Cybersicurezza: i pilastri strategici per i CIO del manufacturing

La cybersicurezza toglie il sonno ai CIO: le minacce sono in continua evoluzione e bisogna essere sempre pronti a gestire gli incidenti. Per i manager IT del manufacturing il livello di attenzione è particolarmente alto: la manifattura è il secondo settore più bersagliato dai cyber-attacchi in Italia (17% del totale, dopo gli enti pubblici che ne attraggono il 23%) e gli incidenti di sicurezza contro il comparto rappresentano il 34% di tutti gli incidenti nel manufacturing censiti a livello globale, secondo i dati dell’ultimo rapporto semestrale dell’associazion italiana per la sicurezza informatica Clusit.

“Non esiste il rischio zero”, secondo Thomas De Pace,IT executive con esperienze passate in Indesit, Whirlpool e Gruppo Carvico (al momento preferisce non indicare di quale nuova società sarà CIO). “C’è sempre un compromesso tra esposizione e investimenti in cyber-protection. I rischi si mitigano, ma non si azzerano. Investire, però, è imprescindibile”.

Il rapporto Clusit riferisce che, nel primo semestre del 2023, gli attacchi cyber nel mondo hanno raggiunto il numero più alto di sempre: 1.382. Ma, mentre su scala globale la crescita degli attacchi rallenta (+11% contro +21% nel 2022), in Italia si registra un incremento del 40%. Considerando il periodo che va dal 2018 al primo semestre 2023, gli incidenti globali sono aumentati del 61,5%, ma in Italia sono cresciuti del 300%. Nel complesso dei cinque anni, 505 attacchi noti di particolare gravità hanno coinvolto realtà italiane, di cui ben 132 – ovvero il 26% – si sono verificati nel primo semestre 2023. In questo periodo nel nostro Paese è andato a segno il 9,6% degli attacchi mondiali.

In effetti, non c’è da dormire sonni tranquilli.

Phishing e ransomware, i CIO del manufacturing alzano le difese

“Ho lavorato sempre in ambito B2B e manufacturing e questo è un settore molto bersagliato dagli hacker”, afferma De Pace. “Un rischio comune è quello della frode informatica, come un Iban che indirizza il bonifico a un falso fornitore. Ma la minaccia più grave è il ransomware. Non mi è finora capitato nella mia esperienza di CIO, ma è un attacco molto temuto perché blocca i sistemi, cattura i dati e ha un alto costo in termini di denaro e di reputazione”.

I ransomware vengono solitamente sferrati in modo casuale, prosegue De Pace: i cyber-criminali pescano nel più ampio bacino possibile di imprese, usando soprattutto email di phishing per infiltrarsi nei sistemi.

“Oggi le email di phishing sono sempre più sofisticate e credibili”, riferisce Davor Petrović, CIO e Marketing and Communications Manager di Marzocchi Pompe, azienda italiana della metalmeccanica che realizza pompe ed ingranaggi per applicazioni industriali, mobili e automotive. “L’intelligenza artificiale, che aiuta le imprese a difendersi, è diventata anche un supporto per i cyber-criminali, riuscendo a generare email fake che mimano in quasi tutto quelle vere, inclusa la firma digitale. Ci è capitato di doverle osservare per alcuni minuti prima di capire che non fossero legittime. Ma, nel dubbio, è meglio scartarle”.

I cyber-attacchi più diffusi in Italia

Secondo il rapporto Clusit, in Italia, il malware e il ransomware continuano a rappresentare la principale tecnica di attacco utilizzata dai criminali (31%), pur se in calo rispetto al 2022 (53%), e risultano di 4 punti percentuali meno diffusi rispetto alla media globale. Al contrario, sono in forte crescita i DDoS (Distributed Denial of Service), che passano dal 4% del 2022 al 30% del primo semestre 2023. Le vittime italiane hanno subito un numero di DDoS pari al 37% del totale censito globalmente.

Nel nostro Paese sono in crescita anche il phishing e l’ingegneria sociale – o social engineering – che incidono in misura maggiore rispetto al resto del mondo (14% contro l’8,6% globale), segnalando la necessità di sensibilizzare gli utenti che lavorano quotidianamente con i sistemi informatici.

La prima arma di difesa: formazione e awareness

I CIO ne sono perfettamente consapevoli: i direttori dell’IT che abbiamo interpellato ritengono la conoscenza dei rischi e l’adozione di comportamenti corretti l’arma di difesa più importante. Le policy vengono considerate altrettanto, se non di più, incisive della tecnologia.

“La cybersicurezza è il cuore dello Smart Manufacturing e parte da chi opera sui macchinari connessi in fabbrica e nei magazzini automatizzati”, afferma Marco Senigagliesi, CIO di L.M. dei f.lli Monticelli (azienda marchigiana del manufacturing attiva nel settore degli accessori per serramenti). “Ho spinto sull’investimento in sistemi operativi supportati e in apparati di rete con un forte grado di protezione, ma anche sulla formazione del personale”,

Accanto alle politiche zero trust, dunque, Monticelli ha affiancato l’attività di formazione del personale che Senigagliesi ha inizialmente condotto di persona con lezioni frontali; poi sono stati acquistati servizi di e-learning da un provider esterno.

