenzionati o da personale non sufficientemente formato in materia di cybersecurity, i quali potrebbero rivelare informazioni sensibili.
Quali conseguenze potrebbero derivare, o sono già derivate, da cyber attacchi nei confronti delle aziende siderurgiche?
Come abbiamo potuto osservare negli ultimi anni, diverse aziende siderurgiche sono state oggetto di attacchi informatici. Nell’ultimo periodo la principale conseguenza è stata l’interruzione delle operazioni di produzione attraverso attacchi ransomware che cripta i dati rendendoli quindi indisponibili. Un attacco di questo tipo può provocare disagi operativi a ogni livello.
Esiste uno studio che metta in evidenza e quantifichi i rischi e le possibili conseguenze?
Sì, periodicamente Kaspersky pubblica report di riepilogo al fine di fornire una panoramica degli attacchi osservati verso le organizzazioni industriali e le infrastrutture critiche.
Questi studi (due possono essere consultati cliccando qui e qui) mostrano le tendenze nel mutevole panorama delle minacce informatiche, mediante l’analisi di tutti gli attacchi avvenuti negli ultimi mesi, fornendo dettagli sulle tecniche, tattiche e procedure utilizzate e l’evoluzione delle stesse. Tali analisi consentono la quantificazione dei rischi e le potenziali conseguenze che ne derivano.
A vostro avviso ci sono delle criticità particolari che differenziano le imprese del settore da quelle che operano in altri comparti?
I rischi delle imprese siderurgiche hanno sicuramente un impatto molto elevato, in quanto un attacco cyber può avere conseguenze diverse a vari livelli, sulla base del reparto interno bersaglio dell’attacco. Data la natura di uno stabilimento di produzione, avente sistemi di controllo industriale, i danni derivanti possono essere molto più pericolosi rispetto a qualsiasi altra impresa operante su un diverso settore.
Infatti, i possibili esiti possono passare da una più comune esfiltrazione di dati, a conseguenze più complesse, quali la compromissione di sistemi ICS o scada che potrebbero condurre a un malfunzionamento dei sistemi di produzione, comportando nei casi più estremi esplosioni, con conseguenti danni all’uomo.
Una delle particolarità dei cyber criminali è quella di modificare continuamente le proprie strategie. Esistono delle “difese” in grado di adeguarsi a questi mutamenti?
Esistono diversi modi per difendersi dai possibili attacchi dei cyber criminali. Nonostante le strategie dei cyber criminali siano sempre in continuano evoluzione, le stesse seguono tendenzialmente un modus operandi comune. Per questo si rivela sicuramente utile dotarsi di difese su diversi livelli: non solo nei sistemi IT, ma anche apparati di sicurezza nei sistemi industriali, in modo tale da riuscire a prevenire attacchi sempre più sofisticati.
Le imprese puntano sempre di più sull’utilizzo dell’Intelligenza Artificiale: questo potrebbe essere un rischio aggiuntivo, inteso come possibile “cavallo di Troia” per i cyber criminali o potrebbe invece essere un elemento difensivo aggiuntivo?
L’Intelligenza Artificiale così come il suo principale componente, il Machine Learning, applicati alla sicurezza informatica, hanno sicuramente una funzione di supporto molto importante in quanto ci permettono di analizzare automaticamente una mole di dati altrimenti impossibile agli esseri umani per arrivare a identificare le altre 380mila varianti di software nocivi noti.
La cattiva notizia però è che questi sistemi vengono usati anche dai criminali informatici per scopi non propriamente leciti. Inoltre, l’impiego del Machine-learning in vari settori ha mostrato le contraddizioni che derivano dall’utilizzo di algoritmi che possono operare scelte opinabili e discriminatorie e, in alcuni casi, condurre anche a risultati viziati come feedback loop, correlazioni causa-effetto non veritiere e sistemi di riconoscimento facciale manipolati dagli utenti stessi.
Nonostante gli algoritmi del Machine Learning non siano progettati per arrecare danno, alcuni possono avere obiettivi diversi, anche a scapito degli utenti. È il caso, ad esempio, di algoritmi che operano in ambito medico, che possono non raccomandare la cura più adatta, ma quella più costosa.
Quando si parla, quindi, di Intelligenza Artificiale come supporto della sicurezza globale è necessario farlo con le dovute precauzioni ed è necessario sviluppare una coscienza critica legata all’utilizzo degli algoritmi. Secondo la nostra esperienza e competenza ormai più che ventennale nel settore della cybersecurity possiamo dire che il Machine Learning deve riguardare solo un primo livello della sicurezza a cui va comunque affiancata la consulenza umana.
Avete avuto modo di confrontarvi con le aziende del settore e raccogliere le loro indicazioni?
Certo che l'abbiamo fatto. Abbiamo diverse case study nel settore siderurgico. Una di queste è quella con NLMK, una delle aziende metallurgiche più efficienti in termini di costi del mondo, con un modello di business integrato verticale e attività in Russia, Europa e Nord America. NLMK, insieme a Kaspersky, ha lanciato un progetto pilota per creare un'efficace protezione dei sistemi di controllo industriale (ICS) dai cyberattacchi.
NLMK ha creato una moderna infrastruttura di automazione che combina le risorse di calcolo dei sistemi di controllo industriale (ICS) in diversi centri dati distribuiti sul territorio. Questo approccio aumenta l'affidabilità dei sistemi di automazione e riduce i costi di manutenzione. Allo stesso tempo, questa architettura permette di formare un chiaro perimetro di rete e organizzare il trasferimento di dati dai sistemi di automazione alle reti aziendali, aumentando così la resilienza dell'ICS ai cyberattacchi.
