La cybersecurity industriale di Nozomi Networks

Sede in Svizzera e in Silicon Valley, visibiltà internazionale. Andrea Carcano, co-fondatore e Ceo dell’azienda, racconta come è nato il progetto per contrastare gli attacchi informatici a infrastrutture critiche e industriali

Autore: Piero Macrì

Il primo episodio di attacco informatico che ha interessato impianti industriali e infrastrutture critiche risale al novembre 2008 quando fece la sua comparsa Stuxnet, un virus che aveva come bersaglio i sistemi Scada, tecnologia tipicamente dedicata al monitoraggio di gasdotti, oleodotti e reti di erogazione dell’acqua o dell’energia elettrica così come centrali elettriche e nucleari. L’industrial cybercrime è un fenomeno destinato a crescere poiché significa confrontarsi con un ambiente IoT, fatto di “cose connesse” che utilizzano protocolli real time per scambiare informazioni.

Su questo fronte
stanno nascendo soluzioni di difesa in grado di minimizzare e contrastare al meglio questo tipo di attacchi. Tra i protagonisti di questo nuovo mercato è Nozomi Networks, azienda con sede in Svizzera e in Silicon Valley, fondata nel 2013 da Andrea Carcano, attuale Ceo, e da Moreno Carullo, esperto in Intelligenza Artificiale.
La soluzione di cybersecurity messa a punto da Nozomi sta riscontrando un crescente interesse internazionale. In Italia può già vantare un importante cliente come Enel e l’esperienza sinora acquisita ha consentito Nozomi di fare il grande salto: da semplice startup è oggi diventata una realtà tecnologica ad alto contenuto innovativo. Nel corso di questi anni sono stati poi trovati i finanziamenti necessari per poter proseguire l’evoluzione intrapresa, non ultimo, un investimento complessivo di 7,5 milioni di dollari da parte di venture capitalist statunitensi.
 
Sono sempre stato appassionato di cybersecurity”, dice Andrea. che ricorda i bei tempi andati, quando a scuola si divertiva ad hackerare i computer degli amici”. Studi di computer science all’Università dell’Insubria, poi l’occasione di una borsa di studio indetta dalla commissione europea, che aveva come oggetto lo sviluppo di virus e malware rivolti a sistemi industriali. Un tema per lui del tutto nuovo, ma che rappresentava una sfida e un’occasione per affrontare i temi della sicurezza, vissuta fino a quel momento all’interno di una dimensione IT, da una prospettiva diversa.

“Ancora adesso
il mondo IT e il mondo dell’automazione industriale sono due realpressoché distinte, con pochi punti di convergenza. Il mio obiettivo era di estendere la logica informatica al mondo della sicurezza industriale”. Nozomi, quindi, nasce da una sintesi di competenze acquisite nella dimensione IT, traslate e codificate nell’ambiente industriale.
Una volta capito come poter attaccare questo tipo di infrastrutture Andrea è passato all’elaborazione di una logica di difesa, cercando di sviluppare una soluzione di protezione originale.

Il percorso di studi all’interno
del centro di ricerca della sicurezza in ambito europeo lo hai poi portato a una serie di pubblicazioni che gli hanno permesso di farsi conoscere. A quel punto Andrea viene contattato da Eni dove ha l’opportunità di vedere applicate alla realtà i problemi che aveva toccato a livello accademico.

I due anni passati al Security Operation Center di
Eni sono stati fondamentali. In Tunisia, Egitto, Nigeria, posti dove ci sono raffinerie e pipeline ho potuto occuparmi in prima persona di tematiche verticali di sicurezza in infrastrutture critiche. Ho imparato tantissimo, ma a un certo punto mi sono detto che se avessi avuto la possibilità di ingegnerizzare il prototipo che avevo sviluppato durante il dottorato di ricerca sarei riuscito a risolvere molto più facilmente le problematiche con cui mi stavo confrontando. Per quanto interessante si trattava però di un progetto che non poteva essere intrapreso in Eni.
"

Inizia così l’avventura di Nozomi sulla quale Andrea coinvolge Moreno Carullo, brillante sviluppatore che aveva maturato la sua esperienza nell’ambito dell’Intelligenza Artificiale. Un’idea che nel tempo si è rivelata vincente poiché il binomio Cybersecurity - Intelligenza Artificiale ha rappresentato le fondamenta per il framework tecnologico su cui è stato sviluppato Scadaguardian.

