Hacking Industry

Articolo pubblicato su L'Industria Meccanica n. 712.

75.600 euro. A tanto ammonta, secondo un recente studio di Kaspersky Lab, il danno causato mediamente alle Pmi italiane ogni anno dalle violazioni di dati.

Una cifra che, nel caso delle grandi aziende, lievita fino a oltre 850 mila euro. Sono numeri di tutto rilievo che dovrebbero spingere le imprese a investire in sistemi di difesa e – sempre secondo lo studio Kaspersky Lab – anche a tener d'occhio i propri partner di filiera, visto che le perdite più gravi derivano proprio da incidenti dovuti a falle che hanno colpito fornitori con cui condividevano dati.

Secondo Clusit, l'associazione degli esperti di sicurezza informatica, i criminali informatici hanno avuto vita facile perché le aziende hanno preso sotto gamba il pericolo di attacchi alla Cyber Security e non hanno fatto investimenti per proteggersi. In parallelo è aumentato il perimetro aggredibile da parte dei criminali informatici.
L'internet of things, il telelavoro, i dispositivi di industria 4.0 di fatto aumentano il numero di punti da cui un hacker può violare un'azienda. E se queste non adottano contromisure, il rischio di essere attaccati è dietro l'angolo.

«Nel primo semestre 2017 la cyber-insicurezza ha effettuato un "salto quantico" a livello globale, raggiungendo livelli in precedenza inimmaginabili», spiega Andrea Zapparoli Manzoni, membro del comitato direttivo di Clusit (l'associazione italiana per la sicurezza informatica) e tra gli autori del Rapporto Clusit 2017. E aggiunge: «Questo a fronte di investimenti in Sicurezza Ict ancora del tutto insufficienti rispetto al valore del mercato di beni e servizi Ict, nonché alla percentuale di Pil generato tramite l'applicazione dell'Ict da parte di organizzazioni pubbliche e private e dai privati cittadini. È quindi necessario mettere a punto un nuovo modello di investimenti in Cyber Security, commisurandoli adeguatamente alle minacce attuali. Pena una crescente e significativa erosione dei benefici attesi dal processo oggi in atto di digitalizzazione della società».

Secondo Assolombarda «Gli investimenti in Cyber Security sono in crescita del 6% a quota 1.224 milioni di euro, così come le certificazioni su questo tema. Ma non possiamo ritenerci soddisfatti: gli attacchi diventano sempre più frequenti e sofisticati», dice Alessandro Spada, vicepresidente dell'associazione. «Occorre una strategia di Cyber Security che sia diffusa a tutti i livelli delle organizzazioni aziendali e promuovere la diffusione di piattaforme aperte che rendano accessibili anche alle Pmi gli strumenti di difesa».

Cyber attacchi? Basta un click.
«Se il 2016 è stato l'annus horribilis della sicurezza cyber, nel 2017 la situazione è persino peggiorata», sostiene il presidente del Clusit, Gabriele Faggioli. «Oggi in Italia, come nel mondo, qualsiasi organizzazione è concretamente a rischio di un attacco informatico significativo».

A destare preoccupazione – sottolinea Faggioli – è anche «la crescita delle minacce verso gli smartphone, un oggetto ormai posseduto da tutti spesso senza adeguati sistemi di protezione, e in generale la crescente esposizione degli utenti a social, cloud o Internet of Things, senza le necessarie misure di sicurezza. Mentre è in crescita l'aggressività degli attaccanti e sul mercato nero si diffondono strumenti di attacco sempre più sofisticati».
Un esempio lampante è quello del phishing, la tecnica utilizzata dai cyber criminali per rubare dati sensibili tramite l'invio di mail. Su questo è interessante leggere i dati di uno studio realizzato dal Cefriel, società partecipata da università, imprese e pubbliche amministrazioni che realizza progetti di innovazione digitale e di sviluppo del capitale umano. Dopo un attacco di phishing fino al 60% dei destinatari clicca su link ingannevoli e circa tre quarti (75%) di questi cede anche le proprie credenziali senza verificare l'attendibilità del mittente, specie nei primi venti minuti dal ricevimento della mail stessa.

Analizzando i dati per settore, paradossalmente quello bancario/assicurativo è risultato il più vulnerabile. Dagli attacchi condotti su più aziende del settore risulta che in media il 41% clicca sul link ingannevole, mentre in media il 27% inserisce le proprie credenziali. Numeri più bassi, ma comunque preoccupanti, per chi opera nel settore manifatturiero: il 34% clicca sul link, il 18% inserisce anche le credenziali.

«Ogni volta che facciamo questi test – ha dichiarato Alfonso Fuggetta, Ceo di Cefriel – ci accorgiamo che è determinante il fattore umano oltre all'aspetto tecnico.

La velocità con cui questi attacchi prendono piede è la dimostrazione che è necessario un progetto di formazione per cambiare l'approccio culturale degli utenti.

