Nell’antica concezione di impresa, la logistica è stata a lungo considerata marginale, un problema non essenziale le cui soluzioni di cyber security venivano demandate ai trasportatori e ai magazzinieri, laddove l’azienda si rivolgeva a terzi per il trasporto e lo stoccaggio delle merci.
Con l’avvento dell’Industria 4.0 i prodotti sono stati tracciati sia negli stock, sia durante il loro trasporto.
Industria 4.0, a che punto sono Italia ed Europa: bene le tecnologie ma servono competenze
Il sistema impresa è diventato ancora più aperto e questo ha sparigliato le carte, ricostruendo l’organigramma delle responsabilità, perché un eventuale problema di cybersecurity sperimentato dalla logistica – anche se demandata a terzi – ha ricadute di notevole impatto anche sull’impresa che vi fa ricorso.
Nei casi più estremi ha ricadute anche sull’economia mondiale, basti pensare a un’interruzione di parte del traffico aereo commerciale per un periodo di due-tre giorni. Le conseguenze sarebbero devastanti.
Tornando all’ambito aziendale, l’Industria 4.0 non è solo appannaggio delle fabbriche ma di tutti i settori economici e, va da sé, anche di chi si occupa di logistica, realtà nelle quali la digitalizzazione si è diffusa sempre di più, aumentandone l’efficienza ma aprendo le porte alle minacce informatiche.
Imprese e attori della logistica si scambiano dati sia in entrata sia in uscita e questo apre un fronte di discussione: ogni azienda è responsabile della sicurezza informatica al suo interno, ma come proteggere i dati in transito tra entità logistiche e imprese? Quali sono le politiche di sicurezza attuate dai CISO (Chief Information Security Officer) e dai CSO (Company Security Officer)? Quali sono i punti deboli di questa catena, che può essere lunga?
Tutto ciò rientra nella sempiterna questione della cultura del dato in senso ampio e della sicurezza che i dati esigono.
Dalle fabbriche alle infrastrutture critiche: soluzioni per migliorare la sicurezza del dato
Indice degli argomenti
La cyber security nella logistica
A novembre del 2021 sono stati messi in vendita diversi pacchetti di dati contenenti le credenziali di accesso di diverse imprese attive nella logistica, dati sottratti anche usando botnet.
Successivamente, siamo a maggio del 2022, le tecniche di attacco non si sono ridotte di numero e hanno cambiato metodologia, prediligendo i ransomware. All’inizio del medesimo anno il gigante americano della logistica Expeditors ha subito un attacco che ha gravemente compromesso la propria struttura IT.
I danni in termini economici non sono stati resi noti, ma si tratta di un’azienda che muove ogni anno centinaia di milioni di tonnellate di merci via cielo e un miliardo di container via mare. Come vedremo più avanti, questi attacchi sono soltanto una piccola parte del totale.
Lo scenario della logistica è complesso: non ci sono soltanto le infrastrutture IT interne alle aziende del comparto, c’è un’articolata struttura di dispositivi e networking che esce dagli stabilimenti e si dipana lungo i mezzi di trasporto e sono tutti punti vulnerabili.
Per chi non è addentro alla materia è persino inimmaginabile la quantità di tecnologia a bordo di un mezzo di trasporto inserito in una filiera logistica digitalizzata, mostriamo quindi un‘immagine che aiuta a comprendere.
Si tratta di uno schema applicabile alle navi da carico ma che, in modo non molto dissimile, si può applicare anche al trasporto aereo, su ruota e su rotaia anche se, in questi due ultimi casi, il ruolo delle tecnologie satellitari può essere meno incisivo. Cambia il mezzo di connettività ma non la complessità dell’infrastruttura.
Un tessuto che collega i sistemi di tecnologia operativa (OT) a quelli di Information technology propriamente detti. Ovvero, dispositivi mobili tra i quali anche IoT che generano traffico di dati da convogliare verso architetture IT interne, ossia a server, personal computer e altri dispositivi mobili (anche IoT). Tutti punti e percorsi appetibili per il cyber crimine.
