Per definizione, qualsiasi dispositivo connesso a una rete è un potenziale obiettivo per un cyber attacco. Di conseguenza, tanto più sono gli apparati installati in azienda, tanto più è l’esposizione a rischi di questo genere. Nonostante quanto a volte si tenda a credere, il discorso vale naturalmente anche per l’IoT. Solitamente, però, la sicurezza IT non è il primo aspetto al quale si guarda nel momento di integrare una nuova soluzione o una nuova tecnologia.
Eppure, i rischi sono concreti. Anche se all’apparenza le informazioni che passano attraverso il singolo punto IoT possono sembrare poche e limitate, in realtà nel tempo possono rivelare molto su un’azienda e sulle sue relative vulnerabilità. Ancora di più, possono diventare un pericoloso punto debole per accedere a tutto il resto dell’infrastruttura IT. Dal semplice sensore applicato a un passaggio produttivo fino alla macchina del caffè smart, niente fornito di connessione deve quindi essere trascurato.
“I dispositivi connessi offrono numerosi benefici, ma rappresentano anche un rischio senza precedenti – avverte Tristano Ermini, manager, systems engineering di Palo Alto Networks –. Spesso non vengono integrati nella strategia di sicurezza IT, diventando così uno degli anelli deboli della rete aziendale”.
Non sempre questo avviene per distrazione o eccesso di fiducia. Un elemento IoT spesso non è neppure visibile all’amministratore dei sistemi, se non installato direttamente da lui. Di conseguenza, è facile che non vengano applicati controlli di sicurezza o scansioni di vulnerabilità come per tutti gli altri dispositivi. Inoltre, spesso si usano sistemi operativi proprietari, difficili anche da aggiornare.
“Essendo invisibili [gli IoT], non sono segmentati e identificati correttamente e sono vulnerabili a causa di falle negli strumenti di sicurezza esistenti – rilancia Ermini –. La portata di queste vulnerabilità può sorprendere. Più del 70% delle aziende ha subito tentativi di attacchi sui propri dispositivi IoT e il 25% coinvolge l’IoT nella kill chain”.
Secondo analisi effettuate da Unit 42, su 1,2 milioni di dispositivi IoT situati in migliaia di luoghi fisici, sono emersi dati poco rassicuranti. Il 57% di questi è vulnerabile ad attacchi di media o alta gravità. Inoltre, il 24% dei problemi di sicurezza è causato da vulnerabilità nelle interfacce Web di gestione delle stampanti.
Tra i dispositivi, il 78% delle telecamere di sicurezza utilizza le credenziali di accesso predefinite dai produttori, mentre il 98% di tutto il traffico IoT non è crittografato. Infine, l'83% dei dispositivi connessi utilizza un sistema operativo privo di supporto.
Il rischio di perdere il controllo
Il rischio di sicurezza per i sistemi IoT è quindi concreto e di una certa rilevanza; è questo un punto oggi probabilmente scontato, o almeno più di quanto risultasse solo pochi anni fa e, certamente, un primo segnale positivo, necessario a capire la reale portala del pericolo. “Secondo una nostra ricerca, un'azienda di cinquemila dipendenti ha in genere ventimila dispositivi IoT installati – avverte Pierluigi Torriani, security engineering manager di Check Point –. Un ospedale con cinquecento letti ha in genere diecimila dispositivi IoT sanitari e, ancora, una fabbrica con duemila lavoratori ha in genere cinquemila dispositivi IoT industriali”.
Se abitualmente si considera a rischio già il rapporto uno a uno tra dipendente e PC o notebook, è facile a questo punto intuire la dimensione del problema “Nei primi due mesi del 2023 – conferma Torriani –, si è registrato un aumento del 41% del numero medio di attacchi settimanali rivolti ai dispositivi IoT, rispetto al 2022”.
Una situazione peraltro in rapida crescita, dove quindi non ci si può più permettere di prendere tempo. “Il numero globale di dispositivi IoT connessi crescerà del 9%, raggiungendo i 27 miliardi entro il 2025 – riferisce Fabio Sammarti
no, head of pre-sales di Kaspersky Italia –. Lo strabiliante aumento dei dispositivi connessi va però di pari passo con un crescente bisogno di sicurezza. La sempre maggiore convergenza tra mondo IT e OT è una delle principali sfide.
Sfide da affrontare già oggi, perché non si parla neppure più di prepararsi a un futuro prossimo: il rischio è già una realtà. Secondo il report dell’ICS CERT di Kaspersky, l’anno scorso oltre il 40% dei sistemi IoT è stato colpito da malware e l’ultimo semestre del 2022 è stato il periodo con il più alto tasso di attacchi contro i vari settori industriali, con il 34,3% dei computer interessati. Nella seconda metà del 2022, i software dell’azienda hanno bloccato malware appartenenti a 7.684 famiglie diverse all’interno di sistemi per l’automazione industriale, come per esempio la building automation, l’automotive, l’oil&gas, l’energia e l’ingegneria.
Un percorso da seguire senza esitazioni
Le esperienze del passato, la tempestiva opera di sensibilizzazione degli addetti ai lavori nel mondo della sicurezza IT e i primi casi concreti di attacchi al mondo IoT hanno contributo ad accelerare la fase di presa di coscienza del problema. “Le persone hanno ormai una percezione adeguata di questi rischi e ciò viene confermato da episodi come quello della botnet Mirai che si verificano quando i dispositivi IoT non sono protetti in modo adeguato – osserva Cristopher Budd, director threat research di Sophos –. Semplicemente, mentre le persone sono consapevoli degli attacchi informatici contro i computer o i dispositivi mobili, molti non pensano che lo stesso possa accadere, per
esempio, agli elettrodomestici intelligenti o alle telecamere connesse a Internet”.
