Come intervenire per garantire la protezione e la resilienza dei sistemi critici nei diversi mercati di applicazione
Le minacce emergenti, così come gli attacchi non convenzionali alle infrastrutture critiche, hanno messo in luce i limiti della tradizionale valutazione del rischio e degli sforzi di mitigazione del rischio stesso. Alcune minacce non possono essere previste, mentre ridurre tutti i possibili rischi al livello minimo possibile non è sempre economicamente sostenibile, con il risultato di dover spostare l’attenzione verso la resilienza per poter rassicurare la continuità del servizio all’indomani di eventi distruttivi, soprattutto nei casi in cui questi non siano prevedibili. Dunque, migliorare la resilienza delle infrastrutture critiche è diventata una priorità per le autorità di tutto il mondo.
Lo scenario nella Protezione delle Infrastrutture Critiche
L’Europa in primis ha avviato proposta per una nuova direttiva sulle entità critiche per garantire la loro resilienza come evoluzione della nota direttiva 114/2008 sulla protezione delle infrastrutture critiche. Con questa proposta, la Commissione intende creare un quadro contro tutti i rischi per aiutare gli Stati membri a garantire che le entità critiche siano in grado di prevenire, resistere, assorbire e recuperare da incidenti dirompenti, indipendentemente dal fatto che siano causati da pericoli naturali, incidenti, terrorismo, minacce interne o emergenze di salute pubblica come quella che il mondo deve affrontare oggi. La proposta, che copre dieci settori, ovvero energia, trasporti, banche, infrastrutture del mercato finanziario, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio.
Non solo i governi sono attenzionati sulla protezione delle infrastrutture critiche (CIP). Anche le aziende concorrono a questo mercato, principalmente a seguito delle leggi e regolamenti governativi che mirano ad aumentare l’adozione di soluzioni CIP, la crescente necessità di proteggere le reti OT e l’aumento delle violazioni della sicurezza e degli attacchi che rappresentano una minaccia per i sistemi cyberfisici. I servizi CIP, costituiti da servizi di gestione del rischio, servizi di consulenza, servizi gestiti e servizi di manutenzione e supporto, sono necessari per la protezione delle persone, delle infrastrutture degli edifici, dei sistemi IT e dei dati critici.
A riprova delle accresciute dimensioni del mercato della protezione delle infrastrutture critiche post-COVID 19, vi sono diversi studi. Fra questi il report “Critical Infrastructure Protection Market by Component, Vertical And Region – Global Forecast to 2026” che evidenzia come si passerà da 133,3 miliardi di dollari nel 2021 a 157,1 miliardi di dollari entro il 2026, con un tasso di crescita annuale 3,3% dal 2021 al 2026 del mercato CIP. Per investigare e conoscere il mercato della network security per la CIP si suggerisce il report Global Critical Infrastructure Protection (CIP) Network Security Market mentre nell’ambito delle soluzioni per tipologia di componenti da applicatre alla CIP è consigliabile il report “Critical Infrastructure Protection Market by Component, Solution (Physical Safety and Security (Video Surveillance Systems, Screening and Scanning) and Cybersecurity (Encryption, Threat Intelligence)), Vertical, and Region – Global Forecast to 2026”.
Abbiamo parlato con Nicola Mugnato, founder di Gyala per approfondire tutte le tematiche di protezione infrastrutture critiche e sistemi OT.
Cosa manca ancora oggi alla protezione delle infrastrutture critiche?
La maggior parte delle infrastrutture critiche, come delle aziende in generale, stanno rinforzando le loro infrastrutture aggiungendo sistemi di difesa, più o meno sofisticati, principalmente per rispondere a requisiti normativi più che per una sentita esigenza di protezione del loro business. Credo che sia necessario un cambio di punto di vista: La cyber security non è un optional e non è un costo, bensì è un investimento essenziale tanto quanto i sistemi informatici stessi. Da essa dipende quella che il Codice Civile definisce “continuità aziendale”, che è l’obiettivo primario che l’amministratore deve garantire agli azionisti. Partendo da questo assunto, credo che le risorse investite in Cyber Security dalle infrastrutture critiche e dalle aziende non siano ancora proporzionate al livello di minaccia che stanno affrontando essenzialmente per mancanza di conoscenza e sensibilità in materia.
Quali sono le principali difficoltà e le sfide nella protezione dei sistemi OT?
L’Operational Technology si differenzia “dall’Informational Technology” principalmente perché nel primo contesto ci troviamo di fronte a macchine che parlano con altre macchine per controllare strutture fisiche come motori, sensori, attuatori, mentre nel secondo abbiamo utenti umani che accedono a strutture informatiche per gestire informazioni. L’interazione degli esseri umani con i sistemi informatici introduce entropia, confusione, aleatorietà negli schemi comportamentali perché l’utente è molto più imprevedibile di una macchina. Per questo, almeno in linea di principio, è più difficile difendere un sistema IT rispetto ad un sistema OT. Purtroppo, però, i sistemi OT hanno un ciclo di vita e tempi di certificazione molto lunghi che limitano le possibilità di aggiornamento quando sono in esercizio esponendole, così, a innumerevoli minacce note per tempi molto lunghi. Nonostante ciò, adottando le opportune tecnologie, è possibile realizzare protezioni estremamente efficaci per le infrastrutture OT.