A complicare una situazione già sensibile concorre la vocazione alla sicurezza di chi produce OT che, per comprimere i costi o per garantire le dimensioni ridotte dei dispositivi, è da considerare perfettibile.
Sicurezza IT e OT: principali differenze e strategie di presidio
Il problema visto dall’interno
Per garantire alti livelli di sicurezza, come sempre prima di ogni altra cosa, servono due elementi: occorre accettare l’idea che c’è sempre un rischio cyber ed è necessario divulgare la formazione sui rischi lungo tutta la filiera della logistica.
Sicurezza della supply chain: ecco perché serve formazione sui rischi cyber
Ci si trova così confrontati con diversi produttori di tecnologie a loro modo individualisti, concentrati più sul fare funzionare ciò che vendono e meno interessati all’interazione con altri dispositivi.
Diventa necessario garantire accessi remoti sicuri e un’opportuna segmentazione della rete, così come è di primaria importanza introdurre sistemi di autenticazione a più fattori e procedere a backup completi per rimediare ai danni inferti dai ransomware.
Poiché non è sulla sicurezza che bisognerebbe lesinare budget, un sistema di disaster recovery dovrebbe essere prioritario per qualsiasi azienda (non solo quelle attive nella logistica). Ma tutto ciò non può essere considerato abbastanza.
L’architettura della difesa
Gli account dei dipendenti, così come quelli destinati agli stakeholder, dovrebbero essere protetti a prescindere dal fatto che consentano l’accesso a risorse on-premise o in Cloud.
Ci sono diverse soluzioni Privileged Access Management (PAM). Tecniche di Data masking sono anche indicate (giovano molto al GDPR ma non soltanto). Ci vorrebbe anche una regolamentazione internazionale relativa ai protocolli e agli standard di sicurezza.
I regolatori si stanno muovendo in questa direzione, si possono citare a questo proposito la direttiva NIS e framework specifici per il trasporto ferroviario.
Per approfondire l’argomento ci siamo rivolti a diverse aziende che si occupano di logistica e, come vedremo, ci siamo trovati confrontati con mancate risposte e la scelta di non rispondere alle nostre domande.
Kaspersky, azienda nota nella sicurezza informatica, ci ha aiutato a fornire un quadro di insieme che completa quello che abbiamo dipinto all’inizio: “L’attenzione dei cyber criminali si sta rivolgendo sempre più alle aziende che compongono la supply chain della grande distribuzione – spiega Fabio Sammartino, Head of Pre-sales di Kaspersky Italia -. Questa è una tendenza che abbiamo visto crescere costantemente dal 2020, con l’inizio della pandemia, quando il settore dei trasporti e movimentazione merci è diventato ancora più cruciale. Stiamo parlando di attacchi con finalità estorsive, principalmente ransomware che, se portati a termine, possono mettere in ginocchio l’intera azienda. Casi recenti, come quello del porto di Lisbona o di Terneuzen, possono darci la misura dell’impatto di un attacco di questo genere e delle conseguenze sull’intero sistema produttivo”.
Sono i ransomware, dicevamo, le leve più usate per scardinare le infrastrutture IT delle aziende attive nella logistica: “I gruppi attaccanti coinvolti, come Lockbit o BlackCat, utilizzano sempre le stesse tattiche per sferrare il loro attacco: si guadagnano l’accesso alla rete della vittima attraverso la sottrazione di credenziali, o lo sfruttamento di vulnerabilità di sistemi esposti, ottengono i privilegi amministrativi, esfiltrano i dati per forzare la vittima a pagare un riscatto dopo aver criptato tutti i sistemi.
Seguono questo schema, con piccole variazioni, ed è molto efficace perché dalle nostre statistiche risulta che il 70% circa delle vittime di ransomware paga il riscatto pur di ritornare all’operatività velocemente. Purtroppo questo trend è destinato a crescere anche a causa della situazione geopolitica, che sta spingendo ad un cambiamento di assetto anche alla logistica globale; i nostri esperti prevedono un incremento degli attacchi verso questo settore anche da parte dei gruppi di criminali più sofisticati, i gruppi APT, ed un utilizzo sempre maggiore di minacce wiper al posto dei ransomware” spiega Sammartino.
