Così si proteggono i tanti mondi dell’OT
Fortinet e Maticmind da anni lavorano in partnership su tutti i temi della cybersicurezza e insieme ora richiamano l’attenzione sulla vulnerabilità delle infrastrutture basate sulle Operational Technology, sempre più nel mirino dei cybercriminali.
Il vecchio mondo delle automazioni non solo elettromeccaniche, nato ben prima dell’elettronica e dell’IT, sta convergendo anch’esso verso le logiche del digitale. Da ormai qualche anno si sente infatti sempre più parlare di Operational Technology, più spesso anche OT, una categoria di oggetti che racchiude sensori, servocomandi, apparati di molte tipologie utilizzati in svariati ambiti applicativi, dagli impianti industriali agli ospedali, dall’idraulica ai trasporti passando per tutte le infrastrutture più critiche di un Paese come dighe, centrali elettriche, reti di distribuzione del gas, dell’acqua e molto altro ancora. Molti oggetti OT da tempo sono controllati da remoto, il famoso telecontrollo, e i dati da essi generati oggi diventano sempre di più anche degli asset digitali importanti per prendere decisioni, per compiere analisi di manutenzione predittiva, per dare allarmi e scatenare in automatico interventi di riparazione e molto altro ancora.
Proprio per la loro alta criticità, gli oggetti OT sono entrati da tempo nel mirino dei Cybercriminali, che rispetto però all’IT, non hanno solo l’obiettivo di provocare perdite economiche, ma purtroppo anche danni molto più gravi. Per saperne di più e capire come agire correttamente per proteggere i tanti mondi OT che ci circondano abbiamo rivolto qualche domanda ad Alessandro Frizzi, Cybersecurity & Biometrics Competence Center Manager di Maticmind e Antonio Madoglio, Senior Director Systems Engineering Italy di Fortinet Italia, che forti dell’esperienza realizzata insieme in questi anni grazie alla partenership tra le loro due aziende hanno da tempo iniziato a lavorare su questa nuova frontiera della cybersicurezza.
La partnership tra Maticmind e Fortinet è attiva da anni, qual è il valore che questa relazione ha prodotto per le due aziende e per i clienti finali?
Alessandro Frizzi (AF). L’elemento essenziale che caratterizza la nostra partnership è il fatto che Maticmind e Fortinet in questi anni sono cresciute insieme. Da tempo lavoriamo fianco a fianco, abbiamo entrambi vissuto e gestito una crescita importante delle nostre aziende e questo ci ha dato la possibilità di sintonizzarci correttamente verso il mercato da tutti i punti di vista, in primis facendo crescere la reciproca conoscenza sia professionale che personale.
Questo percorso ci consente di andare insieme su tutti i clienti in modo costruttivo e con una partnership solida che dimostra una forza unica e importante per il mercato. Per quanto riguarda Maticmind, nel competence center di cui ho la responsabilità, comprendendo anche l’area delivery e prevendita, ci sono 50 esperti in cybersecurity, tra figure di prevendita, tecniche e di supporto, specializzate e certificate sulle soluzioni Fortinet.
Antonio Madoglio (AM). Confermo quanto detto da Alessandro e aggiungo che risulta anche molto facile lavorare insieme. Questa partnership rappresenta un valore importante per i clienti. La conoscenza delle persone di Maticmind relativa alle soluzioni Fortinet, e la conoscenza da parte nostra di come queste vengono da loro implementate ci permette di rassicurare i clienti finali sul fatto che la nostra tecnologia sarà sempre declinata al meglio in funzione delle capacità che Maticmind dimostra nell’erogazione dei suoi servizi.
Il nostro team di canale lavora a stretto contatto con i tecnici di Maticmind. È una collaborazione a 360°, seguiamo insieme progetti e percorsi di formazione e certificazione mettendo in campo un numero di risorse analogo a quello di Maticmind.
Quali sono oggi i fronti più critici della cybersecurity?
AM. Purtroppo, sono sempre tanti. Ancora oggi molte minacce e attacchi arrivano dal phishig, sono aumentate anche le altre tipologie di malware e poi c’è il ransomware. Stessa situazione per quanto riguarda le vulnerabilità, sempre in crescita, mentre rimane su livelli inadeguati l’utilizzo del patching.
In funzione dell’ambito in cui operano le infrastrutture che devono essere protette, un tema molto evidente attualmente sono gli attacchi alle infrastrutture critiche, all’IoT, industriale e non industriale e alle Operation Technology (OT). Infine, le minacce persistenti avanzate, conosciute con la sigla inglese APT, sono molto utilizzate oggi dai gruppi della criminalità organizzata.
