Tratto da Blog Kaspersky
Autore: Eugene Kaspersky – 14/12/2021
Kaspersky IoT Secure Gateway 100: come proteggere i dati industriali preservando la continuità aziendale
Come proteggere i dati da occhi estranei e da modifiche non autorizzate, preservando al contempo la continuità dei processi aziendali?
In effetti, proteggere la riservatezza, l’integrità e l’accessibilità costituiscono ancora la fatica quotidiana della maggior parte dei professionisti della cybersecurity.
Non importa dove vada, il ‘digitale’ porta sempre con sé gli stessi problemi. Lo ha fatto, lo fa e continuerà a farlo. Ma naturalmente lo farà, perché i vantaggi della digitalizzazione sono così evidenti. Anche campi apparentemente conservatori come la costruzione di macchine pesanti, la raffinazione del petrolio, i trasporti o l’energia sono stati pesantemente digitalizzati già da anni. Tutto bene, ma è tutto sicuro?
Con il digitale, l’efficacia del business cresce a passi da gigante. Ma d’altra parte, tutto ciò che è digitale può essere (e viene) violato, e ci sono moltissimi esempi di ciò. C’è una grande tentazione di abbracciare completamente il digitale, per raccogliere tutti i suoi benefici; tuttavia, deve essere fatto in un modo che non sia agonizzante e doloroso (con i processi aziendali che vengono interrotti). Ed è qui che il nostro nuovo (quasi) speciale “antidolorifico” può aiutare: il nostro KISG 100 (Kaspersky IoT Secure Gateway).
Questo piccolo dispositivo è installato tra l’attrezzatura industriale (‘macchinari’) e il server che riceve vari segnali da questa attrezzatura. I dati in questi segnali variano, sulla produttività, i guasti del sistema, l’uso delle risorse, i livelli di vibrazione, le misurazioni delle emissioni di CO2/NOx, e molti altri, ma sono tutti necessari per avere un quadro generale del processo di produzione e per essere in grado di prendere decisioni aziendali ben informate e ragionate.
Il dispositivo è piccolo, ma è anche potente. Una funzionalità cruciale è che permette di trasferire solo i dati “consentiti”. Permette anche la trasmissione dei dati rigorosamente in una sola direzione. Così, in un istante KISG 100 intercetta un intero insieme di attacchi: man-in-the-middle, man-in-the-cloud, attacchi DDoS, e molte altre minacce basate su internet che continuano ad arrivare.
KISG 100 (che lavora sulla piattaforma hardware Siemens SIMATIC IOT2040 e il nostro cyber immune KasperskyOS) divide le reti esterne e interne in modo tale che nessun singolo byte di codice dannoso possa passare tra le due, così il dispositivo rimane completamente protetto. La tecnologia (per la quale abbiamo tre brevetti in corso) funziona in base al principio del diodo di dati: aprire il flusso di dati in una sola direzione e solo dopo aver soddisfatto determinate condizioni. Ma, a differenza delle soluzioni concorrenti, KISG lo fa in modo più affidabile, più semplice e più economico.
Questo piccolo dispositivo chiamato ‘gateway’, in linea di principio funziona proprio come la porta meccanica idrotecnica che si trova sui canali, ossia la chiusa. Si apre il cancello inferiore, la barca, il livello dell’acqua sale, il cancello superiore si apre, la barca esce. Allo stesso modo, KISG 100 prima inizializza l’agente della fonte dalla rete industriale, poi lo connette con l’agente del ricevitore di dati in direzione del server e permette il trasferimento unidirezionale dei dati.
Una volta che viene stabilita una connessione tra la macchina e il server, il sistema ha un cosiddetto stato protetto: l’accesso a una rete esterna e anche alla memoria non sicura è vietato a entrambi gli agenti (sorgente e ricevente), mentre l’accesso alla memoria sicura (da cui ricevono parametri di lavoro come chiavi di cifratura, certificati, ecc. Con questo stato, il gateway non può essere compromesso da attacchi da una rete esterna, poiché tutti i suoi componenti in questa fase sono disconnessi dal mondo esterno e sono considerati fidati; sono solo caricati e inizializzati.
Dopo l’inizializzazione, lo stato del gateway viene cambiato in attivo: l’agente ricevitore ottiene il diritto sia di trasferire dati a una rete esterna sia di accedere alla memoria non sicura (in cui sono contenuti dati temporanei). Così, anche se c’è un hacking sul lato server, gli hacker non possono arrivare agli altri componenti del gateway o alla rete industriale. In questo modo:
Il controllo sull’osservazione delle regole di interazione tra gli agenti, più la commutazione degli stati del gateway è fatto da un monitor di cybersecurity KSS. Questo sottosistema isolato di KasperskyOS controlla costantemente il rispetto delle politiche di sicurezza predefinite (quale componente può fare cosa) e, secondo il principio “default deny”, blocca tutte le azioni vietate. Il principale vantaggio competitivo di KSS è che le politiche di sicurezza sono molto convenienti da descrivere con un linguaggio speciale e per combinare diversi modelli predefiniti di sicurezza informatica. Se uno solo dei componenti di KISG 100 (per esempio, l’agente ricevitore) risulta essere compromesso, non può danneggiare gli altri, mentre l’operatore del sistema viene informato dell’attacco e può mettersi al lavoro per affrontarlo.
Il piccolo dispositivo può aiutare a fornire servizi digitali aggiuntivi. Permette di integrare in modo sicuro i dati industriali in ERP/CRM e altri sistemi di business assortiti di un’impresa.
Sono in corso progetti pilota di successo con Rostec e Gazprom Neft, e ne sono iniziati decine di altri con grandi organizzazioni industriali. Il dispositivo ha ricevuto un premio speciale per l’eccezionale risultato tecnologico al più grande evento IT cinese, Internet World Conference; alla fiera industriale Hannover Messe 2021 KISG 100 ha guadagnato un posto tra le migliori soluzioni innovative; e proprio di recente ha preso il primo premio nel IoT Awards 2021 dell’Internet of Things Association, battendo molte aziende più quotate.
In futuro espanderemo la gamma di questi dispositivi intelligenti. Già il “fratello maggiore” di KISG 100, KISG 1000, è in fase di beta test. Oltre ad essere un gateway-guardia, è anche un ispettore: non solo raccoglie, controlla e distribuisce la telemetria, ma trasferisce anche i comandi di gestione ai dispositivi e protegge dagli attacchi alla rete.
Il risultato? Non c’è motivo di aver paura del digitale.