mag 28, 2020
La cybersecurity per l’impianto di assemblaggio odierno
Ora che gli impianti di assemblaggio sono sempre più connessi, la cybersecurity sta diventando sempre più importante.
Di John Sprovieri, ASSEMBLY Magazine, 15 maggio 2020
Clicca qui per leggere l'intero articolo.
Il 12 maggio 2017 gli hacker hanno lanciato un attacco “ransomware” che avrebbe infettato 300.000 macchine in 150 paesi nel giro di tre giorni. Il ransomware, noto come WannaCry, ha bloccato i computer e impedito l'accesso ai file. Le vittime hanno dovuto pagare un riscatto di 300 dollari per riavere accesso ai loro dati. I paesi più colpiti dal ransomware sono stati Russia, Taiwan, Ucraina e India, ma l'attacco ha coinvolto anche aziende statunitensi, come FedEx. Tre le vittime vi erano università, società petrolifere, fornitori di servizi di telecomunicazioni e sistemi ferroviari.
Il virus ha colpito i computer su cui giravano versioni precedenti del software Microsoft che non era stato recentemente aggiornato. Microsoft aveva rilasciato delle patch ad aprile e anche durante l'attacco per risolvere una vulnerabilità che consentiva al worm di diffondersi attraverso le reti. I computer presso produttori e ospedali, per i quali può essere difficile applicare una soluzione senza interrompere le attività, sono risultati particolarmente vulnerabili. Infatti, il cyberattack ha rallentato o interrotto la produzione in cinque stabilimenti di assemblaggio gestiti da Renault-Nissan, tra cui la gigantesca fabbrica della casa automobilistica a Sunderland, nel Regno Unito.
Cyence, una società che si occupa dell'elaborazione di modelli di rischi informatici, stima le perdite economiche derivanti dal cyberattack pari a 4 miliardi di dollari.
Un mese dopo, il 27 giugno 2017, un secondo attacco ransomware consistente ha colpito l’intero globo. Il ransomware, noto come “NotPetya”, era inizialmente diretto alle istituzioni in Ucraina, gli esperti ritengono che fosse un attacco legato a motivi politici proveniente dalla Russia, ma alla fine si è diffuso in Francia, Germania, Italia, Polonia, Regno Unito e Stati Uniti.
Inizialmente l'attacco era mirato a società energetiche, alla rete elettrica, stazioni degli autobus, stazioni di rifornimento, aeroporti e banche. Ma, come nel caso precedente, sono stati colpiti anche i produttori, tra cui la società farmaceutica Merck & Co., la società di beni di consumo Reckitt Benckiser, la società per la cura della persona Beiersdorf, e la società alimentare Mondelez International.
Una valutazione della Casa Bianca ha classificato il danno totale causato da NotPetya su un valore superiore ai 10 miliardi di dollari, per cui risulta essere il cyberattack più distruttivo di sempre.
Gli attacchi ransomware WannaCry e NotPetya sottolineano l’importanza della cybersecurity nel mondo di oggi anche per strutture come impianti di assemblaggio, che sono apparentemente target meno ambiti per gli hacker rispetto ad esempio alle banche, ai rivenditori e alle compagnie di assicurazione. Tuttavia, poiché gli stabilimenti di assemblaggio diventano sempre più connessi a livello digitale sia a fornitori che a clienti, la minaccia potenziale posta dai cyberattack non potrà che peggiorare.
Cyber-minacce negli stabilimenti produttivi
“Il lavoro di gestione dello stabilimento è garantire una produzione in linea con il business plan ed evitare tempi di inattività non pianificati. A tal fine, è necessario non solo avere una strategia di asset performance management, ma anche un solido piano di cybersecurity industriale”, afferma Maurizio Milazzo, Direttore dell’innovazione digitale industriale e della sicurezza tecnologica operativa alla Cybertech, divisione del Gruppo Engineering, società software globale. “Bisogna evitare l’approccio “security-by-obscurity”. Oggigiorno i manager devono chiedersi non se l’impianto subirà un attacco, ma quando”.
