La cybersecurity è in continua evoluzione e, in questo contesto dinamico, l’Intelligenza Artificiale (AI) rappresenta un abilitatore tecnologico rivoluzionario per la difesa degli asset industriali delle aziende, offrendo nuove opportunità di migliorare la protezione delle informazioni, dei dati e delle infrastrutture.

Questo avviene attraverso una serie di vantaggi che potenziano le misure di sicurezza tradizionali e considerano l’individuazione e prevenzione avanzata delle minacce, così come la possibilità di automatizzare le relative risposte.

Le aziende industriali devono quindi confrontarsi con la domanda: siamo pronti per il futuro della cybersecurity permeato dall’AI e dalle altre tecnologie emergenti?

L’articolo approfondisce l’impatto multiforme dell’AI sulla cybersecurity industriale, esplorando sia il potenziale di trasformazione sia le potenziali insidie per le aziende industriali di trasformazione continua e discreta.

Partiremo dall’analisi del contesto globale e italiano, descriveremo le tecnologie abilitanti, le sfide, i vantaggi e le raccomandazioni per un’adozione efficace ed efficiente.

Il World Economic Forum, nella 19esima edizione del suo Global Risk Report per il 2024, ha individuato la ‘cyberinsecurity’ come quarto rischio globale più grave per i prossimi due anni, in variazione rispetto all’ottavo posto dello stesso report pubblicato nel 2023. Questo cambiamento è un indicatore significativo di come la percezione di questo rischio globale sia peggiorata significativamente a breve termine (figura 1).

Per quanto riguarda il panorama del rischio corrente, dal 39% dei rispondenti alla survey gli attacchi cyber vengono indicati come quinto rischio.

In riferimento al 2023, il Rapporto Clusit 2024 sulla sicurezza ICT in Italia, giunto al 12esimo anno di pubblicazione, su base di informazioni di attacchi globali di pubblico dominio andati a buon fine, indica come l’Europa sia il secondo continente più attaccato, con il 23% degli attacchi nel 2023 con una crescita del 7,5% rispetto all’anno precedente. Da notare come il trend delle severity per attacco sia in crescita, l’80% degli attacchi comporta la massima severità, ‘critical’ o ‘high’ (grafico 1). Le minacce sono principalmente legate a cybercrime, con vettore di attacco primario malware (aumento del 10,1% rispetto al 2022), exploit di vulnerabilità (76% in più rispetto al 2022) e DDOS (98% in più rispetto al 2022).

Gli attacchi diretti al comparto industriale manifatturiero hanno come obiettivo i sistemi Operations technology (Ot), che sono costituiti dalle tecnologie Industrial control system (Ics). 

Queste includono Supervisory control and data acquisition (Scada), Remote terminal unit (Rtu), Programmable logic controller (Plc), Disitributed control sistem (Dcs), i dispositivi Industrial Internet of Things (IIoT).

I sistemi Ot sono quindi Ics costituiti sia da asset fisici, come sensori e attuatori, server, workstation, computer industriali, dispositivi di rete e Plc, sia da asset logici, come logiche di programmazione, database, firmware e regole di firewall. La comunicazione avviene per mezzo di protocolli industriali proprietari (S7, CDA, SRTP, ecc.) o non proprietari (Modbus, OPC, DNP3, ecc.).

Questi sistemi sono di solito classificati come mission o business critical.

In ambito manifatturiero globale, i dati che emergono dalla SANS Ics/Ot cybersecurity survey, aggiornata a settembre 2023, che ha interessato 701 chief information officer nel mondo, con in gestione 1.760 impianti, identificano come origine degli attacchi principalmente una propagazione verso Ot di una compromissione avvenuta in ambito IT (38,4%), la compromissione di una stazione di lavoro (30,2%) e l’esecuzione di servizio esterno remoto (24,4%) (grafico 2).

Dal report Dragos Ot cybersecurity year in review 2023, si evince inoltre che, tra i software malware, la tipologia ransomware ha infettato impianti e sistemi di controllo industriale manifatturiero con un’incidenza del 71%. La variante più utilizzata è stata Lockbit, in modalità operativa ‘ransomware as a service’. 

Gli attacchi nel comparto industriale hanno colpito i settori di cui in figura 2.

