Cybersicurezza, i rischi dell'Internet of Things industriale

I rischi di cybersicurezza insiti nell’Internet of Things sono un problema noto, ma quando si parla di Internet of Things industriale (IIoT) e di tecnologia operativa (OT) forse non esiste ancora una percezione sufficiente sulla diffusione di questi rischi e sulle loro potenziali conseguenze. Un nuovo studio sponsorizzato da Barracuda fa luce sul problema, mostrando come per le aziende industriali (non soltanto manifatturiere) gli attacchi informatici siano la norma, e non l’eccezione. Appena una percentuale del 6% sul totale delle 800 aziende analizzate non ha subìto nemmeno un attacco rivolto all’IIoT o alla tecnologia operativa nel giro dei 12 mesi precedenti all’indagine.

Il campione della survey, come si diceva, non include soltanto aziende manifatturiere ma anche realtà dei settori agricoltura, edilizia, energia, telecomunicazioni, commercio al dettaglio e all’ingrosso, sanità, enti governativi, europee, statunitensi e australiane, intervistate da Vanson Bourne nel mese di aprile scorso. Dunque gli attacchi sono endemici, riguardando il 94% di un campione di aziende ampio e variegato. E quasi sempre hanno effetti notevoli, giacché l’87% delle aziende vittime di un incidente ne ha sperimentato le conseguenza per più di un giorno, e sappiamo che anche solo poche ore di interruzione delle attività (come accade in caso di DDoS o ransomware) possono causare ingenti danni economici e di reputazione.

Ad aggravare i problemi di sicurezza già esistenti nel campo dell’IoT industriale e della tecnologia OT, negli ultimi mesi si è aggiunta la situazione geopolitica, che ha elevato il rischio di attacchi sponsorizzati dagli stati, hackeraggi, DDoS e ransomware rivolti soprattutto alle infrastrutture critiche (come si è visto con i ripetuti assalti alla rete elettrica nazionale ucraina). A conferma di ciò, l’89% degli intervistati si è detto molto o abbastanza preoccupato per l’impatto che l’attuale scenario delle minacce e la situazione geopolitica potranno avere sulla propria azienda.

“Nello scenario attuale, le infrastrutture critiche sono un obiettivo interessante per i cybercriminali”, ha sottolineato Tim Jefferson, senior vice president engineering for Data, Networks and Application Security di Barracuda, “ma sfortunatamente i progetti relativi alla sicurezza di IIoT e OT spesso finiscono in secondo piano rispetto ad altre iniziative per la sicurezza o falliscono a causa del costo e della complessità, mettendo a rischio l’intera organizzazione. Aspetti come la mancanza di una segmentazione della rete e il numero di organizzazioni che non richiedono l’autenticazione a più fattori lasciano la rete esposta ad attacchi e richiedono un intervento immediato”.

Dall’indagine emerge anche il particolare ritardo del settore manifatturiero e della sanità nella realizzazione di progetti di sicurezza informatica. Solo il 24% delle aziende manifatturiere incluse nel campione ha già completato progetti di potenziamento della sicurezza IIoT e OT, mentre in campo sanitario la percentuale è ancor più bassa, il 17%. Al contrario, nel settore dell’oil & gas si arriva al 50%, una quota però ancora insufficiente se si pensa che i sistemi in gioco sono infrastrutture critiche, la cui compromissione può causare disagi diffusi e anche rischi per la sicurezza fisica delle persone.

In generale, ed è un altro problema da affrontare con urgenza, soltanto il 18% delle aziende del campione utilizza l’autenticazione a più fattori per l’accesso remoto alle reti OT o adotta altri metodi per limitare l’accesso. Nel comparto dell’energia la quota sale al 47%, e anche in questo caso il dato migliore della media non è poi molto rassicurante se si pensa alle conseguenze di una violazione in questo settore.

Barracuda. “The State of Industrial Security 2022”. Le tipologie di attacco più rilevate dalle aziende del campione (base=800)

Perché la situazione non migliora, che cosa ostacola i progetti di potenziamento della cybersicurezza? Molte aziende falliscono: il 93% non ha portato a termine con successo i propri progetti per la sicurezza IIoT e OT. Soltanto il 49% ha al suo interno le competenze necessarie per eseguire e distribuire gli aggiornamenti di sicurezza in autonomia, senza rivolgersi a un aiuto in outsourcing. E quando gli aggiornamenti non vengono installati tempestivamente, in modo automatico, lì si creano vulnerabilità che prestano il fianco ad attacchi.

“Gli attacchi IIoT vanno oltre il mondo digitale e possono avere conseguenze anche nel mondo fisico”, ha osservato Klaus Gheri, vicepresidente network security di Barracuda. “Nel momento in cui gli attacchi sono in crescita in tutti i settori, un approccio proattivo alla sicurezza industriale da parte delle aziende è fondamentale per evitare di essere le prossime vittime di un attacco”. Barracuda caldeggia l’adozione di dispositivi di connettività endpoint sicuri o firewall rafforzati, che dovrebbero essere tutti implementati centralmente e gestiti attraverso un servizio cloud sicuro, con segmentazione della rete, capacità di rilevamento e risposta alle minacce. Inoltre è consigliabile adottare procedure come l’autenticazione a più fattori, i controlli contestuali e la concessione del privilegio minimo secondo la logica dello Zero Trust.