IN EVIDENZATECNOLOGIA

Cybersecurity: l’esperienza industriale

Il giro d'affari dei crimini informatici ha da tempo superato quello del narco-traffico mondiale. Quali gli ambiti più a rischio e cosa possono fare le aziende per tutelarsi?

La consapevolezza sull’importanza della cybersecurity sta crescendo a tutti i livelli, a partire dai vertici della Commissione Europea che ha annunciato una serie di provvedimenti per costruire una sicurezza cibernetica forte per l’UE. Immagine: Pixabay

APPROFONDIMENTO – Industria 4.0, Quarta Rivoluzione industriale: OggiScienza ha già affrontato questi temi. Stiamo vivendo un cambiamento epocale nel modo di pensare l’industria, con l’introduzione di avanzate tecnologie di automazione che prevedono elevate interazioni con gli esseri umani e interconnessione su rete, ossia la capacità di far dialogare macchine, apparati e sistemi di produzione mediante specifici protocolli. È proprio questo aspetto, un requisito irrinunciabile per le macchine e i siti di manufacturing di nuova generazione, a determinare una maggiore esposizione agli attacchi informatici. Non a caso, sia a livello nazionale che europeo, le istituzioni governative hanno indicato nella cybersecurity una delle sfide più significative e cruciali nell’implementazione dei nuovi paradigmi di industria.

Tematiche complesse e relativamente recenti che vanno gestite su tutti i livelli, dai tavoli della Commissione Europea fino alle scrivanie e agli home computer degli utenti comuni. Abbiamo ascoltato il parere di chi affronta quotidianamente questi problemi nel mondo dell’industria: Antonio Giustino, Corporate Industrial Risk Manager del gruppo Solvay e membro del comitato scientifico di SPS Italia, che da più di 30 anni lavora nell’ambito IT, tecnologie dell’informazione.

L’innovazione tecnologica è un fattore strategico nello sviluppo di business, ma espone anche al rischio di attacchi informatici. Quali sono le contromisure che un’impresa dovrebbe adottare, se sviluppa o utilizza sistemi e componenti potenzialmente vulnerabili?

L’innovazione tecnologica è di fatto strettamente connessa alla trasformazione digitale e richiede tempi di implementazione rapidi, per cogliere importanti opportunità di mercato sia da parte di chi sviluppa nuove soluzioni o sistemi che da parte di chi li utilizza. Questo è il motivo per il quale, purtroppo, la progettazione dei meccanismi di cybersecurity è raramente considerata per i dispositivi e le applicazioni, perché ne allungherebbe significativamente il time to market. In altre parole, siamo in presenza di un mercato non ancora sufficientemente responsabilizzato nei confronti delle minacce cyber e pertanto complice nell’accrescimento della propria esposizione al rischio di possibili attacchi, che stanno inesorabilmente accompagnando la trasformazione digitale.

Questo problema è ancora più evidente se si osserva cosa sta succedendo per i dispositivi IoT, il principale ventre molle del digitale. Sono gli ingredienti di base di molti progetti che nel 2017 hanno fatto registrare un incremento di mercato del 40% rispetto al 2016, ma a fronte del quale si è osservato un incremento di attacchi cyber del 280%, a testimonianza del fatto che gli hackers stanno cercando di sfruttarne le note vulnerabilità.

Le principali contromisure necessarie, a livello di singola impresa, sono a mio avviso da attuare attraverso una reciproca consapevolezza che l’impresa 4.0 è una grande opportunità per sviluppare il business, ma richiede anche cultura a tutti i livelli gerarchici e investimenti in cybersecurity per evitare dolorosi fallimenti da entrambe le parti. Non è sostenibile moltiplicare rapidamente la propria cifra d’affari vendendo soluzioni digitali vulnerabili, che con alta probabilità verranno attaccate producendo presumibilmente danni agli acquirenti rivolti ai dati/informazioni, agli impianti produttivi, alle infrastrutture critiche, senza dimenticare il fattore umano, con serie conseguenze in termini di reputazione e di perdite di quote di mercato. C’è da augurarsi che il mercato diventi rapidamente maturo anche grazie alle nuove direttive legislative, best practices, standard, e più responsabile nell’interesse di tutti gli operatori.

E a livello di network di imprese?