Per la maggior parte degli ambienti industriali, gli impianti e i dispositivi non sono direttamente connessi a una rete pubblica, ma si trovano invece dietro almeno un singolo livello di sicurezza, come un firewall o un proxy. 

L’efficacia di questi controlli di sicurezza varia notevolmente e non si dovrebbe dare per scontato che un singolo livello sia una protezione sufficiente. 

Dragos ha pubblicato risultati su problemi di segmentazione di rete o firewall configurati in modo errato: nel 28% degli incidenti nel 2023, il comparto manifatturiero è ancora il più colpito e con una frequenza di incidente in aumento (grafico 3).

In riferimento al 2023, il Rapporto Clusit 2024, su base di informazioni di attacchi globali di pubblico dominio andati a buon fine, indica come gli attacchi in Italia constino l’11% del totale globale, con in incremento del 53% della severità ‘high’. 

Un quarto degli attacchi globali che hanno come obiettivo le aziende manifatturiere coinvolge realtà italiane. Come nel 2022, la distribuzione delle imprese colpite indica al secondo posto quelle manifatturiere (grafico 4). Nel 2023, l’indice di severità critico si attesta oltre il 44%, il 50% high, 10% medium. Da notare che, per la prima volta, il vettore di attacco primario è il DDOS, passato dal 4% del 2022 al 36% del 2023.

Facciamo ora un po’ di chiarezza sulle varie innovazioni tecnologiche emergenti che trovano impiego sia negli approcci attivi sia passivi alla mitigazione del rischio cyber. 

Queste innovazioni hanno tutte il beneficio di velocizzare in modo drastico i tempi di detezione-analisi-risposta e aumentare l’efficacia-efficienza del servizio, in virtù della capacità dell’AI di analizzare grandi quantità di dati, identificare modelli e fare previsioni.

I modelli fondativi dell’AI si relazionano gerarchicamente, come rappresentato nella figura 3.

Le principali innovazioni AI nella sicurezza informatica sono Machine learning (Ml), Deep learning (Dl), Natural language processing (Nlp), Computer vision (Cv) e l’AI a basso consumo. Nel Ml, gli algoritmi vengono addestrati su grandi dataset di sicurezza informatica per rilevare anomalie e identificare potenziali minacce. Possono analizzare il traffico di rete, il comportamento degli utenti e le firme malware, per segnalare attività sospette e prevenire attacchi. Il Dl va oltre il Ml, incorporando strutture gerarchiche che assomigliano al cervello umano. 

Ciò consente ai modelli Dl di apprendere modelli complessi e fare previsioni più sofisticate, come l’identificazione di attacchi zero-day e la previsione delle tendenze future delle minacce.

Il Nlp è utilizzato per analizzare e comprendere il linguaggio umano, consentendo alle soluzioni di sicurezza informatica di elaborare ed estrarre informazioni da fonti di dati basate sul testo, come email, social media e chat log. 

Può anche essere utilizzato per creare modelli di attacchi informatici realistici, usati per testare le procedure di risposta agli incidenti. Altro impiego che, per esempio, avviene con le funzionalità avanzate di ChatGpt è quello della prevenzione frodi, attraverso analisi delle email, monitoraggio dei social media, analisi dei dati delle fatture, revisione della documentazione di conformità, ecc. 

Utilizzando le funzionalità di Microsoft 365 Defender Advanced Hunting offerte da ChatGpt, si può monitorare e identificare ogni attività di login sospetta, associata a credenziali compromesse da campagne di phishing. 

L’impiego del Npl nei Security operation center, negli strumenti di sicurezza, avvia l’automazione di attività manuali e ripetitive, della raccolta di informazioni, dei suggerimenti alla risposta incidentale. Un sistema SIEM basato sull’AI potrebbe essere utilizzato per correlare un attacco di phishing con un tentativo di accesso a un server. Questo potrebbe aiutare le aziende a identificare l’origine dell’attacco e a prendere misure per mitigarne l’impatto.

Le tecniche di Cv vengono impiegate per analizzare immagini e video da telecamere di sicurezza, sistemi di sorveglianza e dispositivi IoT. Ciò aiuta a rilevare intrusioni, identificare oggetti di interesse e valutare i livelli di rischio in tempo reale.

