Cyber Security nel Settore Manifatturiero: la situazione

Il settore manifatturiero è sempre più nel mirino dei criminali informatici. Secondo l’ultimo Report Clusit, in Italia nell’ultimo anno gli attacchi verso il manifatturiero sono aumentati del 25%, confermando un trend in costante crescita da 4 anni a questa parte.

Questi dati allarmanti dimostrano come al giorno d’oggi definire ed implementare una solida strategia di difesa contro gli attacchi informatici debba essere una priorità per tutte le PMI.

Comprendere i rischi e intraprendere azione preventive contro gli attacchi IT è fondamentale per proteggere i dati sensibili di produzione, preservare la reputazione e garantire la continuità operativa.

La convergenza tra IT Security e OT Security

Uno degli ambiti con cui il manifatturiero deve fare i conti è la convergenza tra la sicurezza IT e la sicurezza OT.

La tecnologia OT si riferisce ai sistemi e ai dispositivi utilizzati per controllare i processi di produzione e le operazioni fisiche all’interno delle fabbriche. Questi possono includere dispositivi come sensori, sistemi di automazione e macchinari industriali.

La tecnologia IT comprende i tradizionali sistemi informatici utilizzati per la gestione dei dati, la comunicazione e le operazioni amministrative all’interno dell’azienda.

L’aumento dell’interconnessione derivante dal paradigma di Industria 4.0 e dall’imminente evoluzione 5.0, ha portato all’aumento del numero dei macchinari intelligenti, che elaborano e comunicano una grande quantità di dati.

Ogni macchinario è infatti collegato alle rete tramite sensori IoT e fornisce una possibile via per l’intrusione nel sistema IT aziendale.

L’interconnessione tra questi due mondi, se gestita in modo non sicuro, può creare vulnerabilità significative. Ad esempio, un attacco informatico mirato ai sistemi IT potrebbe essere utilizzato come punto di accesso per compromettere i sistemi OT, mettendo a rischio la produzione e la sicurezza dei dipendenti.

Per mitigare questi rischi, le PMI dovrebbero adottare le seguenti misure:

• Segmentazione della rete:  separare virtualmente le diverse parti della nostra rete aziendale per garantire che un eventuale attacco su una parte non possa compromettere l’intera rete. Ciò significa che anche se un’area della rete viene compromessa, le altre aree rimangono protette.

• Implementazione di controlli di accesso: limitare l’accesso ai sistemi OT e IT solo al personale autorizzato può ridurre il rischio di compromissione da parte di individui non autorizzati.

L’autenticazione a più fattori e l’implementazione di privilegi minimi, ovvero limitare l’accesso dei dipendenti solo alle risorse e alle informazioni necessarie per svolgere il proprio lavoro, possono contribuire a garantire che solo le persone con il livello appropriato di autorizzazione possano accedere ai sistemi critici.

• Monitoraggio continuo: l’implementazione di sistemi di monitoraggio continuo delle reti e dei dispositivi OT e IT può consentire alle aziende di rilevare tempestivamente eventuali anomalie o attività sospette. Il rilevamento precoce può aiutare a limitare i danni e ad adottare misure correttive rapidamente.

• Aggiornamenti regolari e patching: mantenere i sistemi OT e IT aggiornati con gli ultimi patch di sicurezza è fondamentale per proteggere le PMI da vulnerabilità note e noti metodi di attacco. Le patch correggono le falle di sicurezza nel software e nei dispositivi, rendendo più difficile per i cyber criminali sfruttarle per scopi dannosi.

L’interconnessione tra i sistemi OT e IT nel settore manifatturiero offre opportunità di efficienza e innovazione, ma presenta anche sfide significative in termini di sicurezza informatica.

Solo attraverso un approccio olistico alla sicurezza informatica, le PMI possono proteggere efficacemente le proprie operazioni e garantire la continuità del proprio business nel panorama digitale sempre più complesso.

Quali sono i punti deboli da proteggere?

Molti erroneamente pensano che le macchine industriali connesse alla rete aziendale, ma non direttamente a Internet, non siano raggiungibili dall’esterno. Niente di più sbagliato. Ecco i punti deboli da proteggere:

• Accesso tramite rete aziendale: un attaccante che riesce a penetrare la rete aziendale, anche semplicemente tramite un attacco phishing via e-mail, può raggiungere qualsiasi punto della rete, incluse le macchine di produzione collegate al MES e all’ERP.

• Persistenza degli attacchi: spesso questi attacchi rimangono latenti per diversi giorni o mesi, permettendo all’attaccante di studiare i punti deboli e generare danni significativi, aumentando il valore del riscatto.

• Impatto sulla produzione: bloccare l’intera produzione prendendo il controllo dei macchinari critici può causare danni devastanti per un’azienda manifatturiera, sia economicamente che a livello di immagine.

• Reti Wi-Fi non protette: nei capannoni industriali, le reti Wi-Fi spesso non sono adeguatamente protette. In alcune realtà, le stesse reti utilizzate in produzione sono accessibili dai dipendenti per navigare su internet tramite i propri dispositivi personali.