Perché l’intelligenza Artificiale può essere un gamechanger?
L’intelligenza artificiale, ed in particolare i sistemi di machine learning, sono algoritmi che, partendo direttamente dalle informazioni osservate, creano modelli che descrivono come viene impiegata una particolare infrastruttura in uno specifico contesto operativo. Questi modelli vengono poi utilizzati per validare in tempo reale i dati raccolti e verificare se rientrano nella normalità o costituiscono una anomalia. Una delle grandi sfide della Cyber Security, oggi, è quella di creare algoritmi di AI sempre più sofisticati ed efficienti per rilevare e classificare tutte queste anomalie alla ricerca di condizioni di pericolo. Con questi algoritmi è possibile individuare le deviazioni comportamentali sin dalle prime fasi dell’attacco e, quindi, reagire più velocemente riducendo l’impatto sull’infrastruttura e i potenziali danni.
Come progettare la AI per la security in modo che sia essa stessa protetta ed evitare che sia manipolata dagli attaccanti?
La sfida tra attacco e difesa è come una partita a scacchi. Ad ogni mossa si possono giocare centinaia di possibili varianti ma alla fine bisogna sceglierne una. I maestri riescono a prevedere le mosse dell’avversario perché ne intuiscono velocemente lo stile di gioco, difensivo, avventato, casuale, eccetera. Nella Cyber è lo stesso: l’attaccante cerca sempre di capire come si comporterà il suo avversario nel cercare di ostacolarlo. Questo è generalmente più facile se dall’altra parte c’è un algoritmo perché se capisco come questo “pensa” posso prevedere le sue mosse o, addirittura, riuscire a portarlo a sbagliare. È dunque fondamentale difendere l’intelligenza dell’algoritmo cercando di evitare che l’attaccante ne capisca il funzionamento. Noi adottiamo due strategie: usiamo più algoritmi in parallelo, il chè equivale e giocare contro un team di maestri di scacchi che di volta in volta si consultano e decidono tra di loro qual è la migliore mossa tra tutte quelle proposte dai vari stili di gioco e, secondo, tenendo questi algoritmi segreti. Per questo sviluppiamo tutto in casa e non utilizziamo tecnologie di terzi.
Quando nasce Gyala e quale è stata l’idea fondante attorno alla quale vi siete costituiti?
L’esperienza maturata in anni di contrato di attacchi di tipo Advanced Persistent Threat, che sono la forma più evoluta di hacking utilizzata da nazioni straniere per rubare segreti industriali o arrecare qualche forma di danno agli avversati, ci ha insegnato come identificare queste complesse minacce ma, soprattutto, come contrastarle. Gyala nasce per portare sul mercato questa esperienza maturata in campi molto ristretti e molto avanzati della Cyber Security attraverso una serie di prodotti completamente italiani. Vogliamo aiutare le infrastrutture critiche, le grandi aziende ma anche le piccole e medie imprese a difendersi da qualsiasi tipo di attacco, da quello casuale dei ramsonware a quelli mirati dello spionaggio industriale.
Quali sono le vostre soluzioni in ambito Cybersecurity sui temi discussi?
La tecnologia che abbiamo sviluppata viene proposta attraverso due prodotti rivolti a mercati diversi: Agger è una piattaforma molto sofisticata pensata per le esigenze di infrastrutture critiche e grandi aziende e rivolta a esperti di cyber security, Uranyo è una soluzione altrettanto potente ma molto semplificata che consente anche alle piccole e medie imprese di ottenere in modo facile e veloce una protezione di livello corporate.
Come garantite la sicurezza dei vostri stessi prodotti? (che prassi di security utilizzate per non essere vulnerabili)
In fase di progettazione e sviluppo, usiamo linguaggi di programmazione a basso livello e tecniche di scrittura del codice sicuro che, anche se rendono molto più lento il ciclo di produzione, ne aumentano la solidità, la scalabilità e la resilienza agli attacchi.
Quando i sistemi sono installati, invece, si usa una tecnica molto semplice: ogni componente controlla e garantisce le altre. I inostri sistemi sono infatti un insieme di moduli completamente integrati capaci di controllare in modo costante e coordinato aspetti diversi del comportamento delle infrastrutture IT e OT. Vengono monitorate le comunicazioni tra computer, i processi in esecuzione, gli utenti attivi e molte altre caratteristiche dei sistemi, tra cui anche l’integrità e la disponibilità delle nostre stesse componenti software. Con notevole sforzo è, in teoria, possibile eludere uno di questi controlli ma è assolutamente impossibile eluderli tutti contemporaneamente. Ancora una volta, l’unione fa la forza.
Per ulteriori approfondimenti su questi temi si suggerisce l’evento CRITIS 2021, the 16th International Conference on Critical Information Infrastructures Security prevista a settembre 2021.