Infine, i sistemi di sicurezza basati sull’Intelligenza Artificiale a basso consumo, che sono in grado di funzionare su dispositivi a risorse limitate, possono utilizzare una serie di tecniche per ridurre il consumo energetico. 

Per esempio, si usano algoritmi di compressione per ridurre la quantità di dati che deve essere elaborata. Possono anche utilizzare algoritmi di ottimizzazione per ridurre il numero di operazioni necessarie per elaborare i dati. 

L’AI a basso consumo può aiutare a rendere i sistemi di sicurezza basati su di essa più accessibili alle piccole imprese e alle organizzazioni con risorse limitate.

Ma anche i cyber criminali e gli hacker continuano a essere attivi e stanno implementando la loro trasformazione digitale. L’impiego dell’AI da parte loro ha recentemente introdotto nuove minacce. 

Un esempio sono gli AI driven ‘dumpster diving’ attack, che consistono in un approccio automatico alla scansione delle email scartate, dei testi e delle altre comunicazioni online per estrarre informazioni personali. 

Oppure, il Credential stuffing, che consiste nell’impiego di modelli AI per accedere simultaneamente con accesso remoto a un grande numero di account. Infine, lo Spear phishing email, che consiste nell’impiego di AI generativa per la produzione di email di phishing che hanno maggior successo nell’allettare i destinatari al click su link malevoli.

I computer quantistici sono una tecnologia emergente con un potenziale enorme. I computer tradizionali utilizzano bit per rappresentare le informazioni.

Un bit può assumere uno stato di 0 oppure 1. I computer quantistici, invece, utilizzano qubit per rappresentare le informazioni. 

Un qubit può assumere uno stato di 0, 1 o una combinazione di 0 e 1, chiamata sovrapposizione. La sovrapposizione è una proprietà quantistica che è alla base della potenza dei computer quantistici.

Il calcolo quantistico ha il potenziale di rivoluzionare la cybersecurity sia rafforzando le difese esistenti sia creando nuove vulnerabilità.

Da un lato, i computer quantistici possono essere sfruttati per sviluppare algoritmi di crittografia più potenti, resistenti agli attacchi brute-force tradizionali.

Ciò sarà cruciale quando i computer quantistici diventeranno più potenti e in grado di decifrare gli standard di crittografia attuali.

I computer quantistici possono accelerare l’addestramento AI e migliorare le prestazioni delle applicazioni di sicurezza basate su AI. Per esempio, gli algoritmi AI possono essere addestrati su dati simulati quantistici per migliorare la loro capacità di identificare e classificare le minacce.

D’altra parte, il calcolo quantistico potrebbe anche intensificare le minacce cyber esistenti per mezzo dell’AI, automatizzando e amplificando gli attacchi informatici.

Attori malevoli potrebbero utilizzare computer quantistici per violare le comunicazioni crittografate, rubare dati sensibili e sviluppare malware sofisticati.

Ciò rende necessario lo sviluppo della crittografia post quantistica (Pqc), una nuova generazione di algoritmi di crittografia specificamente progettati per resistere agli attacchi quantistici. Le organizzazioni devono valutare attentamente questi rischi e adottare un approccio proattivo alla cybersecurity, che integri la crittografia sicura quantistica e le soluzioni di sicurezza basate su AI.

Ricordiamo che i danni per le aziende industriali derivanti dagli attacchi informatici sono di diverse tipologie, quali:

Il report IBM Cost of a data breach 2023 indica che il costo medio di una violazione dati nel 2023 è stato di 4,45 milioni di dollari e solo il 28% delle aziende intervistate ricorre a un ampio uso dell’AI per la sicurezza informatica.

Dal report Microsoft digital defense 2023 risulta evidente che, lato esposizione, alle vulnerabilità dei dispositivi IoT/IIoT/Ot la situazione non sia confortante. Il 25% dei dispositivi Ot utilizzati nelle reti dei clienti utilizzano sistemi operativi non più supportati e, del 78% dei dispostivi vulnerabili nelle reti di controllo industriali, il 46% non è passibile di patch, a causa di un firmware non più supportato (grafico 5).

È chiaro quindi che, con la situazione rappresentata, la mitigazione del rischio di incidente diventa fondamentale al fine della protezione degli asset ICS e delle infrastrutture Ot.

L’utilizzo dell’AI per la mitigazione del rischio di sicurezza informatica offre una serie di vantaggi per le aziende industriali.