Per garantire la sicurezza informatica all'interno del perimetro, NLMK ha scelto Kaspersky Industrial CyberSecurity, un insieme di tecnologie e servizi progettati per proteggere i livelli di tecnologia operativa e altri elementi aziendali, compresi i server di virtualizzazione, le stazioni di lavoro di ingegneria e i PLC. Kaspersky Industrial CyberSecurity non solo protegge gli endpoint, ma rileva anche le intrusioni e le anomalie nelle reti industriali con l'aiuto del monitoraggio passivo.
Per noi, il progetto di proteggere l'infrastruttura di NLMK è stata un'esperienza unica sotto alcuni aspetti. L'uso della virtualizzazione a livello dell'ICS ha presentato alcune questioni tecniche piuttosto interessanti. Per esempio, distribuire diversi server virtuali su un hypervisor fisico impone ulteriori requisiti aggiuntivi in termini di sicurezza e bilanciamento del carico. Quando la scansione antivirus si avvia su diversi server virtuali, l'aumento del carico totale sull'hypervisor può influire sulle prestazioni delle altre macchine virtuali e, in ultima analisi, i processi industriali.
Avete fatto delle proposte relative a possibili misure preventive da mettere in atto?
Ne realizziamo molte, compresi quelle basate sulla vasta gamma di prodotti e servizi Kaspersky, come Kaspersky Industrial Cybersecurity for Nodes and for Networks, ICS penetration testing, ICS digital forensics e incident response, training di esperti, security consulting. Sviluppiamo sempre raccomandazioni personalizzate di prevenzione e mitigazione delle minacce (incluse misure tecniche e organizzative) come parte del nostro servizio di risposta agli incidenti.
Esistono già delle esperienze che vi vedono protagonisti di collaborazioni con imprese di settore al fine di aumentare la sicurezza?
Normalmente, quando si proteggono le infrastrutture OT dalle minacce informatiche si possono applicare due approcci diversi. Quello base (e quindi attualmente il più comune), che fa affidamento sui meccanismi di sicurezza incorporati. In questo caso si dice: "Lasciate che il sistema di sicurezza faccia il suo lavoro". Si proteggono gli asset OT e i sistemi di sicurezza (come il SIS) dalle minacce informatiche per quanto possibile (non è sempre possibile garantire una protezione "assoluta", soprattutto per l'OT, che è ovviamente difficile da proteggere) con strumenti e misure di sicurezza applicata. Questo approccio si basa sul presupposto che le misure e gli strumenti di sicurezza integrati coprono tutte le possibili condizioni di pre-fallimento del sistema, comprese quelle create con i mezzi di attacco informatico. Sfortunatamente, questo presupposto non è corretto al 100% per la maggior parte dei sistemi esistenti, poiché non è stata eseguita alcuna modellazione di minacce informatiche nella loro fase di pianificazione e progettazione della sicurezza.
L'approccio più sofisticato si ha quando la sicurezza informatica diventa parte della disciplina della sicurezza. Viene analizzato il potenziale impatto della minaccia informatica sul sistema. I sistemi e le misure di sicurezza sono messi a punto per rilevare ulteriori "cattive condizioni" (ottenibili solo come risultato di una minaccia informatica), e per proteggersi da esse. Nella maggior parte dei casi questo sarebbe possibile solo nella fase di progettazione del sistema (il vero approccio "secure by design").
Sono necessarie anche le misure dell'"approccio di base", per proteggere i sistemi OT e di sicurezza dalle minacce informatiche, e per farli funzionare come sono stati progettati. Entrambi gli approcci, anche quello di base, migliorano la sicurezza anche nel caso in cui non ci sia alcun attacco informatico. Supponiamo che un sistema sia affetto da una vulnerabilità di “Denial of Service” e la stessa sia facilmente sfruttabile da un potenziale attacco informatico: in alcuni casi la stessa condizione può essere innescata da un raro malfunzionamento di altri sistemi (esistenti sulla stessa rete OT), non registrato e analizzato in precedenza, non preso in considerazione nella progettazione di sicurezza e quindi non coperto dai sistemi di sicurezza. In questo caso troviamo la vulnerabilità, la segnaliamo al fornitore del sistema e il fornitore rilascia una patch che rende l'intero sistema un po' più sicuro. Come azienda, siamo coinvolti in entrambi i tipi di progetti.
Avete avuto modo di verificare quali risultati sono stati ottenuti?
In generale, risulta difficile avere precisa contezza dei risultati ottenuti, quando si tratta di prevenire l'impatto delle minacce informatiche. Non possiamo dire con certezza quante delle minacce che abbiamo prevenuto avrebbero avuto un impatto sulla sicurezza, nel caso in cui non ci fosse stata protezione da parte nostra.
Per esempio, nel H1 2021 abbiamo bloccato dei ransomware sullo 0,40% di tutti i computer ICS che proteggiamo a livello globale, il che significa che abbiamo impedito una condizione di DoS almeno a qualche migliaio di sistemi OT. Quanti di loro avrebbero potuto avere un impatto sulla sicurezza, nessuno può dirlo, ma sappiamo che in alcuni casi potrebbe essere teoricamente possibile.
Marco Torricelli
15 ottobre 2024
L'intervista a Federico Pasqui, amministratore delegato di ICIM, a margine del siderweb FORUM.
Lascia un Commento