L’apertura all’IT e le logiche di digitalizzazione degli ambienti produttivi portano la connettività anche in apparecchiature e tecnologie operative che fino a pochi anni fa non erano esposte a problemi di cybersecurity. La convergenza IT/OT diviene invece oggi nelle moderne fabbriche digitali un’esigenza operativa strategicamente rilevante, con l’interconnessione tra tecnologie di produzione e sistemi informativi e la raccolta e trasmissione di dati da ogni punto del sistema aziendale. Questo comporta però di fatto una potenzialmente pericolosa estensione della superficie vulnerabile agli attacchi informatici.
In questo contesto, è quindi utile spiegare con chiarezza la differenza che passa tra misure di sicurezza informatica con agenti installati, tipicamente sui cosiddetti end-point, e soluzioni di cybersecurity agentless, che diventano necessari e fondamentali per garantire la sicurezza informatica nei moderni ambienti di produzione interconnessi.
Tipicamente una soluzione EDR – End Detection & Response, è un agent, ossia un componente software che a basso livello controlla quello che accade nel dispositivo monitorato, e può essere installato dove è presente un sistema operativo aperto, dunque su macchine Windows, Mac e Linux. Con la digitalizzazione, esiste oggi però tutta una sere di dispositivi, normalmente dispositivi IoT, che funzionano con software embedded non gestibili, nel senso che non consentono di installare degli agent.
Telefoni, telecamere di sorveglianza, sistemi e dispositivi IoT, i sistemi di remotizzazione, i citofoni, i sistemi di apriporta, ma anche relè e PLC, non possono essere gestiti ai fini della cybersecurity mediante soluzioni EDR, in quanto sono di fatto dei sistemi che vengono confezionati chiusi su se stessi. E’ allora necessario ricorrere a strategie diverse, tipicamente NDR – Network Detection & Response, che non sono intese a capire come interagisce il sistema operativo dell’end-point, ma mirano invece a verificare quelle che sono le attività di rete che questi dispositivi compiono.
Per chiarire il concetto è utile un esempio: una telecamera viene attaccata e il suo sistema operativo viene preso da un hacker, che comincia a sfruttarlo per fare delle attività, per esempio di raccolta informazioni. Questo cosa significa? Che l’hacker entra nel sistema operativo di una telecamera IP che è vulnerabile, ne prende il controllo amministrativo e lancia quindi una scansione della rete. La scansione consiste in una enumerazione degli altri dispositivi presenti nella stessa rete aziendale in cui la telecamera è inserita.
Eseguendo una scansione di questo tipo, è quindi facile che l’hacker scopra la presenza di qualche altro dispositivo con delle porte aperte, con dei sistemi operativi particolari. Procede a questo punto a trovare quelli che sono potenziali altri bersagli da colpire. Sorge qui un altro punto critico: oggi moltissime reti aziendali presentano una architettura che si definisce piatta, ovvero tutti i dispositivi presenti nell’infrastruttura di rete si trovano all’interno dello stesso segmento di rete, su uno stesso piano. Dalla telecamera, l’hacker può così ad esempio parlare con il sistema di virtualizzazione dei server, con il sistema di backup, con il centralino telefonico, con il sistema che gestisce per esempio il condizionamento, quindi la building automation, e via di seguito.
Questo crea uno stato di forte insicurezza all’interno dell’organizzazione. La soluzione è quindi affidarsi a sistemi NDR che a livello di rete riescono a percepire, a capire che tipo di traffico il dispositivo A fa con il dispositivo B, in modo da garantire una corretta protezione informatica della rete. Questo aspetto è appunto preponderante nella protezione delle reti OT, in quanto ad esempio all’interno dei PLC, ovvero i sistemi di gestione industriale che comandano le operazioni delle macchine e dei sistemi di automazione, sono presenti dei sistemi operativi, software e quant’altro, che l’avvento di Industria 4.0 ha reso facilmente aggredibili.
La trasformazione portata da Industria 4.0 e dal Piano Transizione 5.0 ha infatti fatto sì che dispositivi come il PLC, che prima erano segregati in reti non connesse a internet, e quindi con gli uffici e i sistemi ERP e MES a livello superiore e con gli altri dispositivi, oggi comunichino e scambino dati e informazioni con tutto l’ecosistema della fabbrica connessa. Questa connettività estesa diffusa abilita una serie di processi di controllo centralizzato per ottimizzare l’efficienza, la produttività e la qualità dei processi, ma ha anche reso queste reti un facile target per gli attacchi informatici.
La possibilità di raccogliere informazioni mediante sistemi NDR agentless e di monitorare attentamente tutto quello che succede all’interno di una rete OT diviene allora un nuovo punto di partenza e di autorizzazione per costruire una solida ed efficace strategia di cybersecurity.