Allargare ai sistemi periferici la stessa protezione fornita nel perimetro aziendale è un passo avanti ma può non bastare. Alberto Brera suggerisce cosa fare per garantirla
Nel processo di digital transformation e nell’adozione progressiva di tecnologie per un ambiente e un modo di lavorare e produrre smart che sta trasformando profondamente il mondo aziendale, industriale e finanziario, la sicurezza costituisce uno dei criteri da considerare.
In termini di cyber security, l’anno trascorso è stato di certo un anno buio, osserva l’Ing. Alberto Brera, Country Manager per l’Italia di Stormshield, società specializzata nello sviluppo di soluzioni per la protezione delle reti aziendali certificate EU RESTRICTED, NATO e ANSSI EAL4+, oltre che per la tutela delle workstation e dei dati.
L’ampia copertura mediatica di attacchi perpetrati ai danni dei sistemi informativi anche di colossi del mondo aziendale o finanziario ha avuto il merito di incrementare la consapevolezza anche degli operatori industriali e dei fornitori di servizi sulle proprie vulnerabilità, alla luce di criticità oggettive, dovute ad un’errata valutazione dei rischi cagionati dall’apertura di sistemi progettati per operare in modo isolato all’universo iperconnesso del 4.0.
Criticità che mettono in luce oggi più che mai quanto sia necessario adottare misure appropriate, sia in termini di infrastruttura IT sia di integrità OT.
E’ un dato di fatto che la continuità del servizio, quando c’è di mezzo la produzione, è cruciale e il suo impatto è ben superiore a quello dei sistemi IT, poiché è determinante non solo per l’integrità dei beni ma soprattutto per quella del personale addetto agli impianti.
I problemi dei sistemi informativi industriali
Quando si parla di Industry l’assunto di partenza è che il sistema informativo di un’azienda manifatturiera differisce da quello di altri settori di mercato e le sue specificità richiedono dispositivi di protezione che integrino la logica legata al tipo di attività. Di conseguenza sovente le tradizionali soluzioni multifunzione trasversali proposte sul mercato non offrono un livello di sicurezza appropriato.
«A nostro avviso solo i fornitori che hanno sviluppato competenze specifiche sono in grado di offrire un supporto concreto nell’affrontare le sfide poste dal settore industriale. Occorre adottare un approccio il cui risultato consta nella semplificazione della gestione dei sistemi impiegati, soprattutto lato amministrazione delle soluzioni, sviluppando sinergie tra i team informatici e i responsabili degli impianti aziendali coinvolgendoli contemporaneamente nella messa in sicurezza dei sistemi IT e OT. La necessità di sinergie e la peculiarità del mondo industriale sono anche il motivo per cui ultimamente si assiste allo sviluppo di un intero ecosistema imperniato sulla protezione dei sistemi informativi industriali.
La direttiva NIS e il ruolo chiave delle partnership
L’importanza che il mondo industriale assume per le economie avanzate ha fatto sì che i legislatori abbiano affrontato la tematica giungendo alla conclusione che la messa in sicurezza dei sistemi informativi industriali sia essenziale. Affermazioni concretizzatesi in molteplici leggi nazionali o europee, come ad esempio la Direttiva UE 2016/1148, meglio nota come Direttiva NIS. L’intento della Direttiva è assicurare a tutte le infrastrutture critiche a livello nazionale un’adeguata tutela contro incidenti informatici che potrebbero cagionare la non disponibilità di servizi primari per il Paese.
A fronte dell’intervento del legislatore e consapevoli della crescente pervasività di IoT e sistemi Industry 4.0, i professionisti del settore industriale devono necessariamente riconsiderare radicalmente le proprie politiche di cyber security.
“Una cosa però appare chiara, Un progetto di questo peso e rilevanza può prendere forme concrete solo con il supporto di specialisti. E’ quindi imperativo che il settore della sicurezza continui a sviluppare soluzioni per fronteggiare queste minacce – anche e forse in primo luogo – formando nuove alleanze, al fine di consentire alle organizzazioni industriali di evolvere in ambienti effettivamente sicuri. Stormshield ad esempio intrattiene partnership tecnologiche e commerciali con produttori e operatori complementari. Unendo le nostre forze abbiamo sviluppato sistemi ad alto valore aggiunto frutto della combinazione di soluzioni, integrazione, consulenza, formazione”, evidenzia Brera.