Le imprese sono sempre più interconnesse e devono pertanto prendere coscienza del fatto che la vulnerabilità del singolo partner è anche la vulnerabilità di tutti gli altri nella filiera. Ciascuna impresa dovrebbe pretendere che le clausole contrattuali per gli accordi di business comprendano anche tutti gli accorgimenti necessari per rispettare il livello di rischio cyber “tollerato” nell’ambito di quella filiera, per poi attuare tutte le contromisure necessarie a cui dovranno seguire audit specifici periodici nei confronti di ciascun partner ed evidentemente nell’interesse di tutti.

Quali sono le principali iniziative delle istituzioni governative (UE, governi nazionali…) per aumentare la consapevolezza sulla importanza della cybersecurity e sui rischi connessi a una protezione insufficiente?

La consapevolezza sta crescendo a tutti i livelli, a partire dai vertici della Commissione Europea che nel settembre 2017 ha annunciato, tramite il suo presidente J-C. Junker, una serie di provvedimenti finalizzati a costruire una sicurezza cibernetica forte per l’UE, in termini di resilienza, deterrenza e difesa. Una delle novità annunciate è la proposta legislativa per realizzare  una vera e propria Agenzia di cybersecurity europea, da affiancare a un framework europeo di certificazione per la sicurezza cibernetica di prodotti e servizi oltre alla creazione di un Centro europeo di ricerca e competenze sulla sicurezza cibernetica, che dovrebbe diventare operativo a partire dal 2018.

Tutto ciò all’interno dell’obiettivo UE di rafforzare la cooperazione internazionale in materia di cybersecurity. Tutti i paesi membri si stanno da tempo muovendo, in primis la Francia che attraverso l’Agence Nationale de la Sécurité des Systèmes D’Information (ANSSI) ha lanciato un’importante iniziativa per rafforzare i sistemi di difesa dagli attacchi cyber per tutte le società – pubbliche e private – che operano in settori considerati di importanza vitale per il paese.

L’Italia non è certo il fanalino di coda: oggi può vantare una delle legislazioni più avanzate anche grazie al DPC Gentiloni del 2017, che chiede di rafforzare il Nucleo Sicurezza Cibernetica, l’unificazione del Computer Emergency Response Team Nazionale, il CERT, e del CERT-PA, mettendo anche a disposizione un fondo di venture capital per la creazione di start-up che sviluppino tecnologia di interesse nazionale attivando un ecosistema cyber tra il mondo accademico e le imprese. Di estrema importanza è stato anche il recepimento, a febbraio 2018, della direttiva europea Network and Information Security (NIS) che prevede una serie di misure finalizzate alla realizzazione di un livello di sicurezza comune per l’UE, e che persegue tre principali obiettivi:

  • Promuovere una cultura di gestione del rischio e di segnalazione di incidenti cyber a partire dagli operatori che forniscono servizi essenziali per il paese e i fornitori di servizi digitali
  • Favorire lo sviluppo di competenze nazionali per la cybersecurity
  • Rafforzare la cooperazione a livello nazionale e in ambito UE anche interconnettendo i vari CERT al fine di predisporre prevenzione e risposte rapide agli incidenti.

Nel marzo 2016 l’Italia si è dotata di un framework nazionale per la cybersecurity derivato dalla statunitense National Institute Standard Technologies (NIST). A distanza di circa un anno è stato presentato anche in una forma semplificata, per meglio rispondere all’ importante realtà di PMI nel nostro paese. Sono queste le imprese maggiormente esposte agli attacchi attacchi cyber, perché spesso non dotate delle competenze e consapevolezza necessarie.

I veicoli a guida autonoma, i droni e i robot sono sistemi potenzialmente vulnerabili, con conseguenze anche per le persone. Dove troviamo i rischi più elevati?

È difficile dirlo, perché sono le singole applicazioni e le loro finalità a determinare il livello di gravità delle possibili conseguenze per le persone, se non adeguatamente protette dal lato cyber. Esistono già molti esempi di veicoli a guida autonoma che sono stati hackerati, droni che non rispondono più ai nostri comandi ma a quelli di malintenzionati, per non parlare di robot, veri e propri assemblati di componenti e sistemi complessi, che hanno imparato a cooperare con l’uomo ma che possono anch’essi essere compromessi e causare danni fisici agli operatori.

