Scopri
Siderweb
Prova Gratuita 
I nostri video

Cybersecurity: «Siderurgici molto esposti a rischi»

Aceti (Sababa): «Un attacco comporta il pericolo di ingenti danni alle attrezzature, ma anche per la sicurezza»

Translated by Deepl

Terzo appuntamento, oggi, con l’approfondimento che siderweb ha deciso di dedicare a una problematica specifica con la quale si devono confrontare anche le aziende della filiera siderurgica: la cybersecurity.

Stavolta l’interlocutore è Alessio Aceti, CEO di Sababa Security (nella foto di testa), fornitore italiano di sicurezza informatica con sede a Milano e uffici a Roma e Genova.

Quali sono i principali rischi relativi al cyber crime che corrono le imprese del settore siderurgico?
Non ci sono rischi specifici che altre imprese non corrono e quelle del settore siderurgico sì. Le imprese siderurgiche normalmente sono quasi tutte grandi aziende, con architetture di automazione molto complesse che evolvono nel tempo, ampliandosi, spesso non consentendo un totale controllo di ciò che viene inserito o aggiunto. I macchinari di produzione siderurgica sono molto longevi, i sistemi di controllo e automazione spesso non sono aggiornatissimi e quindi sono più esposti tecnicamente. In più, il processo di lavorazione ed elaborazione del metallo è un processo continuo. Ciò significa che è molto complesso intervenire per fare eventuale manutenzione dei dispositivi elettronici utilizzati.
Se viene trovata una vulnerabilità sui sistemi di controllo e bisogna intervenire con una patch del software, non viene fatto. Perché? Perché ci vuole sicuramente più di un giorno per far ripartire tutto il processo. Per questo motivo le aziende siderurgiche sono molto esposte a rischi cyber. Basandosi su un tipo di lavorazione cosiddetta a processo continuo (che quindi non ha né un inizio né una fine, ma scorre a flusso continuo), è molto difficile fare aggiornamenti software sui dispositivi e in più, essendo spesso architetture di automazione che si integrano con componenti aggiunti nel corso degli anni, non si ha la totale supervisione su ciò che viene inserito all’interno della propria linea. Un piccolo componente aggiunto può rappresentare l’anello debole della catena.
Inoltre, spesso all’interno di un impianto di produzione complesso, ci sono diversi sistemi, fatti da fornitori di automazione industriale diversi tra loro, con componenti e architetture di vendor differenti. Questo crea complessità, che unito ad una gestione delle policy non omogenea, aumenta la superficie di attacco e diminuisce la capacità dell’azienda di avere la corretta visibilità di cosa accade nella rete industriale e quindi di scoprire eventuali anomalie prima che si trasformino in un attacco bloccante.
All’interno di acciaierie, per esempio, capita di vedere che l’infrastruttura di automazione non è governata centralmente e che lo specifico provider che ha fornito la specifica porzione di impianto, tipo il laminatoio, si collega da remoto usando strumenti non adatti come TeamViewer o esponendo server su internet, o addirittura inserendo router addizionali verso internet nell’infrastruttura del cliente. Senza un’architettura serie e policy precise, qualsiasi altro investimento in cyber security diventa di fatto nullo.

Quali conseguenze potrebbero derivare, o sono già derivate, da cyber attacchi nei confronti delle aziende siderurgiche?
Nel 2019 Norsk Hydro, colosso mondiale dell’alluminio, è stato vittima di un massiccio cyber attacco che ha causato l’interruzione di buona parte della produzione in diversi impianti. Colpita da un software malevolo di tipo ransomware, l’azienda ha speso più di 40 milioni di dollari per ripristinare tutti i sistemi.
Ripristinare i sistemi di produzione delle volte è più complesso che ripristinare i sistemi informatici. Perché mentre un’infrastruttura di rete IT tradizionale, soggetta a backup, ha possibilità di ripresa in termini rapidi, le infrastrutture di rete OT difficilmente dispongono di backup ed è quindi più complesso rimetterle in piedi.
Inoltre nel 2014, la BSI (ufficio federale per la sicurezza informatica della Germania), ha riportato che presso un’acciaieria tedesca un attacco ha portato allo spegnimento improprio di un altoforno, per cui il rischio qui non è solo quello cyber ma anche fisico, di ingenti danni alle attrezzature, ma anche di sicurezza di quanti lavorano all’interno dell’impianto.

Esiste uno studio che metta in evidenza e quantifichi i rischi e le possibili conseguenze?
Guardando all’Italia, il Clusit pubblica annualmente un rapporto sui cyber attacchi più significativi dell’anno. Esistono inoltre una serie di ICS-CERT (Industrial Control System – Computer emergency response team), sia pubblici che privati, che pubblicano report sull’evoluzione delle minacce cyber per i settori industriali e le infrastrutture critiche e annualmente pubblicano report sui principali incidenti.