CISO e CSO dovrebbero quindi farsi carico della diffusione della corretta cultura, soprattutto in quelle aziende meno sensibili all’argomento e, inoltre: “Le aziende del comparto logistico, così come tutte quelle che utilizzano datacenter e concentrazioni di dati, hanno la necessità di migliorare la propria dotazione di cyber security per difendersi da questi attacchi.
L’implementazione di un processo di patch management accurato è decisamente cruciale, soprattutto per i servizi accessibili da internet, così come le attività periodiche di Pentest e Vulnerability Assessment, allo scopo di testare la reale sicurezza dei sistemi più critici.
Si rende sempre più necessario dotarsi di strumenti che estendono la visibilità sulle azioni svolte sui sistemi protetti, poiché gli attaccanti utilizzano tecniche di penetrazione e spostamento mascherate da azioni normali.
Monitorare i sistemi con soluzioni che includono strumenti di EDR e MDR costituisce una risposta efficace perché permette di andare a identificare e bloccare gli attacchi di ransomware nei primissimi stadi, prima che avvenga la cifratura dei dati.
Inoltre risulta essere particolarmente utile l’utilizzo di servizi di monitoraggio delle attività dei criminali nel Dark Web, dove si svolgono le compravendite delle credenziali di accesso alle reti delle vittime.
È doveroso approfondire il significato degli acronimi MDR ed EDR citati sopra. MDR sta per Managed Detection & Response e non riguarda una tecnologia in sé ma un servizio che monitora le risorse IT al fine di rilevare minacce e rispondere in modo immediato secondo politiche di difesa specifiche.
L’EDR (Endpoint Detection and Response) si concentra sul rilevamento delle minacce a livello dei singoli dispositivi (server, client, dispositivi IoT ecc.) e non sulla rete a cui si collegano e che eventualmente li collega tra loro. È una risorsa particolarmente utile quando le minacce hanno superato gli argini della previsione e della prevenzione.
Il silenzio non rassicura
Per scrivere questo articolo nel modo più puntuale possibile ci siamo rivolti ad attori di rilievo del comparto logistico e ci siamo scontrati contro un muro di silenzio. Nello specifico:
- BRT ha chiesto di ricevere le domande che avremmo formulato e, dopo averle ricevute, ha declinato.
- UPS ha detto no, ma ci ha inviato una breve dichiarazione.
- Amazon ha declinato.
- GLS, DHL, TNT e FedEx non hanno risposto (nonostante i nostri solleciti).
Questo il comunicato di UPS: “La sicurezza è ed è sempre stata una priorità assoluta per noi di UPS. Sottoponiamo a verifiche continue i nostri processi e le nostre procedure per valutarne potenziali inconvenienti e mitigarne qualsiasi tipo di rischio. Adottiamo un approccio multilivello alla sicurezza, ma non rendiamo note le metodologie per preservarne l’efficacia”.
Prendiamo questa dichiarazione per buona e le conferiamo quella professionalità che il gruppo UPS si è guadagnato in oltre un secolo di storia (l’azienda è nata nel 1907).
Tuttavia, occorre contestualizzare e i silenzi alle domande che abbiamo e/o avremmo formulato. Si tratta di quesiti assai generici perché mai ci saremmo aspettati che, anche soltanto uno dei nostri interlocutori, ci avrebbe svelato i segreti aziendali da custodire con maggiore attenzione:
- Quali sono le vulnerabilità di sicurezza nell’infrastruttura IT del settore logistico?
- Quali sono le sfide operative e di sicurezza nella logistica?
- Le esigenze di sicurezza informatica delle aziende di logistica devono soddisfare requisiti essenziali, quali sono?
Domande che avrebbero reso questo articolo molto più aderente alla realtà sostanziale della situazione. Certo è che rispondere sarebbe stato, per ognuna delle aziende che abbiamo contattato, un’occasione per trasmettere un’idea di solidità ai rispettivi clienti.
Che hanno senza dubbio diritto di sapere come viene garantita la sicurezza dei flussi logistici. Ma questo è un argomento che in fondo non riguarda la scrivania dei CISO ma quelle di altri manager. Comunque è un’occasione perduta.