Dobbiamo quindi rinunciare alle opportunità che queste tecnologie ci offrono? 

Direi proprio di no. Se giriamo la medaglia scopriamo che i veicoli a guida autonoma ci porteranno a una mobilità più sicura rispetto a quella odierna, in quanto ridurranno la probabilità di incidenti stradali, senza dimenticare le innumerevoli applicazioni dei droni come le operazioni di pronto soccorso che migliorano l’efficacia degli interventi – evitando di mettere a repentaglio la vita dei soccorritori – e l’inevitabile impiego dei robot che nel 2018 dovrebbe raggiungere 1,3 milioni di unità nelle fabbriche di tutto il mondo, per supportare la trasformazione digitale industriale e proteggere l’incolumità fisica dei lavoratori sostituendosi a loro nelle circostanze di pericolo. Saranno le istituzioni e il mercato a decidere l’entità del successo di queste innovazioni, con normative che impongano ai produttori di garantire un’adeguata protezione agli attacchi cyber delle loro soluzioni tecnologiche e agli acquirenti di scegliere il fornitore che sarà in grado di conquistarsi una adeguata fiducia – e una reputazione che possa premiarlo -.

Teniamo tuttavia presente che le vulnerabilità dei sistemi agli attacchi cyber evolveranno esponenzialmente a seguito della progressiva introduzione dell’intelligenza artificiale, in tutte le sue forme. Pertanto dobbiamo prepararci a scenari da incubo se i rischi non verranno adeguatamente e continuamente contrastati, con una accresciuta consapevolezza a tutti i livelli.

La crittografia quantistica è un approccio alla crittografia che si serve di proprietà della meccanica quantistica nella fase dello scambio della chiave – ossia il meccanismo usato per decifrare un messaggio – per evitare che questa possa essere intercettata da un hacker o da personale non autorizzato: quanto è applicabile a oggi?

La crittografia  quantistica si basa su idee proprie della fisica quantistica, che renderebbe possibile la creazione di un computer quantistico – altamente innovativo e completamente diverso da quello che usiamo oggi – capace di rendere vulnerabili tutti gli attuali sistemi crittografici e pertanto portatore di una nuova generazione di sistemi crittografici quantistici assolutamente inattaccabili.

Prima di cinque o dieci anni non potremo delinearne una ragionevole applicazione, ma esistono i primi sistemi crittografici, sia pur di tipo teorico, per i quali qualche mese fa ci sono stati i primi esperimenti di laboratorio con risultati incoraggianti. Il principio è il seguente: quando due nodi di una rete quantistica si mettono in contatto scambiandosi chiavi crittografiche private, se si presenta un’interferenza provocata da un’intromissione indesiderata, tale intromissione può corromperere la chiave crittografica rendendo illeggibili dati e informazioni. Il sistema sarebbe in grado di accorgersi del tentativo di intromissione e di distruggere automaticamente il contenuto della trasmissione; una vera e propria rivoluzione e un gran passo in avanti nella ricerca di una strada più rassicurante nell’eterna lotta per la cybersecurity tra gli hackers e gli esperti di sicurezza informatica.

Ci sono altre tecnologie già pronte per aumentare la sicurezza dei sistemi informatici e delle macchine?

Lo sviluppo di queste tecnologie è un processo continuo ma oltre ai good guys ne beneficeranno anche gli hackers criminali. Pensiamo alla blockchain, un’altra tecnologia che impatterà in modo significativo sulla cybersecurity. Ha due caratteristiche sostanziali: l’incorruttibilità del dato, poiché una transazione inserita non può più essere manomessa, e l’incorruttibilità del network, dal momento che ogni transazione deve essere riconosciuta da migliaia di nodi e un hacker dovrebbe comprometterli contemporaneamente per falsificarla.

Si tratta di una tecnologia nata in ambito bancario e finanziario che ha creato grandi aspettative anche nel mondo industriale, dei servizi e della cybersecurity, soprattutto per bloccare i furti d’identità, prevenire la manomissione dei dati e opporsi alle offensive hacker. È promettente ma ancora immatura per le applicazioni di cybersecurity, vista la piena fase di sviluppo che sta attraversando.

Il caso Meltdown&Spectre ha evidenziato come anche i computer domestici e gli smartphone possano essere vulnerabili. Cosa può fare al riguardo un semplice utente? 