In modo trasversale a tutte queste problematiche c’è come sempre poi il tema della consapevolezza degli utilizzatori finali dei sistemi ICT aziendali e privati. L’utente che non ha avuto una formazione adeguata ha poca percezione dei rischi della cybersecurity, e inevitabilmente diventa l’anello debole e quindi la vittima designata degli attacchi di social engineering.
AF. Oltre ai tanti aspetti tecnologici e organizzativi che devono essere risolti, aggiungo solo che oggi è molto più semplice attaccare che proteggere. Per fare un esempio, esiste da tempo un’offerta di ‘Phishing as a service’, dove chiunque può accedere, registrarsi e personalizzare i suoi attacchi indicando gli indirizzi mail da colpire. Con due click e un pagamento, il sistema esegue automaticamente quanto desiderato.
A causa di questi strumenti molto facili, disponibili a chiunque, il pericolo di essere attaccati è ormai una certezza, è solo questione di quando succederà. Cybersicurezza significa quindi essere sempre aggiornati proprio per contrastare la semplicità con la quale chiunque può essere attaccato. Questo richiede un impegno molto forte e coordinato tra chi nella filiera della sicurezza fornisce servizi e chi le tecnologie a supporto; il legame di partnership molto stretto tra Maticmind e Fortinet va in questa direzione.
Riguardo all’OT, molti pensano che questo sia solo un tema di sicurezza legato al mondo industriale. È così?
AM. No non è così. L’operational technology fa parte naturalmente del mondo industriale, ma è molto pervasiva in tanti altri settori: nella sanità esiste una variegata gamma di dispositivi, sensori e sistemi classificati come apparati OT, e questo vale anche per il mondo dei trasporti, per quello gli ‘edifici intelligenti’, dove la climatizzazione è governata da infrastrutture OT… Nelle sue declinazioni diverse, il tema OT si estende in ogni ambito della nostra vita sociale.
AF. L’OT è fatto da apparati variegati che collegati in rete, non necessariamente internet, fanno diverse cose; prendiamo come esempio un termostato telecontrollato per rilevare la temperatura dell’ambiente circostante. La stessa tipologia di oggetto, un termostato telecontrollato nel mondo OT può essere utilizzato per un altoforno per gestire la temperatura di fusione e mantenerla sempre al giusto livello. Dal punto di vista della sicurezza, la facilità di compromissione è pressoché la stessa ma il rischio legato alle conseguenze della compromissione dell’oggetto ‘termostato telecontrollato’ nei due utilizzi è decisamente diverso. Per rispondere alla domanda, no non è un tema strettamente legato al mondo industriale, ma i rischi connessi possono essere decisamente diversi.
In che modo le nuove tecniche di attacco sfruttano l’OT per avere successo?
AF. Gli oggetti OT non nascono sicuri perché fino a poco tempo fa non ne avevano la necessità: erano generalmente localizzati in ambienti confinati e separati senza nessuna connessione con il mondo esterno. Quando è emersa la necessità del telecontrollo a distanza di un sistema produttivo, di un treno, di un edificio, questi oggetti sono stati collegati anche a sistemi IT, ma facendo questo passo il più delle volte si è badato alle priorità operative e non alla sicurezza. La conseguenza è che la maggior parte degli oggetti OT oggi operativi sono intrinsecamente non sicuri.
Tutti i nostri client, siano essi pc, laptop, smartphone installano un antivirus. Il termostato dell’altoforno, invece, non ha nessuna protezione, nessuno ci ha mai pensato, e inoltre è anche difficile pensare che sia predisposto per ospitare una soluzione antimalware.
A questo si aggiunge il fatto che il tema del rischio nell’OT è molto più esteso e critico rispetto all’IT. Lo scenario è potenzialmente peggiore, un attacco che ha successo per esempio sui meccanismi di sbarramento di una diga, può avere conseguenze molto gravi sull’ambiente, ma soprattutto a livello fisico su delle persone in carne e ossa.
Nel mondo OT c’è poi un tema leggermente meno noto al mondo IT. Stiamo parlando dell’Hacktivism che ha scopi politici o sociali. Se l’IT oggi è appannaggio più dei cybercriminali focalizzati a generare interessi o danni economici, nel mondo industriale o delle infrastrutture critiche, come per esempio i siti di stoccaggio e riciclaggio dei rifiuti, sono più soggetti a questa tipologia di attacchi.
