23 marzo 2022 Translated by Deepl
Terzo appuntamento, oggi, con l’approfondimento che siderweb ha deciso di dedicare a una problematica specifica con la quale si devono confrontare anche le aziende della filiera siderurgica: la cybersecurity.
Stavolta l’interlocutore è Alessio Aceti, CEO di Sababa Security (nella foto di testa), fornitore italiano di sicurezza informatica con sede a Milano e uffici a Roma e Genova.
Quali sono i principali rischi relativi al cyber crime che corrono le imprese del settore siderurgico?
Non ci sono rischi specifici che altre imprese non corrono e quelle del settore siderurgico sì. Le imprese siderurgiche normalmente sono quasi tutte grandi aziende, con architetture di automazione molto complesse che evolvono nel tempo, ampliandosi, spesso non consentendo un totale controllo di ciò che viene inserito o aggiunto. I macchinari di produzione siderurgica sono molto longevi, i sistemi di controllo e automazione spesso non sono aggiornatissimi e quindi sono più esposti tecnicamente. In più, il processo di lavorazione ed elaborazione del metallo è un processo continuo. Ciò significa che è molto complesso intervenire per fare eventuale manutenzione dei dispositivi elettronici utilizzati.
Se viene trovata una vulnerabilità sui sistemi di controllo e bisogna intervenire con una patch del software, non viene fatto. Perché? Perché ci vuole sicuramente più di un giorno per far ripartire tutto il processo. Per questo motivo le aziende siderurgiche sono molto esposte a rischi cyber. Basandosi su un tipo di lavorazione cosiddetta a processo continuo (che quindi non ha né un inizio né una fine, ma scorre a flusso continuo), è molto difficile fare aggiornamenti software sui dispositivi e in più, essendo spesso architetture di automazione che si integrano con componenti aggiunti nel corso degli anni, non si ha la totale supervisione su ciò che viene inserito all’interno della propria linea. Un piccolo componente aggiunto può rappresentare l’anello debole della catena.
Inoltre, spesso all’interno di un impianto di produzione complesso, ci sono diversi sistemi, fatti da fornitori di automazione industriale diversi tra loro, con componenti e architetture di vendor differenti. Questo crea complessità, che unito ad una gestione delle policy non omogenea, aumenta la superficie di attacco e diminuisce la capacità dell’azienda di avere la corretta visibilità di cosa accade nella rete industriale e quindi di scoprire eventuali anomalie prima che si trasformino in un attacco bloccante.
All’interno di acciaierie, per esempio, capita di vedere che l’infrastruttura di automazione non è governata centralmente e che lo specifico provider che ha fornito la specifica porzione di impianto, tipo il laminatoio, si collega da remoto usando strumenti non adatti come TeamViewer o esponendo server su internet, o addirittura inserendo router addizionali verso internet nell’infrastruttura del cliente. Senza un’architettura serie e policy precise, qualsiasi altro investimento in cyber security diventa di fatto nullo.
Quali conseguenze potrebbero derivare, o sono già derivate, da cyber attacchi nei confronti delle aziende siderurgiche?
Nel 2019 Norsk Hydro, colosso mondiale dell’alluminio, è stato vittima di un massiccio cyber attacco che ha causato l’interruzione di buona parte della produzione in diversi impianti. Colpita da un software malevolo di tipo ransomware, l’azienda ha speso più di 40 milioni di dollari per ripristinare tutti i sistemi.
Ripristinare i sistemi di produzione delle volte è più complesso che ripristinare i sistemi informatici. Perché mentre un’infrastruttura di rete IT tradizionale, soggetta a backup, ha possibilità di ripresa in termini rapidi, le infrastrutture di rete OT difficilmente dispongono di backup ed è quindi più complesso rimetterle in piedi.
Inoltre nel 2014, la BSI (ufficio federale per la sicurezza informatica della Germania), ha riportato che presso un’acciaieria tedesca un attacco ha portato allo spegnimento improprio di un altoforno, per cui il rischio qui non è solo quello cyber ma anche fisico, di ingenti danni alle attrezzature, ma anche di sicurezza di quanti lavorano all’interno dell’impianto.
Esiste uno studio che metta in evidenza e quantifichi i rischi e le possibili conseguenze?
Guardando all’Italia, il Clusit pubblica annualmente un rapporto sui cyber attacchi più significativi dell’anno. Esistono inoltre una serie di ICS-CERT (Industrial Control System – Computer emergency response team), sia pubblici che privati, che pubblicano report sull’evoluzione delle minacce cyber per i settori industriali e le infrastrutture critiche e annualmente pubblicano report sui principali incidenti.