Un discorso, questo, che è applicabile anche al mondo aziendale, dove la posta in gioco è più alta e la prevenzione dovrebbe inoltre essere la regola. “La consapevolezza è in crescita, anche a causa dei recenti attacchi e la percezione cambia in base alla sensibilità del singolo – conferma Alex Galimi, SE team leader di Trend Micro Italia –. È importante capire però, come la sicurezza in ambito Industria 4.0 debba essere intesa come un percorso e per proteggersi al meglio è bene agire simultaneamente sia da un punto di vista della cultura e della formazione sia dal punto di vista della tecnologia”.
Esattamente come per tante nuove tecnologie introdotte in passato, è necessario provvedere a specifiche soluzioni dedicate proprio alle parti produttive e integrate con l’intera strategia di security. Qua emerge forse il punto più delicato della questione “Da un punto di vista formativo, culturale e umano – avverte Galimi –, i responsabili della security degli impianti di produzione e gli addetti ai lavori devono essere consapevoli dei nuovi rischi e di come questi riguardino le proprietà intellettuali, gli asset strategici, la reputazione dell’organizzazione in caso di furti di dati, ma anche la possibilità di danni fisici a cose o persone, sia all’interno degli impianti sia all’esterno”.
Le possibili soluzioni per i fornitori di sicurezza
Dal canto loro, i fornitori di sicurezza IT non si sono certo fatti cogliere impreparati. Praticamente tutti i protagonisti del settore hanno sviluppato competenze e soluzioni tali da poter essere di pieno supporto. Più ancora nell’acquisto di un prodotto, per sviluppare una vera e propria strategia, integrata nei processi e nei sistemi esistenti.
Prima ancora, però, è importante effettuare qualche riflessione. “La valutazione del rischio è importante – ricorda Cristopher Budd di Sophos –. Va accuratamente analizzato se i potenziali vantaggi derivanti da un dispositivo IoT giustifichino i costi e i problemi da affrontare per proteggerlo efficacemente, e vanno anche analizzati i rischi relativi a ciò che potrebbe accadere in caso di incidenti di sicurezza. In molti casi, si potrebbe concludere come il vantaggio non valga il costo e/o il rischio”.
Questa è una valutazione da condurre prima dell’introduzione di ogni dispositivo IoT. Se a quel punto si decidesse comunque di procedere, allora sarebbe preferibile valutare tutte le opzioni. “La nostra offerta è racchiusa in Kaspersky Industrial Cybersecurity – spiega Sammartino –. Un ecosistema di prodotti e una serie completa di servizi specializzati, certificati e integrati in modo nativo per proteggere i sistemi di controllo e automazione industriale, compresi server SCADA, HMI, Engineering Workstation, PLC, connessioni di rete e persone, senza comportare alcun impatto sulla continuità operativa e sulla coerenza dei processi”.
L’idea è promuovere un approccio olistico anche alla cybersecurity industriale, offrendo una combinazione di metodologie di protezione dalla previsione dei potenziali vettori di attacco attraverso l’impiego tecnologie di rilevamento, fino alla risposta proattiva agli incidenti informatici, allo scopo di proteggere persone, processi e tecnologie.
Si tratta di un percorso importante, dove però non bisogna avere fretta. Per individuare eventuali configurazioni errate, vulnerabilità e vettori di rischio è infatti utile partire da un assessment, eseguito attraverso un processo di audit della sicurezza. Una volta effettuata la valutazione, si definiscono priorità ed esigenze per selezionare le tecnologie più adeguate a proteggere le infrastrutture dell’intero ambiente IoT.
Monitoraggio = sicurezza
Come ormai consolidato nel modo della sicurezza IT in generale, il primo bastione difensivo è il monitoraggio. “Consideriamo la sicurezza un tutt’uno e consigliamo alle aziende di prevenire accuratamente le minacce con una soluzione completa che integri strumenti di monitoraggio, rilevamento delle minacce e gestione degli eventi di sicurezza – rilancia Torriani di CheckPoint. Un aspetto chiave per proteggere l'IoT è la segmentazione della rete.
Consigliamo di suddividere la rete IoT in segmenti logici separati, in modo che un eventuale attacco in un'area non possa compromettere l'intera infrastruttura. Questa operazione permette di isolare e proteggere meglio i dispositivi, limitando la propagazione di un'eventuale violazione”. Nel caso specifico, questo è possibile appoggiandosi alle soluzioni Point Quantum IoT Protect e Quantum IoT Protect Firmware.
Non trascurare ogni aspetto, dall’acquisto all’integrazione fino alla messa in opera, alla fine si conferma una strategia sempre valida. Essere pronti a contrastare ogni situazione che non si è oggettivamente in grado di prevedere, resta indubbiamente molto meglio di trovarsi a dover inseguire le conseguenze di un attacco.
“Per proteggere i processi industriali si deve pensare a una strategia di security che metta in sicurezza l’intera organizzazione, non solo alcune parti – conclude Alex Galimi di Trend Micro –. Per quanto ci riguarda, in ambito Industria 4.0 siamo presenti con la TxOne, che propone soluzioni di protezione bordo macchina e rete in grado di proteggere anche da malware sconosciuti e con un impatto limitato sulle prestazioni del dispositivo IoT attraverso un approccio di tipo lock down in grado di consentire la sola esecuzione di ciò che è presente sul sistema e quindi funzionale all’esecuzione del compito previsto all’interno della catena produttiva».