AM. L’OT è vulnerabile allo stesso modo dell’IT, poiché tramite social engineering si possono estorcere le password che per esempio consentono l’accesso ai manutentori di una linea di produzione. Così come il ransomware che va a cifrare i contenuti dei file per chiedere un riscatto, ma può anche bloccare una catena di montaggio.
Gli apparati OT sono meno flessibili di un qualsiasi computer e il loro ciclo di vita è anche molto più lungo, come per esempio i PLC. La tendenza poi è sempre quella di evitare ogni modifica, come l’installazione di una patch per risolvere una vulnerabilità. Questo perché si teme possa portare a delle modifiche del sistema e a delle ripercussioni negative. Ma tale atteggiamento, che purtroppo è generale, rende ancora più vulnerabile l’ambito OT. Per fortuna in questi casi si può però intervenire con tecniche di virtual patching non potendo agire direttamente sui dispositivi.
Per quanto riguarda gli attacchi, come nell’ambito IT, anche nell’OT esistono quelli Dos e DDos che rendono indisponibile un servizio e gli exploit zero-day, tanto più gravi quando a essere presi di mira sono le infrastrutture critiche che erogano servizi vitali per uno Stato.
Ma conseguenze negative possono arrivare anche dalla manipolazione dei dati OT. In un sistema monitorato con soluzioni di security, quando emerge un dato non previsto scatta immediatamente un alert e si possono prendere in automatico delle contromisure. Se invece non c’è nessun controllo, la manipolazione del dato della temperatura dell’altoforno genera invece decisioni sbagliate, con rischi potenzialmente pesanti e ad alto impatto nella produzione e per l’azienda.
Quali sono i pericoli maggiori che corrono le realtà che subiscono una violazione delle infrastrutture OT?
AM. I pericoli sono variegati e si distinguono caso per caso in relazione all’infrastruttura target che viene violata.
Il primo pericolo è l’interruzione delle operazioni. Si blocca un sistema e l’azienda non produce più, ma il blocco può anche provocare il danneggiamento fisico degli impianti. Qualche tempo fa, la turbina di una centrale idroelettrica è stata fatta girare a una velocità talmente alta che ne ha provocato l’uscita violenta dalla sua sede con distruzione di tutto quello che c’era intorno. Un attacco mirato sui dati OT può mirare all’esfiltrazione di informazioni sensibili, come brevetti e segreti industriali, e qui siamo davanti a veri e propri casi di spionaggio. Minacce per la sicurezza pubblica: un attacco a un sistema di trasporto nazionale implica molteplici danni anche sociali che possono portare a delle conseguenze molto negative. Così come il blocco dell’erogazione dell’energia elettrica a una città; purtroppo questo è un caso reale che è già capitato. Impatti sull’ambiente: l’apertura di valvole di un deposito di carburanti può provocare incendi, inquinamenti di falda, terreni, fiumi… Il blocco di un’azienda che opera in una supply chain, può provocare anche blocchi o altri danni consistenti alle altre realtà della filiera.
AF. Nell’OT siamo davanti a uno scenario molto più complesso e potenzialmente rischioso rispetto all’IT. Abbiamo rischi diretti, relativi all’oggetto attaccato e al processo industriale che controlla, e indiretti dove l’oggetto attaccato è utilizzato solamente come tramite. Spesso, infatti, chi attacca un oggetto OT che all’apparenza può sembrare di poco significato, vuole invece arrivare a compromettere un altro elemento più importante collegato alla stessa infrastruttura.
Qual è l’approccio giusto per mettere in sicurezza l’OT, e cosa proponete in merito?
AF. Per Maticmind sono essenziali tre elementi. Awarness: consapevolezza dei rischi a cui è esposta l’infrastruttura OT, a cui abbiamo già accennato, che deve includere anche il controllo e la gestione dell’adeguatezza dei comportamenti quando si svolgono compiti assegnati; e questo vale per tutta la filiera degli operatori che intervengono in un ambiente OT, dal gestore al manutentore.
Advisory, ossia scrivere procedure e definire processi di sicurezza personalizzati al contesto in cui vanno applicate. Qui entra in gioco in maniera sostanziale il tema organizzativo.