Una delle particolarità dei cyber criminali è quella di modificare continuamente le proprie strategie. Esistono delle “difese” in grado di adeguarsi a questi mutamenti?
Quello che si racconta sempre è che gli attaccanti sono un passo avanti rispetto a chi difende. I difensori però stanno facendo uso di tecnologie nuove, quali Deep Learning e Intelligenza Artificiale, con l’intenzione di introdurle anche nei sistemi antivirus, anti malware, sistemi che proteggono le reti, etc. Lo scopo è fare in modo che i sistemi di difesa siano in grado di auto apprendere le tipologie di attacco e interpretarle senza necessariamente dover richiedere un intervento umano, così come individuare gli attacchi non ancora conosciuti basati sul behavior e non sulla signature del malware.
Tornando al settore siderurgico direi che spesso le infrastrutture sono vulnerabili ad attacchi “vecchi” o a banali attacchi ransomware che riescono ad arrivare alla rete industriale. Prima di pensare ad attacchi sofisticati dobbiamo partire dalle basi, un assessment cyber, una gestione della governance di cybersecurity seria, policy precise per un design di rete serio per la rete industriale, modalità sicure per l’accesso da remoto di operatori e fornitori di automazione ai sistemi OT, una gestione corretta delle identità. Prima di pensare a strumenti avanzati è necessario porre le basi. Ho personalmente visitato diverse acciaierie in Italia e in Russia, e spesso manca proprio la percezione e la gestione del rischio cyber.
Le imprese puntano sempre di più sull’utilizzo dell’intelligenza artificiale: questo potrebbe essere un rischio aggiuntivo, inteso come possibile “cavallo di Troia” per i cyber criminali o potrebbe invece essere un elemento difensivo aggiuntivo?
I “cavalli di Troia” sono potenzialmente presenti in qualunque sistema, non è una caratteristica tipica dell’intelligenza artificiale. L’intelligenza artificiale è orientata e sviluppata per portare più benefici che svantaggi, quindi rappresenta sicuramente un elemento difensivo aggiuntivo.
Avete avuto modo di confrontarvi con le aziende del settore e raccogliere le loro indicazioni?
La prima visita in un’acciaieria l’ho fatta una decina di anni fa, ricordo che ogni impianto aveva grosso modo la sua infrastruttura IT, creata da esperti di automazione industriale, senza nessuna competenza di cybersecurity, con addirittura componenti esposti su internet.
Lì c’erano poche informazioni da raccogliere, nel senso che la cybersecurity era un tema completamente ignorato. Poi circa 5 o 6 anni fa ho partecipato ad un evento organizzato dall’AIM (Associazione Italiana Metallurgia) se ricordo bene, a Venezia presso la fondazione CINI sull’Isola di San Giorgio Maggiore. In quell’occasione ho avuto la possibilità di fare uno speech, insieme ad altri esperti che parlavano di gru con l’anti swing e billette, mi sono messo a raccontare di come era avvenuto l’incidente cyber dell’acciaieria tedesca, e come si sarebbe potuto evitare. Con molti partecipanti al convegno ci siamo poi sentiti offline, sicuramente dei passi avanti erano stati fatti per aumentare l’attenzione ai rischi cyber in questo settore, ma non abbastanza. Tipicamente molti industriali relegano il rischio cyber a “lo gestisce il mio capo dell’IT”, ma un possibile evento che ti distrugge un forno e ferma per mesi la produzione dovrebbe essere sul tavolo del board e non su quello dell’IT, IT che non ha né il budget, né l’autorità, per gestire questo tema in azienda.
Avete fatto delle proposte relative a possibili misure preventive da mettere in atto?
Sempre, tuttora abbiamo diverse proposte aperte verso alcuni player nel settore siderurgico. Non esiste una ricetta segreta, ma è importante seguire alcuni passaggi:
Esistono già delle esperienze che vi vedono protagonisti di collaborazioni con imprese di settore al fine di aumentare la sicurezza?
Abbiamo diversi clienti, partner e prospect nel settore sia in Italia che all’estero.
Avete avuto modo di verificare quali risultati sono stati ottenuti?
Dividerei la platea in due:
I precedenti articoli della serie sono stati pubblicati il 9 marzo (con Marco Di Costanzo – Kaspersky) e il 16 marzo (con Giancarlo Gervasoni – Zerouno Informatica).
Marco Torricelli
28 novembre 2024
L'intervista a Luigi Piombi, BIP Sustainability & Energy Management, sull'Energy release.
Lascia un Commento