In Italia il settore manifatturiero pare focalizzarsi primariamente su esigenze business quali la remotizzazione delle operazioni e del monitoraggio di sistemi esistenti, più che trasformarsi in una industria smart di nuova generazione, mettendo in secondo piano la valutazione dei rischi connessi a questa innovazione.
Il caso dei sistemi SCADA è emblematico. «I sistemi SCADA sono stati progettati oltre 20 anni fa per ambienti chiusi e non esposti su internet. Calare processi produttivi basati su macchinari e sistemi progettati qualche decennio fa in infrastrutture interconnesse è una sfida, anche e soprattutto in termini di tutela delle comunicazioni tra i diversi sistemi di produzione.
Una comunicazione che, in ottica “Industry 4.0”, dovrebbe aver luogo tramite dispositivi non pensati per inviare comandi ai macchinari (smartphone, tablet, notebook) e difficilmente monitorabili tramite i tradizionali sistemi IT/OT.
“Stormshield è da tempo attenta alla protezione specifica dei sistemi di produzione e con la propria soluzione SNi40 propone una soluzione di sicurezza UTM/IPS sviluppata attorno al mondo SCADA, in grado di reagire proattivamente contro le minacce che nascono al crocevia tra l’automazione industriale e la rete informatica, con l’obiettivo primario di supportare le aziende manifatturiere nel trasformarsi in Industry 4.0 in accordo con il principio della sicurezza ‘by design’, evidenzia il manager.
Le criticità nel mondo Finance e come affrontarle
I problemi connessi alla trasformazione digitale e a un ambiente di lavoro smart non sono esclusivi del mondo industriale. Secondo uno studio condotto da Ponemon Institute e Accenture in 7 Paesi con il coinvolgimento di 254 operatori finanziari, gli istituti bancari e assicurativi subiscono in media 125 intrusioni all’anno.
Queste violazioni della sicurezza implicano una perdita di profitto, minano l’integrità dei dati e delle risorse dei clienti e hanno un impatto negativo sulla reputazione degli istituti in questione. In questo contesto, un altro studio di B2B International, ha rilevato che la perdita media degli Istituti finanziari si aggira attorno a poco meno di un milione di dollari per singolo incidente di sicurezza informatica.
Il mondo della finanza in generale è stato meno colpito dalle forme più comuni di attacco informatico, come il malware tradizionale, rispetto ad altri settori. Tuttavia, gli operatori finanziari risultano particolarmente esposti ad attacchi mirati e di Denial of Service (DDoS). È molto aumentato anche il numero di sistemi infettati da trojan bancari, il cui scopo principale è quello di sottrarre i dati dei clienti. Il phishing mirato, l’ingegneria sociale e le backdoor nei sistemi di sicurezza o nei dispositivi di rete, attraverso cui i cyber criminali si infiltrano abusivamente nei sistemi informativi degli operatori, completano il quadro delle minacce ai danni degli istituti finanziari.
“La sicurezza informatica è divenuta una delle maggiori preoccupazioni per i direttori delle principali banche e compagnie assicurative. Ciò trova corrispondenza nella crescita verticale dei budget dedicati negli ultimi anni alla tutela dei sistemi informativi”, considera Brera.
Seppur già ben attrezzati con soluzioni consolidate, gli operatori finanziari ora devono andare oltre, sfruttando nuovi approcci come l’intelligenza artificiale e le tecnologie analitiche a completamento delle soluzioni in uso al fine di accrescere il proprio livello di sicurezza. In questo modo, gli istituti finanziari possono proteggersi attivamente contro le nuove minacce con cui si confrontano quotidianamente e avanzare fiduciosamente verso una trasformazione digitale di successo.
“Ma in un ambito tanto sensibile come quello bancario e assicurativo le aziende devono proteggersi scegliendo tecnologie affidabili, la cui affidabilità e robustezza si riflette nella certificazione e classificazione ai massimi livelli europei”, osserva Brera.
Dati al sicuro nel cloud
Sia che si tratti di Industry 4.0 che di Finance o di infrastrutture IT convolte nella trasformazione digitale, un denominatore sempre più comune è il ricorso al Cloud o al Multicloud, e come garantire in un tale contesto la sicurezza dei dati. Il 90 % delle organizzazioni se ne avvale per accedere remotamente ad applicazioni e a dati aziendali, oltre che per migliorare il modo in cui collabora con il proprio ecosistema.
