dicembre 14, 2021
Un cambio di prospettiva per la sicurezza industriale: immunizzare le aziende
Dieci anni sono un tempo lungo nella cybersecurity. Se avessimo potuto vedere nel futuro di una decina di anni, nel 2011, e capire quanto lontano sarebbero arrivate le tecnologie di cybersecurity entro il 2022, probabilmente nessuno ci avrebbe creduto. Me compreso! Paradigmi, teorie, pratiche, prodotti (anti-virus, che cosa?:), tutto è stato trasformato e progredito oltre il riconoscimento.
Allo stesso tempo, non importa quanto siamo progrediti, e nonostante le vuote promesse di miracoli dell’intelligenza artificiale e altri assortimenti di quasi-cybersecurity hype, oggi siamo ancora di fronte agli stessi, classici problemi che avevamo 10 anni fa nella cybersicurezza industriale:
Come proteggere i dati da occhi estranei e da modifiche non autorizzate, preservando al contempo la continuità dei processi aziendali?
In effetti, proteggere la riservatezza, l’integrità e l’accessibilità costituiscono ancora la fatica quotidiana della maggior parte dei professionisti della cybersecurity.
Non importa dove vada, il ‘digitale’ porta sempre con sé gli stessi fondamentali problemi. E anche il ‘digitalizzarsi’ perché i vantaggi sono così evidenti. Anche campi apparentemente conservatori come la costruzione di macchine industriali, la raffinazione del petrolio, i trasporti o l’energia sono stati pesantemente digitalizzati già da anni. Tutto bene, ma è tutto sicuro?
Con il digitale, l’efficacia del business cresce a passi da gigante. D’altra parte, tutto ciò che è digitale può essere (e viene) violato, e ci sono moltissimi esempi di questo nel campo industriale. C’è una grande tentazione di abbracciare completamente tutto ciò che è digitale, per raccogliere tutti i suoi benefici; tuttavia, deve essere fatto in un modo che non sia agonizzante e doloroso (leggi, con i processi aziendali che vengono interrotti). Ed è qui che il nostro nuovo (quasi) speciale antidolorifico può aiutare: il nostro KISG 100 (Kaspersky IoT Secure Gateway).
Questo piccolo dispositivo (RRP, un po’ più di €1000) è installato tra l’attrezzatura industriale (ulteriormente ‘macchinari’) e il server che riceve vari segnali da questa attrezzatura. I dati in questi segnali variano, sulla produttività, i guasti del sistema, l’uso delle risorse, i livelli di vibrazione, le misurazioni delle emissioni di CO2/NOx, e molti altri, e sono tutti necessari per avere un quadro generale del processo di produzione e per essere in grado di prendere decisioni aziendali ben informate e ragionate.
Come puoi vedere, il dispositivo è piccolo, ma sicuramente è anche potente. Una funzionalità cruciale è che permette di trasferire solo i dati “consentiti”. Permette anche la trasmissione dei dati rigorosamente in una sola direzione. Così, KISG 100 può intercettare un grande insieme di attacchi: man-in-the-middle, man-in-the-cloud, attacchi DDoS, e molte altre minacce basate su internet che continuano ad arrivare in questi tempi digitali “ruggenti”.
KISG 100 (che lavora sulla piattaforma hardware Siemens SIMATIC IOT2040 e il nostro cyber immune KasperskyOS) separa le reti esterne e interne in modo tale che nessun singolo byte di codice dannoso possa passare tra le due, così il macchinario rimane completamente protetto. La tecnologia (per la quale abbiamo tre brevetti in corso) funziona in base al principio del diodo di dati: aprire il flusso di dati in una sola direzione e solo dopo aver soddisfatto determinate condizioni. Ma, a differenza delle soluzioni concorrenti, KISG lo fa (1) in modo più affidabile, (2) più semplice e (3) più economico!
OK, diamo un’occhiata più da vicino…
Questo piccolo dispositivo è chiamato ‘gateway’, perché in linea di principio funziona proprio come la porta meccanica idrotecnica che si trova sui canali, la chiusa. Si apre il cancello inferiore, la barca entra, il livello dell’acqua sale, il cancello superiore si apre, la barca esce. Allo stesso modo, KISG 100 prima inizializza l’agente della fonte dalla rete industriale, poi lo connette con l’agente del ricevitore di dati in direzione del server e permette un trasferimento unidirezionale dei dati.