Le cyber-minacce agli stabilimenti di assemblaggio sono reali e le conseguenze possono essere gravi. Oltre a bloccare computer host o a tenere in ostaggio dati critici, gli hacker possono, ad esempio, simulare che una macchina stia funzionando correttamente sebbene non sia vero. Di conseguenza, la macchina può produrre prodotti difettosi o avere un’interruzione catastrofica.
Questo è ciò che è successo nel 2010 quando il virus Stuxnet ha infettato i sistemi PLC del programma nucleare iraniano, facendo andare fuori controllo le centrifughe senza far scattare gli allarmi. Prima che venisse rilevato, l'attacco è stato in grado di distruggere un quinto delle centrifughe nucleari del paese e ha riportato indietro di un decennio il programma nucleare.
Per contro, un hacker può simulare che una macchina abbia bisogno di manutenzione sebbene questo non sia vero. Anche l'accesso remoto all'apparecchiatura o alle rete aziendali può essere compromesso. “Un hacker può avere accesso a un router, un PLC, un sensore IoT o un PC industriale per navigare dalla rete industriale alla rete IT e quindi accedere a dati sensibili relativi a produzione, proprietà intellettuale, dati dei clienti o dati di bilancio”, afferma Milazzo.
Evitare gli attacchi con la cybersecurity
Impedire i cyberattack richiede uno sforzo congiunto tra i team delle divisioni Operations Technology (OT) e Information Technology (IT). Per alcuni stabilimenti di assemblaggio, questo sarà un nuovo modo di fare le cose. Tradizionalmente, i ruoli negli stabilimenti di assemblaggio erano distinti. Il team operativo gestiva e si occupava della manutenzione dell'apparecchiatura di produzione. Il team IT era responsabile della sicurezza della rete aziendale.
“Questo è uno dei motivi per cui la cybersecurity negli stabilimenti di assemblaggio è così difficile”, afferma Eddie Chang, Vice President di Cyber Risk Management alla The Travelers Companies Inc. “Una volta che l’area produttiva diviene più integrata con internet, i ruoli si fanno meno definiti. Le aziende devono pensare al futuro e stabilire quali sono le linee di responsabilità. In definitiva, dovrebbe trattarsi di un approccio di squadra”.
Bindu Sundaresan, Direttore di AT&T Cybersecurity, concorda. “I produttori oggi adottano un approccio alla cybersecurity basato sul rischio”, afferma. “Non è più solo una responsabilità del reparto IT. I produttori si stanno rendendo conto che un attacco all’infrastruttura tecnologica operativa può avere ampie implicazioni per l'attività, quindi guardano maggiormente alle risorse di rete come server delle postazioni di lavoro, HMI e PLC”.
Molte grandi aziende hanno centri operativi per la sicurezza delle informazioni, un sito dedicato dove sono monitorati, valutati e difesi i sistemi informatici aziendali (siti web, applicazioni, database, centri di dati e server, reti, desktop e altri endpoint). Tuttavia, come per altri tipi di manodopera specializzata, i produttori hanno difficoltà a reperire un aiuto qualificato. Secondo un sondaggio del 2020 condotto dalla Information Systems Audit and Control Association, il 69 percento delle aziende ha affermato che i team addetti alla cybersecurity sono sotto organico, il 58 percento ha posizioni vacanti nella cybersecurity e il 32 percento ha affermato di aver impiegato sei mesi per trovare addetti alla cybersecurity.
“La maggior parte degli stabilimenti di assemblaggio non ha alcuna competenza per affrontare la sicurezza tecnologica operativa, per cui si limita a delegare la responsabilità della cybersecurity ai fornitori di automazione”, afferma Milazzo. “Ma è una buona idea?” Essendo tutti sulla stessa lunghezza d’onda, il passaggio successivo è condurre una valutazione di base della cybersecurity nello stabilimento. La valutazione dovrebbe riguardare sia la sicurezza delle informazioni che la sicurezza operativa.
