Intervistiamo Vladimir Dashchenko, Head of Vulnerability Research Group, Kaspersky Lab ICS CERT, per parlare di security e della partnership con l’UniGe.
– Quali sono i punti principali della partnership con l’Università di Genova?
Il rapporto tra Kaspersky Lab e l’Università di Genova esiste già da tempo; si è articolato attraverso una serie di partnership attivate per favorire lo sviluppo della conoscenza e delle competenze in diversi ambiti della cybersecurity. A partire dal 2016 abbiamo partecipato all’evento “Cyber Security for Infrastructure of Energy & Transport”, organizzato dall’Osservatorio Nazionale per la Cyber Security, Resilienza e Business Continuity delle Reti Elettriche e dal DITEN – Università di Genova.
Anche in quell’occasione, oltre ad essere partner, abbiamo partecipato all’evento come relatori, con un intervento dedicato agli attacchi alle infrastrutture critiche. In questi mesi l’Ateneo ha attivato una serie di master universitari gratuiti, mettendo a disposizione centinaia di posti destinati a giovani e adulti, inoccupati o occupati, in possesso di laurea triennale o magistrale. Abbiamo colto anche questa occasione per mettere la nostra expertise a disposizione dei giovani professionisti di domani, sensibilizzando l’opinione pubblica e le industrie sui rischi esistenti e fornendo soluzioni mirate per la gestione e la risoluzione dei problemi.
– Quale sarà il valore del master che è stato organizzato? Quali obiettivi vi aspettate di raggiungere?
Il master “Cybersecurity and Critical Infrastructure Protection” è gratuito e interamente finanziato da Regione Liguria su Programma Operativo Ob. “Competitività regionale e occupazione” del Fondo Sociale Europeo; è promosso dal Dipartimento di Ingegneria Navale, Elettrica, Elettronica e delle Telecomunicazioni – DITEN dell’Università di Genova sulla base di un’Associazione Temporanea di Scopo con Fondazione Ansaldo.
L’obiettivo è formare nuovi esperti nella progettazione e nella gestione di sistemi basati sull’ICT e di Cyber Security (Mobile, Web, Cloud, SCADA), preposti alla tutela della sicurezza e alla protezione del patrimonio informativo ed architetturale di un’organizzazione. Il Master vuole fornire una preparazione specialistica sulle tecniche di cybersecurity e dei suoi principali contesti applicativi, sulla governance della sicurezza digitale e delle procedure, sulle nozioni in ambito legale, insieme alle capacità pratiche e alla padronanza operativa di soluzioni e prodotti. Kaspersky Lab partecipa a questa iniziativa perchè da anni è attiva nell’ambito della ricerca sulla sicurezza degli ambienti industriali e delle infrastrutture critiche.
Crediamo fortemente nella necessità di incentivare lo sviluppo di competenze mirate sul tema, cercando di rispondere all’attuale bisogno delle aziende di personale competente. Vogliamo mettere a disposizione il nostro know how e trasferire ad una nuova generazione di professionisti una serie di nozioni derivate dalla nostra esperienza nell’ambito della ricerca e del monitoraggio delle cyberminacce: dal lavoro quotidiano del nostro ICS CERT Vulnerability Research Team a esempi reali di vulnerabilità nei sistemi di controllo industriale, nel mondo dell’IoT e dei device intelligenti, fino ad una serie di consigli e misure su come analizzare, prevenire e contenere le vulnerabilità più pericolose.
– Cybersecurity e infrastrutture critiche: quanto è importante la formazione in questi contesti? Quali tematiche critiche ha identificato in questo settore, parlando con partner e clienti?
In tutto il mondo le infrastrutture critiche nazionali stanno affrontando la digital transformation, introducendo l’universo dell’IoT industriale (IIOT), le reti wireless e i dispositivi connessi per migliorare produttività ed efficienza. Tuttavia, queste tendenze possono portare a nuove sfide sul fronte della cybersecurity, con possibili conseguenze, anche pericolose e dannose: non tutte le organizzazioni nazionali dotate di infrastrutture critiche sono pronte ad affrontarle nel modo giusto.
Secondo lo studio State of Industrial Cybersecurity – condotto da PAC insieme a Kaspersky Lab nel 2018 – molte organizzazioni vogliono aumentare l’efficienza dei loro processi industriali con le nuove frontiere dell’IT e, sebbene stiano già investendo in sicurezza per le proprie reti, stanno prestando meno attenzione al loro mondo OT, permettendo a minacce base, come ransomware e malware, di farsi avanti e coglierle di sorpresa.