Ormai – ha proseguito Fuggetta – ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker. Per prevenire questi attacchi – ha concluso – bisogna farsi sempre una domanda in più e nell'incertezza non fare quel click che può risultare quasi istintivo».

Le peculiarità dell'industria e la sfida della digitalizzazione
Un'industria che voglia sviluppare il proprio potenziale competitivo e rispondere alla sfida di produzioni integrate, flessibili e sempre più connesse non può permettersi di sottostimare il rischio che l'interconnessione degli asset comporta.

Nell'era dell'industria 4.0 qualsiasi dispositivo può trasformarsi da preziosa fonte di dati in un potenziale pericolo, un punto di accesso alla rete aziendale da parte dei cybercriminali. E non solo a causa di una scarsa protezione perimetrale: non solo perché IoT e Cloud stanno allargando il perimetro aziendale, ma anche perché tutte le più recenti analisi dimostrano che gli attacchi ormai arrivano anche dall'interno delle organizzazioni e che il fattore umano conta almeno quanto quello tecnologico.

«Oggi i temi della Ot security e della continuità operativa sono di estrema importanza nello sviluppo dei piani di innovazione e digitalizzazione in ottica industria 4.0 e utility 4.0, sia quindi nei contesti tipici del manufacturing che nelle infrastrutture per erogazione di servizi essenziali», spiega Enzo Maria Tieghi, presidente dello steering comittee di Ics Forum. Per questo è importante «segmentare e segregare» le reti industriali come base di partenza per dotarsi di un'architettura in grado di resistere e reagire ai cyber attacchi. «Teniamo conto – sottolinea Tieghi – che questo è un tema che ha a che fare con la business continuity delle imprese e per questo, oltre a proteggersi superando le tradizionali tecniche che puntano a erigere muri a difesa di un perimetro industriale sempre più liquido, le imprese devono anche imparare a prevedere un piano B da mettere in atto nel caso in cui si subisca un attacco».

Se oggi subire un attacco è una certezza, sapervi reagire è una sfida da vincere. Le conseguenze di una preparazione non adeguata possono infatti essere davvero pesanti, come tutti i più recenti episodi hanno dimostrato: oltre al danno economico legato a un fermo macchina/impianto imprevisto, bisogna mettere in conto la potenziale perdita dei dati aziendali e della proprietà intellettuale, il danno d'immagine, i danni che si possono procurare a terzi, per non parlare dei pericoli per la sicurezza fisica degli operatori.

Sul tema della Cyber Security industriale il percorso che le imprese hanno davanti è ancora lungo, soprattutto sul piano culturale. "Industria 4.0 rende necessaria un'analisi dell'affidabilità dei sistemi aziendali e una maggiore diffusione della cultura della sicurezza informatica tra le imprese", sottolinea Alvise Biffi, coordinatore dell'Advisory Board Cyber Security di Assolombarda e vicepresidente della Piccola Industria di Confindustria e Assolombarda.

Chiudersi a riccio non è la soluzione

Le preoccupazioni relative ai rischi sulla Cyber Security sembrerebbero mettere gli imprenditori davanti a un dubbio quasi amletico: lasciarsi attrarre dalle opportunità offerte dall'apertura dei sistemi industriali o cedere alla paura e chiudersi a riccio, rifiutando i concetti di base dello smart manufacturing? La risposta sta – come spesso accade – nel mezzo: aprirsi con giudizio, cioè ponendo la dovuta attenzione alla gestione attiva del tema "sicurezza".

«Il rischio cyber è una componente del rischio economico della gestione di impresa. La sicurezza non deve rimanere al livello del tecnico del Ced (centro elaborazione dati NdR)», dice Roberto Baldoni, professore dell'Università La Sapienza di Roma e direttore del Laboratorio Nazionale di Cyber Security del Consorzio Cini. «La crescente interconnessione ha portato a una perdita del confine tra spazio fisico e cyberspace. Oggi la Cyber Security è dappertutto. Nelle Cpu, nel software, negli smart devices, nella supply chain… ma anche e soprattutto nell'umano come attore principe del gioco».

Tre gli strumenti. Il Framework Nazionale per la Cyber Security è uno strumento di autovalutazione tramite best practices per definire una roadmap, che nasce per aiutare le aziende a operare un risk management avanzato.
Per rendere la gestione della Cyber Security accessibile alle Pmi sono invece stati pensati i "controlli essenziali", 15 controlli che consentono alle Pmi di innalzare immediatamente il loro livello di sicurezza. Ultimo passo è il Cyber Security Check sviluppato da Assolombarda: un tool disponibile online, e aperto a tutte le imprese, che consente di ottenere un quadro sul livello di rischio della propria azienda individuando gli aspetti strategici per mettere in sicurezza i propri sistemi.