La strategia: assessment, remediation e cyber-intelligence

Sulla cybersicurezza, De Pace ha sempre proceduto con un assessment iniziale della situazione in essere (“as is”) per poi tracciare la roadmap delle implementazioni. “Per me i passi fondamentali sono: valutazione delle vulnerabilità, piano di remediation, deployment con almeno una risorsa dedicata”, afferma l’IT executive.

La remediation, per esempio, è importante nel caso di presenza di IT obsoleto, una vulnerabilità molto sfruttata dagli hacker. “Se un’azienda ha tanti endpoint e non può aggiornarli tutti, occorre adottare dei rimedi, come la segregazione dei sistemi e degli endpoint meno sicuri”, osserva De Pace.

De Pace considera importante anche disporre di un Security Operation Center (SOC) esterno, e di un Chief Information Security Officer (CISO), ai quali affidare le attività di raccolta dei log e di cybersecurity intelligence.

“La maggior parte degli attacchi non avviene in una volta sola – evidenzia il manager -, ma viene preparato nel tempo, e le attività di cyber-intelligence aiutano a portare alla luce le minacce dormienti ed eventuali intrusioni nei sistemi scandagliando le anomalie. Da quel che ho potuto osservare, nelle analisi forensi che seguono un cyberattacco emergono sempre dei segnali trascurati, come l’email hackerata di un dipendente. Per me l’analisi forense dovrebbe sempre seguire una segnalazione, anche se è solo un blocco da parte dell’antivirus, per capire il motivo dell’allarme”. 

La partnership col fornitore “esperto”

De Pace ha sempre scelto di lavorare insieme a un partner esterno specializzato nella cybersecurity, perché garantisce una visibilità e un aggiornamento costanti sulle minacce e sulle casistiche.

È una scelta simile a quella del CIO di Marzocchi Pompe. “Abbiamo tanta automazione in fabbrica (oltre che nelle funzioni amministrative)”, afferma Petrović. “Si tratta di robot connessi in rete con uno o due Pc e che, quindi, comunicano con l’esterno, sia per l’operatività che per la manutenzione. Per questo abbiamo rafforzato le nostre cyber-difese con un progetto condotto insieme a Yarix, la società a capo della divisione Digital Security di Var Group. Abbiamo, così, studiato un piano per la protezione e il rafforzamento di hardware e software e ci siamo affidati al loro SOC. Si è trattato di un investimento importante sia dal punto di vista tecnologico che della formazione del personale interno, soprattutto per chi ha a che fare con i robot in fabbrica: molti operatori ne controllano anche più di 6 contemporaneamente”.

Il provider esterno, evidenzia Petrović, garantisce il monitoraggio periferico dei sistemi e permette di restare sempre aggiornati sui trend delle cyber-minacce. Vengono anche condotti dei periodici penetration test verso gli account interni, in particolare a seguito di attività di formazione per verificare il livello di awareness raggiunto dai dipendenti sulle minacce come trojan e phishing.

Cloud e reti segmentate. Ma, soprattutto, spazio all’IA

Nel caso di Monticelli, che conta 4 siti produttivi su 1 km di lunghezza, il rafforzamento della cybersecurity poggia anche sulla riorganizzazione della rete aziendale: il CIO Senigagliesi ha guidato il progetto di realizzazione del cablaggio in fibra (Ftth) ridondante, che ha permesso di adottare un servizio di backup in cloud, acquistato da un provider specializzato e che garantisce protezione a più livelli.

La nuova frontiera è, certamente, l’intelligenza artificiale e lo stesso Senigagliesi ha condotto degli studi con i vendor di prodotti IA per la sicurezza. “Ho valutato una soluzione top di gamma, hardware e software con IA integrata, che permetterebbe di avere controllo e visibilità su tutti i sistemi di fabbrica. Ma non è, per ora, accessibile in termini di costi”, afferma il CIO.

Per questo la scelta è stata quella di concentrarsi sulla segregazione della rete VLAN e di ogni dispositivo nei siti produttivi, con aggiornamento del sistema operativo, firewall su ogni macchina e policy di accesso severe, tanto più che il sistema è chiuso, con quasi nessuna esposizione all’esterno.

Tuttavia un sistema IA sarebbe in grado, grazie al machine learning, di acquisire visibilità sul flusso di dati della rete e di apprenderne gli schemi, segnalando immediatamente le deviazioni dalla normalità ed effettuando in autonomia le operazioni di remediation. I prodotti IA, inoltre, eliminano diverse fasi dell’implementazione che, altrimenti, vanno condotte manualmente, come l’istituzione dei diversi permessi di accesso alle macchine.

“L’IA fa gran parte del lavoro da sola. Considereremo il prodotto in futuro, penso che sia un importante progresso per la cybersicurezza”, afferma Senigagliesi.

Ma anche senza intelligenza artificiale è possibile realizzare un robusto sistema di cyber-difesa, purché ci sia in azienda la cultura della sicurezza. Il primo timore dei CIO resta, infatti, la carenza di cyber-awareness del personale: per questo tutti mettono in cima all’agenda l’attività di formazione continua.

Gli IT executive non hanno dubbi: “Se dovessi scegliere tra un software avanzato e un dipendente consapevole, sceglierei sempre quest’ultimo”.