Una delle particolarità dei cyber criminali è quella di modificare continuamente le proprie strategie. Esistono delle “difese” in grado di adeguarsi a questi mutamenti?
Quello che si racconta sempre è che gli attaccanti sono un passo avanti rispetto a chi difende. I difensori però stanno facendo uso di tecnologie nuove, quali Deep Learning e Intelligenza Artificiale, con l’intenzione di introdurle anche nei sistemi antivirus, anti malware, sistemi che proteggono le reti, etc. Lo scopo è fare in modo che i sistemi di difesa siano in grado di auto apprendere le tipologie di attacco e interpretarle senza necessariamente dover richiedere un intervento umano, così come individuare gli attacchi non ancora conosciuti basati sul behavior e non sulla signature del malware.
Tornando al settore siderurgico direi che spesso le infrastrutture sono vulnerabili ad attacchi “vecchi” o a banali attacchi ransomware che riescono ad arrivare alla rete industriale. Prima di pensare ad attacchi sofisticati dobbiamo partire dalle basi, un assessment cyber, una gestione della governance di cybersecurity seria, policy precise per un design di rete serio per la rete industriale, modalità sicure per l’accesso da remoto di operatori e fornitori di automazione ai sistemi OT, una gestione corretta delle identità. Prima di pensare a strumenti avanzati è necessario porre le basi. Ho personalmente visitato diverse acciaierie in Italia e in Russia, e spesso manca proprio la percezione e la gestione del rischio cyber.

Le imprese puntano sempre di più sull’utilizzo dell’intelligenza artificiale: questo potrebbe essere un rischio aggiuntivo, inteso come possibile “cavallo di Troia” per i cyber criminali o potrebbe invece essere un elemento difensivo aggiuntivo?
I “cavalli di Troia” sono potenzialmente presenti in qualunque sistema, non è una caratteristica tipica dell’intelligenza artificiale. L’intelligenza artificiale è orientata e sviluppata per portare più benefici che svantaggi, quindi rappresenta sicuramente un elemento difensivo aggiuntivo.

Avete avuto modo di confrontarvi con le aziende del settore e raccogliere le loro indicazioni?
La prima visita in un’acciaieria l’ho fatta una decina di anni fa, ricordo che ogni impianto aveva grosso modo la sua infrastruttura IT, creata da esperti di automazione industriale, senza nessuna competenza di cybersecurity, con addirittura componenti esposti su internet.
Lì c’erano poche informazioni da raccogliere, nel senso che la cybersecurity era un tema completamente ignorato. Poi circa 5 o 6 anni fa ho partecipato ad un evento organizzato dall’AIM (Associazione Italiana Metallurgia) se ricordo bene, a Venezia presso la fondazione CINI sull’Isola di San Giorgio Maggiore. In quell’occasione ho avuto la possibilità di fare uno speech, insieme ad altri esperti che parlavano di gru con l’anti swing e billette, mi sono messo a raccontare di come era avvenuto l’incidente cyber dell’acciaieria tedesca, e come si sarebbe potuto evitare. Con molti partecipanti al convegno ci siamo poi sentiti offline, sicuramente dei passi avanti erano stati fatti per aumentare l’attenzione ai rischi cyber in questo settore, ma non abbastanza. Tipicamente molti industriali relegano il rischio cyber a “lo gestisce il mio capo dell’IT”, ma un possibile evento che ti distrugge un forno e ferma per mesi la produzione dovrebbe essere sul tavolo del board e non su quello dell’IT, IT che non ha né il budget, né l’autorità, per gestire questo tema in azienda.

Avete fatto delle proposte relative a possibili misure preventive da mettere in atto?
Sempre, tuttora abbiamo diverse proposte aperte verso alcuni player nel settore siderurgico. Non esiste una ricetta segreta, ma è importante seguire alcuni passaggi:

  • Fare un assessment di quello che si ha, magari un GAP analysis verso uno standard di cybersecurity. Tipicamente questi standard si articolano in alcune fasi, come la conoscenza e la visibilità dei sistemi (non posso proteggere sistemi che non conosco esattamente, dove non so quante macchine ho in rete, chi parla con chi, con quali protocolli e porte, chi ci accede ecc), la protezione dei sistemi, la capacità dell’azienda di individuare anomalie e minacce, di gestirle, di rispondere correttamente e di ripartire dopo un possibile incidente
  • Creare una roadmap di attività da mettere in piedi per chiudere i GAP riscontrati al punto precedente, in maniera efficiente ed efficace
  • Fare testing contino con attività di adversary simulation, a partire da penetration test seri
  • Documentare il tutto con policy precise e procedure che devono essere disseminate a tutte le persone che giocano un ruolo che può impattare sulla resilienza cyber dell’impianto
  • Fare security awareness, informare le persone sui rischi cyber, spiegare come riconoscere link di phishing e spam, trasferire il fatto che inserire in un pc aziendale o in una workstation SCADA una chiavetta USB trovata in un parcheggio comporta un grande rischio. Tali attività devono essere sia informative in forma di brevi corsi, ma anche pratiche con simulazioni continue.
  • Rivedere i contratti in essere con i fornitori critici e assicurarsi che quando si collegano alla vostra infrastruttura lo facciano in maniera sicura, con tecnologie adeguate e personale formato sui rischi cyber
  • Trasferire ad un’assicurazione il rischio cyber residuo. Nessuno può garantire il 100% di protezione, per cui è importante minimizzare l’esposizione e poi assicurare il rischio residuo. Anche qui, va fatto bene, perché un’assicurazione comprata senza un’analisi approfondita spesso in realtà non protegge dagli eventi più dannosi, o non risponde in maniera adeguata.