Questa analisi rivela, inoltre, che l’errore umano è la terza causa più rilevante (al 27%) di incidenti informatici nelle imprese industriali, solo dopo malware e attacchi mirati. Nello stesso tempo, però, se si considera il livello di preoccupazione per questo tipo problema, sembra che il fattore umano si posizioni solo all’ottavo posto, rivelando un divario tra il pericolo reale della minaccia e la sua percezione.
Gli incidenti causati da un errore umano possono portare al breakdown dei sistemi critici o possono condurre ad un completo stop dei processi industriali. Tutto questo potrebbe determinare conseguenze significative dal punto di vista finanziario, reputazionale, ecologico, conseguenze che potrebbero rivelarsi anche letali. Il panorama delle minacce per le realtà industriali è in costante evoluzione e anche attacchi mirati, come i recenti Triton e Industroyer, puntano alle lacune dei dipendenti. Per trasformare il loro ruolo da possibili “minacce” a potenziali “difensori”, è importante che tutti abbiano una conoscenza di base dei pericoli, delle conseguenze e delle modalità del lavoro in sicurezza.
Assumere personale con le giuste competenze per la cybersecurity nel settore ICS è diventata la sfida numero uno, correlata alla questione della gestione della sicurezza informatica in ambito OT / ICS per le imprese industriali nel 2018 (sempre secondo il nostro sondaggio). Per superare queste carenze, gli specialisti direttamente coinvolti nella cybersecurity in ambito IT / OT devono anche frequentare corsi di formazione per ottenere competenze avanzate – essenziali per una gestione efficace delle minacce e il loro contenimento, oltre che per la prevenzione e il rilevamento.
– Può fornirci alcuni esempi reali di vulnerabilità nei sistemi di controllo industriale, nel mondo IoT e in quello dei dispositivi intelligenti?
La ricerca delle vulnerabilità nei sistemi di controllo industriale è uno degli obiettivi principali del Kaspersky Lab ICS CERT, creato alla fine del 2016. I nostri esperti si dedicano alla ricerca nell’ambito dei sistemi di controllo industriale e dell’IIoT, verificandone la sicurezza e scoprendo nuove vulnerabilità. Nel 2017 il team ha rilevato 63 vulnerabilità nei sistemi industriali e nel campo dell’IIoT: 30 sono state identificate in una serie di prodotti ICS di diversi vendor importanti di sistemi di automazione; 11 sono in componenti IoT e IIoT. Il nostro team ha identificato diverse vulnerabilità in famose smart camera, usate come baby monitor o come mezzi per la sorveglianza in casa o in ufficio. A causa di una progettazione poco attenta alla sicurezza, gli attaccanti potrebbero ottenere l’accesso remoto ai feed video e audio di alcune telecamere, disabilitare da remoto i dispositivi, eseguire codici malevoli su di essi e fare molte altre cose.
Di recente il Kaspersky Lab ICS CERT ha scoperto alcune vulnerabilità anche nell’implementazione dello standard OPC UA (protocollo industriale), che è stato sviluppato per il trasferimento sicuro dei dati tra client e server nei sistemi industriali, comprese le infrastrutture critiche.
– Come può una realtà industriale difendersi in modo proattivo ed essere sempre aggiornata su possibili situazioni critiche e vulnerabilità?
La nostra raccomandazione è quella di adottare una serie di misure volte a mettere in sicurezza i perimetri esterni e interni delle reti industriali, ad esempio:
• Aggiornare in modo regolare il sistema operativo, il software applicativo e le soluzioni di sicurezza sui sistemi che sono parte della rete industriale aziendale e installare gli aggiornamenti del firmware sui dispositivi di controllo utilizzati nei sistemi di automazione industriale in modo tempestivo;
• Limitare il traffico di rete su porte e protocolli utilizzati sui router edge e all’interno delle reti OT dell’organizzazione.
• Controllare gli accessi ai componenti ICS nella rete industriale dell’azienda e ai suoi confini.
• Implementare soluzioni di protezione degli endpoint dedicate su server ICS, workstation e HMI per proteggere le infrastrutture OT e industriali da cyberattacchi casuali.
• Implementare soluzioni per il monitoraggio del traffico di rete, per l’analisi e il rilevamento, per una migliore protezione anche in caso di attacchi mirati.