Prevenire è (molto) meglio che curare

L’evoluzione delle tecnologie di produzione mostra chiaramente quanto siano centrali i sistemi informatici nel mondo manifatturiero. Questo rende le aziende ancora più vulnerabili ai cosiddetti cyber attacchi, in grande aumento a livello mondiale e anche in Italia. Con conseguenze molto serie per chi li subisce. ASSIOT e ASSOFLUID hanno organizzato un interessante momento di confronto sul tema.

di Fabrizio Dalle Nogare

Solo nei primi 6 mesi del 2017, quasi 2 miliardi di dati sono stati violati nel mondo, in aumento del 164% rispetto al semestre precedente (fonte: Gemalto). Al momento, secondo Cybersecurity Ventures, i costi del cybercrime sono stimati in circa 4.000 miliardi di dollari, ma si pensa che la cifra possa raggiungere i 6.000 miliardi nel 2021.

Bastano queste poche cifre per rendere l’idea della dimensione di un fenomeno, quello legato ai cyber attacchi e alla sicurezza delle informazioni, che interessa inevitabilmente anche il mondo industriale e produttivo, sempre più attento alla raccolta e all’analisi dei dati di produzione. “Stando ai dati diffusi di recente, l’industria manifatturiera italiana deve crescere in termini di consapevolezza della portata del fenomeno”, ha detto il direttore di ASSOFLUID Marco Ferrara. Della stessa idea è anche Fabrizio Cattaneo, segretario di ASSIOT, che ha sottolineato come sia importante “fare cultura su temi di cui, forse, si parla ancora poco”.

Una vera guerra sotterranea

Ha usato un’espressione mutuata dal mondo dell’informatica Simone Scanavini, eForHum Cisco Instructor, nell’introduzione al suo intervento: World Wide War. “Si tratta di una vera e propria guerra sotterranea, se pensiamo che ogni 40 secondi un’azienda nel mondo subisce un attacco – ha detto -. Il grande pericolo è quello di dover interrompere la produzione per un tempo difficile da definire, con danni molto rilevanti. Inoltre, gli attacchi possono anche durare mesi, addirittura anni e le aziende mettono a rischio anche la loro reputazione, che poi è molto difficile ricostruire”.

La fonte dell’attacco, poi, può essere esterna, ma anche interna all’azienda: secondo i dati relativi alla prima metà del 2017, a fronte del 73% degli attacchi provenienti dall’esterno, il 18% è imputabile ai cosiddetti malicious insider, cioè persone che lavorano in azienda.

“Secondo una ricerca condotta da Cisco Systems, soltanto il 56% degli allarmi di sicurezza viene investigato, mentre si riesce a porre rimedio a non più del 13% di questi”, ha aggiunto Scanavini.

L’evoluzione delle normative

Omar El Hamdani di Shielder, azienda che si occupa di sicurezza informatica, sviluppo web e design, ha quindi fatto una panoramica sugli strumenti legislativi, sia internazionali che nazionali, che regolano il tema della sicurezza delle informazioni. “Le nuove normative sulla protezione dei dati, e in particolare la General Data Protection Regulation (GDPR) europea, che avrà efficacia dal maggio 2018, rivoluzioneranno il mondo della sicurezza informatica – ha detto – garantendo più diritti all’utente. Ci sarà, tra l’altro, l’obbligo di comunicare qualsiasi eventuale attacco informatico”. A livello nazionale, le linee guida di riferimento in tema di cyber security sono quelle del CIS-Sapienza, fortemente orientate sulle PMI.

Francesco Di Prisco, Responsible for D.A.S. Training, si è soffermato sulle conseguenze concrete dei cyber attacchi, definiti come “atti criminosi penalmente rilevanti. Un’azienda sotto attacco si trova a disagio nei confronti di tre soggetti: dipendenti, clienti e fornitori, con conseguenze immaginabili. Difendersi è obbligatorio e può essere molto costoso”.

Alla ricerca delle vulnerabilità

Ma come si mette in atto un cyber attacco? Abdel Adim Oisfi di Shielder ha illustrato cinque scenari su casi effettivamente affrontati.

Si tratta di test che simulano un attacco per verificare l’affidabilità delle strategie di prevenzione e difesa implementate dalle aziende.

“Si parte sempre dall’identificazione delle vulnerabilità – ha spiegato Oisfi – attraverso quelli che sono chiamati penetration test oppure per mezzo di un OSINT, acronimo di Open Source INTelligence, che consiste nella ricerca di informazioni su piattaforme o fonti di pubblico accesso – per esempio i social network – per trovare dei possibili punti di accesso al sistema informatico di un’organizzazione. In linea di massima, non servono molte informazioni per capire quanto un’azienda sia vulnerabile”.

Dei cinque scenari descritti, che prendevano in esame realtà di dimensioni diverse tra loro, il più semplice era quello di un’azienda con dipendenti dislocati in varie sedi nel mondo e in grado di gestire la strumentazione da remoto. Le risorse erano esposte su Internet ed è stato facile decifrare le credenziali, diventare amministratori della rete e “spegnere” l’azienda.

La difficoltà di accesso nei vari esempi descritti cresceva fino al caso di un’azienda molto grande nel settore dell’energia, molto ben protetta sia a livello virtuale che fisicamente. In questo caso, la vulnerabilità è stata rintracciata nei badge di accesso dei dipendenti, che sono stati clonati grazie a un dispositivo che poteva essere avvicinato alle tessere durante gli spostamenti in metropolitana dei dipendenti stessi.

Gli attaccanti, dotati di badge, sono quindi potuti entrare all’interno dell’azienda e agire sul sistema IT. Ben più complicato, ma per nulla impossibile.