Esistono già delle esperienze che vi vedono protagonisti di collaborazioni con imprese di settore al fine di aumentare la sicurezza?
Abbiamo diversi clienti, partner e prospect nel settore sia in Italia che all’estero.

Avete avuto modo di verificare quali risultati sono stati ottenuti?
Dividerei la platea in due:

  • Gruppo 1: gestione della sicurezza totalmente in mano a un dipartimento IT: molto spesso non porta a nessun risultato concreto. Quello che succede è che chi gestisce il tema riceve del budget (spesso insufficiente) per migliorare la protezione cyber. Sa che per migliorare le cose deve partire da un assessment dello stato attuale, che però non può fare senza la collaborazione dei responsabili di impianto, spesso in azienda da molto più tempo, e che non hanno avuto nessuna direzione dal management di collaborare. Quindi per evitare questioni di politiche interne finisce che l’IT investe male quel budget in soluzioni software o hardware che vengono installate in maniera poco efficace e mitigano di poco, se non di nulla, i rischi cyber.
  • Gruppo 2: aziende con una gestione lungimirante, che hanno capito che il rischio cyber è uno dei principali rischi per il settore e che assegnano la gestione di tale rischio ad un membro del board che ha il budget, ma soprattutto l’autorità per inserire un assessment di sicurezza completo negli stretti tempi di un azienda e crea un processo virtuoso come descritto nella domanda precedente sulle misure preventive che davvero migliora la postura di cybersecurity e riduce il rischio di attacchi cyber, e il relativo potenziale impatto. 

I precedenti articoli della serie sono stati pubblicati il 9 marzo (con Marco Di Costanzo – Kaspersky) e il 16 marzo (con Giancarlo Gervasoni – Zerouno Informatica).


5 aprile 2022

Leonardo apre la Cyber & Security Academy

Nuovo polo di alta formazione «per la transizione digitale e fronteggiare le minacce alla sicurezza nazionale

di Marco Torricelli

23 marzo 2022

Acciaio, allarme rosso per la cybersecurity

Un viaggio di siderweb per verificare l’impatto degli attacchi informatici sulla filiera siderurgica

di Marco Torricelli

16 marzo 2022

Cybersecurity, le difese devono sempre adeguarsi

Gervasoni (Zerouno Informatica): «Le nuove minacce vanno affrontate con un sistema di analisi permanente»

di Marco Torricelli

15 marzo 2022

Cybersecurity, gli alert dell’Agenzia nazionale

«Considerare le implicazioni di sicurezza derivanti da tecnologie informatiche fornite da aziende legate alla Russia»

di Marco Torricelli

9 marzo 2022

Cybersecurity, per le imprese produzione a rischio

Di Costanzo (Kaspersky): «Intelligenza Artificiale e Machine Learning introducono nuovi livelli di criticità»

di Marco Torricelli
Altre News

Lascia un Commento



“Nessuno ha mai commesso un errore più grande di colui che non ha fatto niente solo perché poteva fare troppo poco”

Edmund Burke

DOSSIER

Dossier

Futura Expo 2023

Acciaio ancora protagonista di sostenibilità

ARTICOLI SIMILI

5 aprile 2022

Leonardo apre la Cyber & Security Academy

Nuovo polo di alta formazione «per la transizione digitale e fronteggiare le minacce alla sicurezza nazionale

di Marco Torricelli

23 marzo 2022

Acciaio, allarme rosso per la cybersecurity

Un viaggio di siderweb per verificare l’impatto degli attacchi informatici sulla filiera siderurgica

di Marco Torricelli

16 marzo 2022

Cybersecurity, le difese devono sempre adeguarsi

Gervasoni (Zerouno Informatica): «Le nuove minacce vanno affrontate con un sistema di analisi permanente»

di Marco Torricelli

15 marzo 2022

Cybersecurity, gli alert dell’Agenzia nazionale

«Considerare le implicazioni di sicurezza derivanti da tecnologie informatiche fornite da aziende legate alla Russia»

di Marco Torricelli

9 marzo 2022

Cybersecurity, per le imprese produzione a rischio

Di Costanzo (Kaspersky): «Intelligenza Artificiale e Machine Learning introducono nuovi livelli di criticità»

di Marco Torricelli
Altre News

MERCATI

SPECIALI

Speciali

Speciale 2023

Analisi, considerazioni e focus sugli ultimi dodici mesi e aspettative sul 2024

Altri Speciali

Riciclo imballaggi

RICREA: «Superato approccio ideologico della normativa imballaggi Ue»
A cura di Federico Fusca

RICREA: «Superato approccio ideologico della normativa imballaggi Ue»

Una sola richiesta: «Uniformare i sistemi di calcolo delle quantità riciclate per raggiungere i target comuni»