“La sicurezza delle informazioni punta a identificare e proteggere le informazioni di qualsiasi tipo”, afferma Jeff Williams, Program Manager per la Cybersecurity del Michigan Manufacturing Technology Center, l’affiliato di Manufacturing Extension Partnership (MEP) per il Michigan. “Quali informazioni ho? Perché sono importanti? Che cosa posso fare con queste? Che cosa accadrebbe alla mia attività se succedesse qualcosa a queste informazioni? Tutti coloro che hanno accesso alle informazioni hanno realmente bisogno di accedere a tali informazioni? Oppure condivido troppe informazioni nell'area produttiva, quando hanno bisogno in realtà solo di una piccola parte di queste per produrre il mio aggeggio? La sicurezza operativa riguarda le operazioni aziendali di base. Se questa macchina CNC critica si guastasse, che impatto avrebbe sulla mia attività in generale? Posso ripristinare tale macchina a una posizione che mi consenta di continuare a lavorare? So che cosa fare o chi contattare? Se un computer gestisce la mia apparecchiatura, ho un modo per recuperarla o ripristinarla facilmente?”.
Tali valutazioni sono spesso esperienze in grado di aprire gli occhi ai manager. Williams ricorda di avere chiesto a un manager di effettuare l’inventario di tutti i computer nell’area produttiva. Al completamento di questa attività, il manager si è reso conto che tre quarti dei computer nella sua fabbrica utilizzavano sistemi operativi obsoleti.
Le apparecchiature con dispositivi di controllo o software proprietari rappresentano un altro campanello d’allarme, avverte Williams. “Uno dei nostri clienti aveva una macchina proprietaria che si è guastata”, ricorda. “L'azienda non aveva il software di recupero per ripristinare il dispositivo di controllo e il produttore della macchina aveva cessato l'attività. Alla fine, l’azienda è riuscita a rintracciare il software, ma la macchina era ormai rimasta inattiva per più di un mese. Una volta reperito il software, la macchina è tornata operativa nel giro di 30 minuti. Se l'azienda avesse avuto il software prima, avrebbe potuto evitare lunghi tempi di inattività”.
Proprio come gli ingegneri creano mappe del flusso di valore per implementare la produzione lean, i manager dovrebbero creare mappe del flusso di dati per potenziare la cybersecurity. “Si inizia con il flusso di dati”, afferma Sundaresan. “E quali tipi di dati si stanno tracciando?” Quali dati entrano? Quali dati escono? Dove sono le interfacce?”.
Dato che le aziende di assemblaggio sfruttano l’Industrial Internet of Things, gli ingegneri devono prendere sagge decisioni in merito alla tecnologia. “Prima di correre dal primo rivenditore e prendere un qualsiasi dispositivo con accesso a internet, occorre pensare all’impatto generale che tale dispositivo può avere sulla propria attività”, avverte Williams. “Si sarà in grado di mantenere il dispositivo a lungo termine? Proviene da un marchio fidato o da un'azienda che cesserà la sua attività nei prossimi sei mesi? Può essere aggiornato facilmente? Si sarà in grado di capire se il dispositivo è stato compromesso?”.
Fortunatamente sono disponibili molte risorse per aiutare i produttori ad orientarsi nel vasto mondo dell’IIOT. La prima cosa che i manager dovrebbero fare è verificare che i loro stabilimenti siano conformi agli standard e ai regolamenti di cybersecurity nazionali e internazionali, afferma Milazzo. Questi includono il quadro di cybersecurity del National Institute of Standards and Technology (NIST), le raccomandazioni di cyberthreat intelligence della National Intelligence Strategy e lo standard ISA/99 IEC 62443 per la cybersecurity delle reti industriali dell’International Society of Automation.