Infine, la tecnologia che deve supportarci nel riconoscere i nuovi attacchi del mondo OT. Per esempio, nell’IT tutti conosciamo gli attacchi ‘SQL injection’, attuati per compromettere i database aziendali e da tempo esiste la tecnologia per riconoscerli e contrastarli. Analogamente nell’OT ci sono, per esempio, attacchi che possiamo definire di ‘PLC injection’ che mandano in crisi i controlli a bordo dei sistemi di produzione. Oggi la tecnologia deve riconoscere tutte le nuove tipologie di attacchi che parlano con i protocolli del mondo OT.
AM. L’approccio giusto è partire sempre con la segmentazione della rete, questa è la regola che vale in ogni ambito, OT o IT che sia; un accorgimento purtroppo ancora poco praticato. Dopo questo primo passo è consigliabile mettere l’autenticazione multifattore per identificare correttamente gli utenti che accedono all’infrastruttura OT, come i già citati manutentori, generalmente di aziende terze. Nella realtà invece succede, che questi una volta compiuto l’accesso vedono tutta la rete aziendale e non solo la porzione sulla quale devono lavorare. È chiaro che queste situazioni sono assolutamente da evitare.
Terzo passo, monitoraggio per avere piena visibilità su quello che succede. Ma questo non basta, è infatti anche necessario generare una visione semplice di ciò che accade e dei punti deboli dell’infrastruttura che sono stati identificati. Questo per facilitare il lavoro e ridurre i tempi di reazione degli amministratori di sistema che, inoltre, devono essere continuamente aggiornati a capire cosa sta succedendo quando si verificano determinate anomalie.
È chiaro poi che ogni sistema di sicurezza deve essere dinamico e non statico per seguire il più rapidamente possibile l’evoluzione e le cose nuove messe in campo dai cybercriminali. È importate quindi che alle spalle del sistema di sicurezza ci sia sempre una tecnologia in grado di adattarsi continuamente al cambiamento delle minacce. Rispetto all’IT, la sicurezza OT è un fattore molto più importante. Tutti gli apparati devono essere resi sicuri anche con classi di soluzioni diverse e originali, soprattutto per evitare danni accidentali causati da persone non adeguatamente preparate. Mi spiego con un esempio raccontato da un collega che diversi anni fa ha avuto un problema di questo tipo in un osservatorio astronomico in Cile, dove gli strumenti sono governati in remoto dall’Europa. Gli stracci che la signora delle pulizie, in modo del tutto incolpevole, metteva ad asciugare quando aveva finito il suo lavoro oscuravano un determinato sensore di comando degli strumenti che a quel punto non poteva più lavorare, e gli astronomi a migliaia di chilometri di distanza non riuscivano a capire come mai, ogni tanto ma in orari sempre fissi c’era questa zona di buio. Con un elemento di sicurezza fisica a protezione di quel sensore, la mancanza di disponibilità del servizio non si sarebbe verificata.
Su tutto questo, che supporto può dare l’intelligenza artificiale?
AM. Dal punto di vista tecnologico, a maggior ragione per la parte OT, intelligenza artificiale e machine learning sono fondamentali per creare contromisure sempre più efficaci. Siamo impegnati con investimenti considerevoli in questi sviluppi, così come nell’automazione, perché è l’unico modo per mettere a disposizione in tempi molto rapidi informazioni filtrate e utili per prendere le decisioni migliori elaborando un’enorme mole di dati. Più automazione significa lasciare all’intervento umano solo quanto è veramente importante. Da qui tutta la ridefinizione e la nascita di servizi evoluti di Incident Response e molti altri, che è poi l’obiettivo che ci siamo dati come Fortinet, in modo specifico anche nell’ambito OT, proprio quando entrano in gioco target importanti come le infrastrutture critiche e governative che se attaccate hanno dei risvolti sociali importanti. All’interno delle organizzazioni militari, anche prima della guerra in Ucraina, la cyber war ha la stessa criticità di livello di rischio di una guerra convenzionale, e gli Stati attualmente sono organizzati per far fronte a queste problematicità con la giusta attenzione.
AF. Il fattore intelligenza artificiale è oggi un elemento da utilizzare per fare la differenza. Grazie a questa possiamo compiere un salto di qualità non indifferente nelle strategie di contrasto ai cyber criminali. Quando arriveremo a far risolvere la maggior parte delle situazioni in automatico dall’intelligenza artificiale, allora ci sarà una vera svolta. Oggi però è ancora difficile pensare di automatizzare completamente un ambiente industriale particolarmente critico e ad alto impatto. Sicuramente su questa strada c’è ancora molto da fare, ma la direzione è quella giusta e quindi dobbiamo crescere, capire e andare avanti.