Il primo vantaggio è il miglioramento della rilevazione delle minacce: l’AI può essere utilizzata per identificare minacce che sarebbero difficili o impossibili da rilevare con applicativi tradizionali. Per esempio, può essere impiegata in sistemi Intrusion prevention (Ips) per identificare modelli di comportamento sospetti nel traffico di rete o per identificare nuove varianti di malware.

Un altro vantaggio è la risposta più rapida agli attacchi: l’AI può infatti aiutare le aziende a rispondere in modo più rapido e preciso, riducendo l’impatto degli attacchi bloccandoli in tempo reale.

Le aziende che usano un sistema di sicurezza informatica basato su AI, secondo il report Cost of data breach 2023, impiegano tempo medio inferiore di 108 giorni per identificare e contenere un breach.

L’AI può anche aiutare le aziende ad automatizzare le attività di sicurezza informatica, come l’applicazione delle patch di sicurezza, o nel rispondere a richieste di supporto.

Sempre dal report IBM Cost of data breach 2023, si evince che le aziende che hanno utilizzato l’AI per l’automazione della sicurezza informatica hanno risparmiato nei costi associati ai data breach mediamente 1,76 milioni di dollari statunitensi rispetto alle imprese che non la adottano.

L’Abilitazione analisi comportamentale (Uba), invece, analizza i modelli di comportamento degli utenti dei sistemi industriali per identificare anomalie che potrebbero indicare attività malevole. Questo è particolarmente efficace nel prevenire minacce interne e rilevare tentativi di takeover degli account.

L’utilizzo dell’AI per la sicurezza informatica presenta anche alcune sfide, tra cui:

Il costo: l’implementazione e la manutenzione di sistemi difensivi per i sistemi Ot basati sull’AI può essere costosa;

L’etica: l’utilizzo dell’AI per la sicurezza informatica solleva questioni etiche, come il rispetto della privacy;

La sicurezza: i sistemi basati sull’AI possono essere comunque vulnerabili agli attacchi informatici.

Per le aziende industriali che intendono adottare l’AI per la sicurezza informatica è opportuno fare alcune raccomandazioni che derivano dall’esperienza diretta sul campo.

La prima è quella di adottare una strategia di sicurezza basata sul rischio: una strategia ben progettata, infatti, può aiutare le aziende a identificare i rischi più gravi e a concentrarsi sulla loro mitigazione.

Le attività chiave sono, da un lato, identificare le aree di miglioramento di protezione, prevenzione, detezione e risposta attraverso un confronto con metriche di sicurezza di aziende simili, in modo da identificare le aree in gap dove l’impiego della AI potrebbe avere maggior impatto. 

Dall’altro, disegnare un piano di priorità e intervento per mezzo di una robusta governance supportata da Kpi.

La seconda raccomandazione riguarda l’implementazione di piano di intervento, ovvero: attivare un programma che armonizzi le attività di segmentazione e segregazione delle reti Ot; adottare la gestione dell’IoT nel cloud; adeguamento infrastrutturale reti e switch ai nuovi standard tecnologici; impiego di tecnologie difensive potenziate via AI-Ml per il monitoraggio attivo delle reti Ot; impiego di sistemi di scanning del firmware Ics; impiego dell’autentificazione multi fattore e approccio zero trust.

Si raccomanda poi di adottare un’assicurazione sul rischio cyber e di fare una valutazione organizzativa della possibilità di inserire nell’organizzazione un Chief information security officer.

Infine, si raccomanda di fare investimento nella formazione dei dipendenti: le aziende dovrebbero investire sistematicamente nella formazione dei dipendenti sulle minacce alla sicurezza informatica e sull’uso dell’AI, sviluppando così nuove competenze professionali.

WEF Global Risk Report 2024 19th Edition

WEF Global Risk Report 2023 18th Edition

Clusit - Rapporto 2024 sulla sicurezza ICT in Italia

SANS Ics/Ot Cybersecurity Survey Sept. 2023

IBM Cost of Data Breach 2023

Report Dragos Ot CyberSecurity Year in Review 2023

Microsoft Digital Defense Report 2023

Articolo pubblicato sul numero di marzo-aprile 2024 

di MIT Sloan Management Review Italia, Edizioni ESTE