*Accedere a informazioni e applicazioni ovunque, in qualsiasi momento e su qualsiasi dispositivo, significa oggi accettare di archiviare dati critici aziendali sul server di qualcun altro, spesso dislocati da qualche parte nel mondo” osserva Brera. Secondo il Computing Cloud Report 2018, quasi il 90% degli intervistati sarebbe preoccupato per le violazioni della sicurezza e la perdita dei dati nell’ambiente Cloud. “Ciò che si nasconde dietro questi timori è semplice in realtà: un solo difetto di sicurezza può portare al furto e alla divulgazione di milioni di informazioni, come abbiamo visto nei casi purtroppo noti di Yahoo e Twitter (solo per citarne alcuni)”. Il concetto di fiducia è, quindi, essenziale.
Quattro anni dopo lo scandalo delle foto delle celebrità rubate e cinque anni dopo le rivelazioni di Edward Snowden, che ha decisamente offuscato la reputazione del Cloud, la fiducia nel Cloud è di nuovo in aumento. Sebbene le minacce non siano scomparse, l’idea che i rischi connessi all’uso del Cloud possano essere gestiti sta iniziando a farsi strada nella nostra coscienza.
Per proteggere applicazioni e informazioni archiviate su server delocalizzati, i responsabili della sicurezza di numerose aziende tendono ad implementare gli stessi strumenti di protezione adottati nel tradizionale perimetro aziendale, in particolare installando firewall virtuali posizionati all’interno dell’infrastruttura Cloud. Una buona misura, ma non basta, crittografare i dati archiviati online fornisce un’adeguata protezione. “Pur limitando, in taluni a dipendenza della soluzione adottata, alcune funzionalità di collaborazione, la cifratura impedisce qualsiasi accesso illegittimo ai dati in caso di compromissione della sicurezza del fornitore di servizi cloud. Risponde inoltre alla potenziale e di certo indesiderata intercettazione dei propri dati da parte del provider di servizi cloud”, conferma Brera.
Se in azienda esiste la necessità di garantire un accesso globale e costante alle informazioni, è sempre opportuno crittografare le informazioni nel Cloud. Soluzioni, come Stormshield Data Security per Cloud e Mobility consentono agli utenti di crittografare i dati memorizzati all’interno di applicazioni fruite in outsourcing, pur mantenendo la propria chiave decrittografica, evitando di utilizzare quelle proposte dal provider Cloud, tutelando quindi la riservatezza dei propri asset digitali come richiesto dal GDPR.
Tecnologie smart per la sicurezza perimetrale
“Anticipare le esigenze future delle aziende in termini di sicurezza è una vera sfida quando ci si confronta con l’esponenziale accelerazione dello sviluppo tecnologico, il Cloud, l’IoT, la crescente richiesta di banda e l’estensione del perimetro aziendale che ne deriva. Una missione di cui Stormshield si è fatta carico con una serie di prodotti che si adattano alle esigenze delle piccole imprese come di aziende di dimensioni medio grandi”, evidenzia Brera.
Per garantire la sicurezza aziendale assistendo le imprese nella loro trasformazione digitale, Stormshield ha sviluppato una specifica gamma di soluzioni con cui si è prefissata di assicurare prestazioni ideali per applicazioni SaaS come per ambienti virtuali PaaS (Platform as a Service) e IaaS (Infrastructure as a Service).
Le soluzioni IPS a marchio Stormshield hanno un ciclo di vita tra i cinque e gli otto anni. Se rapportiamo un tale periodo alla velocità con cui la tecnologia evolve e alla conseguente evoluzione dell’infrastruttura aziendale, non ha senso dotarsi di prodotti difficilmente adattabili alle future esigenze, e che faticano a gestire nel tempo un importante incremento del traffico.
Un paradigma che Stormshield ha fatto proprio non lavorando in ASIC. E’ quindi in grado di incrementare esponenzialmente le prestazioni dei propri firewall grazie al continuo lavoro di ottimizzazione del codice. I nuovi dispositivi per la sicurezza perimetrale che ha annunciato di recente beneficiano ad esempio di un’ottimizzazione del controllo del traffico http (+40%) e della VPN IPSec (+50%) necessaria per una comunicazione sicura sul cloud, scevra da colli di bottiglia. Con l’ultima release ha anche raddoppiato il throughput delle soluzioni esistenti.
“Investire in sicurezza significa investire nel futuro dei propri asset critici, tra cui dati e infrastrutture. L’approccio modulare che abbiamo sviluppato, sia come hardware sia in termini di funzionalità e prestazioni, assicura il massimo ritorno sull’investimento per l’intero ciclo di vita dell’infrastruttura informatica implementata nell’ambito di un processo continuo di trasformazione digitale”, evidenzia Brera.