La conformità a tali standard non è soltanto utile, ma è obbligatoria per le aziende di assemblaggio che desiderano acquisire commesse nell’ambito della difesa. Il NIST offre anche standard e linee guida sia per produttori che consumatori di dispositivi IOT. La scorsa estate, l'agenzia ha pubblicato Core Cybersecurity Feature Baseline for Securable IoT Devices, e a gennaio ha rilasciato le Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline.
“Questa guida ‘Core Baseline’ offre alcune raccomandazioni su che cosa deve fare un dispositivo IoT e quali funzioni di sicurezza dovrebbe avere”, afferma Mike Fagan, informatico del NIST e uno degli autori della guida. “È destinata a un pubblico tecnico, ma ci auguriamo di aiutare anche consumatori e produttori”. I centri MEP statali possono offrire un aiuto prezioso ai produttori, così come i fornitori di servizi internet (ISP), come AT&T. Gli ISP possono fornire valutazioni basate sui rischi, scansione IT e OT e altri servizi per migliorare la cybersecurity. “Molti produttori non conoscono il proprio livello di base del traffico internet”, afferma Sundaresan. “Tuttavia, se si sa come si presenta la normalità, si sarà in grado di individuare un traffico anomalo”.
Anche il software può essere d’aiuto. Tra le altre cose, il software di cybersecurity tiene traccia degli asset e delle versioni software, rileva le anomalie nel traffico internet, protegge e segmenta le reti della fabbrica e fornisce controllo degli accessi e protezione degli endpoint. Sebbene sia importante avere computer, dispositivi di controllo e software aggiornati, le aziende di assemblaggio devono anche tenere conto del fattore umano. “Una delle principali vulnerabilità dello stabilimento è rappresentata dalle persone”, afferma Milazzo. “Per affrontare questo, i manager devono definire corsi di formazione sugli standard di cybersecurity e condurre test di phishing e altre prove pensate per sensibilizzare i dipendenti in materia di sicurezza informatica”.
Pianificare per il peggio ed essere preparati
Ci auguriamo che lo stabilimento di assemblaggio non sia mai vittima di un attacco informatico. Tuttavia nella produzione, come nella vita, gli ingegneri dovrebbero augurarsi il meglio ed essere pronti al peggio. I produttori possono adottare misure per mitigare gli effetti di un cyberattack.
L’aspetto più importante è avere in atto un piano di recupero. “È assolutamente meglio essere preparati per un attacco che essere in modalità reattiva. Non vorrete trovarvi disorganizzati per cercare di capire che cosa fare dopo”, afferma Sundaresan. “È opportuno avere un piano di risposta agli incidenti e testare il piano rispetto alle potenziali minacce provenienti sia dal settore IT che dal settore OT. Quanto più velocemente si riesce a rispondere a un attacco, tanto più si sarà in grado di limitarne l’impatto e di ritornare operativi”.
Un backup dei dati critici è un altro accorgimento di recupero facile e scontato, se fatto correttamente. Williams ricorda il caso in cui ha aiutato un produttore che è stato vittima di un attacco ransomware. L'attacco, sebbene oneroso, non sarebbe stato disastroso, in quanto la società effettuava regolarmente il backup dei dati. Tuttavia, quando la società ha provato a ripristinare i dati persi, ha scoperto che il sistema di backup non funzionava correttamente. “L'azienda non ha mai convalidato i dati di cui eseguiva il backup”, afferma. “Questo è particolarmente importante oggigiorno, considerate le numerose persone che lavorano da casa”.
Sebbene garantire la cybersecurity richieda un certo investimento di capitale, l'esborso potrebbe non essere così elevato come temono i manager. E tipicamente costa meno di un cyberattack. “Gli investimenti in infrastrutture IT e OT possono ripagarsi velocemente già solo in termini di miglioramenti del processo aziendale generale”, afferma Williams. “Inoltre, una volta che i manager identificano dove sono le esigenze critiche, possono iniziare a stabilire i budget per tali investimenti nel tempo”.