Una volta che viene stabilita una connessione tra la macchina e il server, il sistema ha un cosiddetto stato protetto: l’accesso a una rete esterna e anche alla memoria non sicura è vietato a entrambi gli agenti (sorgente e ricevente), mentre l’accesso alla memoria sicura (da cui ricevono parametri di lavoro come chiavi di cifratura, certificati, ecc. Con questo stato, il gateway non può essere compromesso da attacchi da una rete esterna, poiché tutti i suoi componenti in questa fase sono disconnessi dal mondo esterno e sono considerati sicuri; sono solo caricati e inizializzati.
Dopo l’inizializzazione, lo stato del gateway viene cambiato in attivo: l’agente ricevitore ottiene il diritto sia di trasferire dati a una rete esterna sia di accedere alla memoria non fidata (in cui sono contenuti dati temporanei). Così, anche se c’è un hacking sul lato server, gli hacker non possono arrivare agli altri componenti del gateway o alla rete industriale. In questo modo:
Il controllo sull’osservazione delle regole di interazione tra gli agenti, più la commutazione degli stati del gateway è fatto dal nostro monitor di cybersecurity KSS. Questo sottosistema isolato di KasperskyOS controlla costantemente il rispetto delle politiche di sicurezza predefinite (quale componente può fare cosa) e, secondo il principio “default deny”, blocca tutte le azioni vietate. Il principale vantaggio competitivo di KSS è che le politiche di sicurezza sono molto convenienti sia da descrivere con un linguaggio speciale, sia per combinare diversi modelli predefiniti di sicurezza informatica. Se uno solo dei componenti di KISG 100 (per esempio, l’agente ricevitore) risulta essere compromesso, non può danneggiare gli altri, mentre l’operatore del sistema viene informato dell’attacco e può mettersi al lavoro per affrontarlo.
Allora, sei ancora con noi? 🙂 Allora ecco che arriva l’inevitabile “aspetta, c’è dell’altro!”
Il piccolo dispositivo può aiutare a fornire servizi digitali aggiuntivi. Permette di integrare in modo sicuro i dati industriali in ERP/CRM e altri sistemi di business assortiti di un’impresa!
Gli scenari che coinvolgono tali servizi possono variare notevolmente. Per esempio, per il nostro rispettato cliente Chelpipe Group (un produttore leader di tubi in acciaio), abbiamo calcolato l’efficienza di una macchina utensile che taglia i tubi. Grazie a questa analisi predittiva, è possibile risparmiare fino a 7000 dollari al mese (!) sulle spese quando si sceglie di acquistare un tale strumento. In effetti, tale integrazione fornisce semplicemente infinite possibilità.
Un altro esempio: l’azienda di San Pietroburgo LenPoligraphMash ha collegato le sue attrezzature industriali al loro sistema 1C ERP, e ora, quasi in tempo reale, mostra in un ERP le analisi sulle prestazioni di tutti gli operatori, in modo da poter pagare gli operatori in base al tempo effettivo (non normativo o medio) di inattività. L’unicità di questo approccio e la sua scalabilità è stata confermata dagli esperti della rispettata agenzia analitica Arc Advisory Group nel suo primo rapporto sulla cyberimmunità.
Quindi, come puoi vedere, questa non è un dispositivo qualsiasi. È magico e perfettamente ingegnoso! Già, oltre ad essere in pieno servizio di combattimento presso Chelpipe Group, KISG 100 è installato insieme ai macchinari di lavorazione dei metalli di StankoMashKomplex, sono in corso poi progetti pilota di successo su Rostec e Gazprom Neft, e sono iniziati decine di altri piloti con grandi organizzazioni industriali. Il dispositivo ha ricevuto premi speciali per l’eccezionale risultato tecnologico al più grande evento IT cinese, Internet World Conference; alla fiera industriale Hannover Messe 2021 KISG 100 ha guadagnato un posto tra le migliori soluzioni innovative; e proprio di recente ha preso il primo premio nel IoT Awards 2021 dell’Internet of Things Association, battendo molte aziende più quotate.
In futuro espanderemo la gamma di queste scatole intelligenti. Già il “fratello maggiore” di KISG 100, KISG 1000 , è in fase di beta test. Oltre ad essere un gateway-guardia, come KISG 100, KISG 1000 è anche un ispettore: non solo raccoglie, controlla e distribuisce la telemetria, ma trasferisce anche i comandi di gestione ai dispositivi e protegge dagli attacchi alla rete.
Il risultato: non c’è motivo di aver paura del digitale. Bisogna semplicemente essere in grado di “cucinarlo” correttamente! E noi siamo qui per aiutarvi a farlo, con i migliori chef e ricette.