Questo recente caso ha evidenziato la vulnerabilità della maggior parte dei computer e smartphone prodotti negli ultimi 15-20 anni, in quanto la falla di sicurezza riguarda i processori delle principali aziende produttrici di microchip (Intel, ARM e AMD). La conseguenza per noi tutti è che siamo potenzialmente a rischio per furti di dati e password, a meno che non si provveda ad installare subito le patch per il software di base che soprattutto Microsoft, Apple, e Google hanno messo a disposizione in tempi rapidi con rilasci progressivi. Queste sono di fatto le uniche contromisure che un semplice utente può e dovrebbe attuare.

Molto più delicato è l’analogo aggiornamento per i sistemi di controllo industriale, in quanto l’attività di test per verificare la compatibilità di queste patch con i sistemi ICS da parte dei produttori di impianti sta evidenziando alcuni problemi di natura tecnica, che dovranno essere rimossi in modo puntuale perché spesso sono sistemi critici che governano anche le infrastrutture nazionali di utilities e servizi strategici.

Quali sono le principali preoccupazioni cyber nella sua organizzazione o in di altre con le quali è in contatto per la trasformazione digitale in atto?

Il Gruppo Solvay si è da tempo attrezzato a livello globale per prevenire minacce informatiche e per rispondere in tempi rapidi a un eventuale attacco. Da un lato continuiamo ad investire nelle tecnologie più innovative, dall’altro siamo molto attivi sul fronte della formazione del personale a tutti i livelli per aumentarne la consapevolezza sulle tematiche delle minacce cyber. La principale preoccupazione cyber è senza dubbio la continua crescita delle minacce evidenziate dalle statistiche di numerosi osservatori nazionali e internazionali, anche se questo non ci sorprende affatto essendo il prezzo da pagare per la trasformazione digitale in atto. Illustri analisti convengono sul fatto che la cifra d’affari del mercato del crimine cyber ha da tempo superato l’ordine di grandezza di quello del narco-traffico mondiale.

D’altro canto si osserva dai report ufficiali di varie fonti che gli attacchi cyber si stanno facendo sempre più organizzati, più sofisticati, più mirati e più frequenti, ma quello che più spaventa è che il crimine informatico è diventato una vera e propria industria, ben strutturata con una sua gerarchia e un suo modello di business che opera prevalentemente nel cosiddetto Dark Web, dove sono disponibili dei veri e propri marketplace dotati di listini per chi, non necessariamente esperti, voglia acquistare dei vettori di attacco che sfruttino le vulnerabilità identificate da specialisti, o addirittura dei toolkit per creare nuovi malware.

Questi operatori malintenzionati hanno intenti chiari e metodi sofisticati: il nostro compito è comprenderli per prevenirne le conseguenze, cercando di ridurre il tempo che gli hackers hanno a disposizione per portare a termine gli attacchi, per poi cercare di individuarli. La logica conseguenza è che abbiamo la progressiva necessità di nuove tecnologie, competenze, processi e organizzazione, per minimizzare i rischi. Siamo di fronte a una battaglia alla quale difficilmente si potrà porre la parola “fine”, ma che dovrebbe essere affrontata con una prospettiva di continuità nel tempo.

segui Gianpiero Negri su Twitter

Leggi anche: Intelligenza artificiale: che cosa ci attende nel 2018?

Pubblicato con licenza Creative Commons Attribuzione-Non opere derivate 2.5 Italia.   

Condividi su
Gianpiero Negri
Laureato in Ingegneria Elettronica, un master CNR in meccatronica e robotica e uno in sicurezza funzionale di macchine industriali. Si occupa di ricerca, sviluppo e innovazione di funzioni meccatroniche di sicurezza presso una grande multinazionale del settore automotive. Membro di comitati scientifici (SPS Italia) e di commissioni tecniche ISO, è esperto scientifico del MIUR e della European Commission e revisore di riviste scientifiche internazionali (IEEE Computer society). Sta seguendo attualmente un corso dottorato in matematica e fisica applicata. Appassionato di scienza, tecnologia, in particolare meccatronica, robotica, intelligenza artificiale e matematica applicata, letteratura, cinema e divulgazione scientifica, scrive per Oggiscienza dal 2015.