• Propagazione tramite dispositivi personali: un dipendente che apre una mail di phishing o scarica un’app contenente malware sul proprio smartphone può propagare un attacco attraverso la rete Wi-Fi aziendale, compromettendo sia i server locali che quelli in cloud, se non adeguatamente protetti.

• Mancanza di un reparto IT dedicato: nelle PMI, spesso non esiste un reparto IT dedicato alla cyber security. La gestione è demandata a aziende esterne, il che non contribuisce a mantenere un livello di sicurezza adeguato.

• Vulnerabilità nella supply-chain: la manutenzione delle macchine, senza precise policy di connessione e protezione degli account, può essere un veicolo di trasmissione di attacchi. Utilizzare la stessa password per accedere e fare manutenzione alle macchine dei clienti è un ulteriore rischio.

• Utilizzo dell’intelligenza artificiale da parte degli hacker: l’intelligenza artificiale, se da un lato può snellire i processi industriali, dall’altro viene sempre più utilizzata dagli hacker per studiare e realizzare attacchi sempre più sofisticati.

Le funzionalità del SIEM per l’OT Security

Il Security Information and Event Management (SIEM) è una tecnologia fondamentale per migliorare la sicurezza dei sistemi di Operational Technology (OT). 

Le funzionalità del SIEM permettono di raccogliere, analizzare e correlare i dati di sicurezza in tempo reale, fornendo un quadro completo delle minacce e delle vulnerabilità.

Raccolta e Centralizzazione dei Dati

Il SIEM centralizza la raccolta di dati provenienti da diverse fonti, come dispositivi di rete, server, firewall e sistemi di controllo industriale. 

Questa centralizzazione è cruciale per i sistemi OT, in quanto consente di ottenere una visione unificata dello stato di sicurezza, riducendo il rischio di perdere eventi critici che potrebbero indicare un attacco o un malfunzionamento.

• Raccoglie log e eventi in tempo reale, facilitando l’identificazione immediata di anomalie.

• Permette di monitorare attività sospette, come accessi non autorizzati o modifiche alle configurazioni, che potrebbero compromettere la sicurezza.

Correlazione e Analisi degli Eventi

Una delle funzionalità principali del SIEM è la capacità di correlare eventi e log provenienti da fonti diverse. Questa correlazione aiuta a identificare schemi di comportamento anomalo che potrebbero non essere evidenti se analizzati singolarmente.

• Analizza i dati per identificare correlazioni tra eventi, come un accesso non autorizzato seguito da un cambiamento di configurazione.

• Utilizza algoritmi di machine learning per migliorare la rilevazione delle minacce, adattandosi continuamente ai nuovi modelli di attacco.

Risposta agli Incidenti

Il SIEM non solo rileva le minacce, ma facilita anche una risposta rapida e coordinata. Quando viene identificato un evento di sicurezza, il sistema può generare alert e notifiche per il team di sicurezza, consentendo un intervento tempestivo.

• Automatizza le azioni di risposta, riducendo il tempo necessario per contenere e mitigare gli incidenti.

• Fornisce strumenti per la gestione degli incidenti, consentendo una collaborazione efficace tra i membri del team di sicurezza.

Gestione della Conformità

I sistemi OT devono spesso rispettare normative rigorose. Il SIEM aiuta a monitorare e documentare le attività per garantire la conformità a standard di sicurezza e regolamenti.

• Genera report dettagliati che semplificano le procedure di audit e dimostrano la conformità alle normative.

• Identifica e documenta le lacune di sicurezza, consentendo alle organizzazioni di adottare misure correttive.

Riduzione del Rumore e Aumento dell’Efficienza

Un altro vantaggio significativo del SIEM è la sua capacità di ridurre il “rumore” di alert, filtrando gli eventi non rilevanti. Questo è particolarmente utile nei sistemi OT, dove le operazioni devono rimanere efficienti e ininterrotte.

• Stabilisce filtri per concentrare l’attenzione su eventi significativi, riducendo l’affaticamento da allerta tra il personale di sicurezza.

• Migliora l’efficienza operativa monitorando non solo le minacce, ma anche le prestazioni del sistema, facilitando la manutenzione predittiva e la gestione delle risorse.

Difendi la tua azienda con SGBox

La Piattaforma SGBox Next Generation SIEM & SOAR è la soluzione modulare e scalabile in grado di adattarsi alle specifiche esigenze di sicurezza delle PMI.

SGBox combina le funzionalità di raccolta, correlazione e analisi delle informazioni di sicurezza offerte dal SIEM (Security Information & Event Management) con l’automazione e l’orchestrazione delle attività di sicurezza offerte dal SOAR (Security Orchestration, Automation & Response).

La sua adozione permette di impostare una strategia di difesa proattiva contro le minacce informatiche, grazie all’analisi approfondita e al rilevamento tempestivo dei pericoli che possono compromettere l’integrità dei sistemi OT e IT.