L’inizio non è stato dei più semplici. La difficoltà maggiore stava nel trovare qualcuno che credesse in noi e che potesse sostenere finanziariamente il progetto. Siete piccoli non avete clienti, sorry, ci sentivamo rispondere”. Alla fine Andrea trova un potenziale sponsor, Paolo Bosani uno dei founder di Kairos partners.. “Se riducete al minimo gli investimenti iniziali vi posso supportare come business angel”, promette. Si parte, quindi, con rinnovata determinazione, e dopo sei mesi di duro lavoro a ottobre 2013 viene fondata Nozomi Networks. “La rete di contatti sviluppata durante la mia carriera mi ha poi permesso di creare credibilità intorno a Nozomi e quindi di lavorare con importanti system integrator con i quali abbiamo collaborato su Enel.”.



Secondo Andrea, le vulnerabilità del mondo industriale, tradizionalmente associate a una comunicazione seriale, sono diventate tali nel momento in cui i sistemi Scada hanno iniziato a essere interconnessi attraverso protocolli Tcp/Ip poiché si volevano ottenere dati in real time da infrastrutture critiche. Da allora, quelli che erano per definizione dei mondi chiusi sono diventati aperti alle minacce di internet, che diventava così il gateway di accesso per virus e malware che hanno l’obiettivo di manipolare i dispositivi di controllo industriale.

Il rischio? “Basti pensare che il sistema di controllo della valvola che decide la quantità di energia elettrica da generare in una delle più grandi dighe italiane ha un indirizzo Ip. Certo, un obiettivo non facile da raggiungere, ma dal punto di vista di un hacker si conosce il percorso da seguire”. Andrea insiste su questo aspetto: “Se ci immaginiamo un modello a cipolla, la rete industriale sta nel layer più interno. Bene, ciò vuol dire che per iniettare virus che prendono controllo di Plc devo sfondare più livelli. Difficile, ma non impossibile. Per fortuna questa consapevolezza all’interno delle aziende, oggi, a differenza del passato, esiste, ed esiste quindi la disponibilità a verificare la bontà degli investimenti in tecnologia e soluzioni cyber industrial”.

Il modello Nozomi si basa sull’analisi di processo ed è in grado di individuare eventuali deviazioni rispetto al funzionamento standard. Per analogia all’organismo umano possiamo pensare a Scadaguardian come a una soluzione in grado di individuare quelle che sono le alterazioni del battito cardiaco, pressione e frequenza del respiro. Lo stesso avviene in ambito industriale, dove tutti i parametri, diciamo così, vegetativi, di un impianto sono sotto stretta sorveglianza, con la possibilità, quindi, di intraprendere accertamenti per individuare la possibile disfunzione e, in ultima analisi, il virus che l’ha generata.

L’analisi di processo è l’unica che permette di rilevare attacchi zero day, diventati ormai i vettori di attacco più insidiosi. In futuro il passo successivo sarà passare da soluzioni passive a soluzioni dinamiche, in grado di automatizzare la fase di recovery. In un ambiente industriale, a differenza del classico mondo IT, i falsi positivi rappresentano un problema più grande. Se blocchi un’email la si può gestire, ma se si blocca inavvertitamente un dispositivo, una valvola o quant’altro che comanda parti di infrastrutture critiche le conseguenze possono essere disastrose. Oggi la reazione passa per una validazione umana. Domani questo processo sarà probabilmente automatizzato. Questa, conclude Andrea, è la sfida più grande”.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.