Da un lavoro congiunto del NIST e dell'Università del Michigan, un framework di sicurezza informatica che coniuga gemello digitale, tecniche di machine learning ed elemento umano nella classificazione dei segnali di cyber-attack ai danni dei macchinari dei siti produttivi in piena trasformazione digitale.
Il digital twins per la cyber-security, ovvero i gemelli digitali per applicazioni di sicurezza informatica, fanno riferimento a un inedito scenario di difesa dai cyber-attack nell’ambito della smart manufacturing, dove sempre più apparecchiature di produzione diventano accessibili da remoto, creando nuovi potenziali punti di ingresso per minacce cyber.
Ricordiamo che la maturità raggiunta, nell’ultimo decennio, dalle tecnologie emergenti – tra cui intelligenza artificiale, robotica, Internet of Things e Cloud, solo per citarne alcune – hanno consentito il progredire dell’automazione dei processi produttivi, dove la presenza di macchine autonome deputate ai lavori più pesanti e ripetitivi, la connettività e il dialogo tra dispositivi diversi e la centralità del dato, la sua raccolta, la sua analisi e il suo utilizzo per prendere decisioni, danno vita a un sito produttivo più efficiente e competitivo.
In un sito del genere, la vasta mole di dati raccolti dalla sensoristica a bordo dei macchinari, così come di quelli generati da altri dispositivi, vengono analizzati per estrarne valore e prendere decisioni che riguardano, ad esempio, lo sviluppo di prodotti, azioni di marketing, tutta la parte gestionale e le attività previsionali, tra cui manutenzione predittiva e previsione dei guasti.
«In un contesto di questo tipo, gli attacchi informatici ai danni dei dati raccolti dai macchinari possono essere difficili da rilevare e da differenziare rispetto ad altre anomalie del sistema, a volte più di routine» fa notare il team composto dai ricercatori del National Institute of Standards and Technology (NIST) e dell’Università del Michigan in uno studio dal titolo “Digital Twin-Based Cyber-Attack Detection Framework for Cyber-Physical Manufacturing Systems”, il quale spiega:
«Il punto è che l’accesso diretto e in tempo reale attraverso dispositivi di Operational Technology (OT) – come può esserlo una stampante 3D, ad esempio – a quei dati che descrivono ciò che sta accadendo all’interno delle macchine, potrebbe mettere a rischio le prestazioni e la sicurezza dell’intero processo in fabbrica»
Da qui l’intuizione che ha portato gli autori dello studio citato alla messa a punto di una strategia basata sul gemello digitale, in grado di rilevare gli attacchi cyber diretti a una stampante 3D. Potenziale strategia applicabile, in futuro, a un’ampia gamma di apparecchiature di produzione intelligenti, dotate di tecnologie digitali, nell’ambito dell’industria manifatturiera. Ma vediamo da vicino di che cosa si tratta.
Digital twins per la cyber-security in ambito industriale: oltre le applicazioni di manutenzione predittiva
La difficoltà di fondo – osservano gli autori dello studio in tema di digital twins per la cyber-security – è che le consuete strategie di sicurezza informatica applicate a dispositivi di produzione «si basano su copie del traffico di rete che non sempre ci aiutano a vedere cosa sta accadendo all’interno di un determinato macchinario o di un processo», quando invece, per non lasciare spazio ad attacchi esterni, è necessario scandagliare anche la parte hardware delle apparecchiature.
«Il gemello digitale della macchina, essendo strettamente legato alle sue controparti fisiche, è in grado di estrarne i dati e di supportarla in tempo reale. Dunque, quando non è possibile ispezionare fisicamente un macchinario industriale mentre questo è in funzione, il suo gemello digitale diviene uno strumento strategico» è la tesi dal quale è partito il team di ricerca.
Negli ultimi anni, ci siamo abituati a pensare ai digital twins nel settore industriale con finalità di produzione e di progettazione, dove il gemello digitale viene in aiuto prima della realizzazione del suo corrispettivo fisico, con notevoli risparmi in termini di tempi e di costi.
Ma non solo. I digital twins dei macchinari di produzione – grazie all’abbondanza dei dati che sono in grado di fornire – sono elementi a sostegno dell’analisi di previsione di eventuali guasti. Un esempio di alto livello è quello della manutenzione predittiva delle pale eoliche in seno al progetto europeo IoTwins, realizzato grazie alla realizzazione del gemello digitale di un parco eolico con l’obiettivo di rilevare lo stato di salute delle pale, pianificare le operazioni di manutenzione e ridurre eventuali guasti.
L’esempio del gemello digitale che riproduce il processo di stampa 3D e le sue anomalie
Secondo gli autori dello studio in tema di digital twins per la cyber-security, nell’ambito della smart manufacturing i gemelli digitali potrebbero avere anche altre funzioni.
In particolare – sottolineano – i processi di produzione provvisti di tecnologie digitali forniscono set di dati così variegati (inerenti, ad esempio, temperatura, consumi, voltaggio, corrente e molto altro) e così ripetitivi, all’interno dei quali è possibile rilevare anomalie che possono riguardare anche attacchi informatici alla loro rete.
Ecco, allora, che hanno costruito un gemello digitale per emulare il processo di lavoro di una stampante 3D di tipo standard.
Nel momento in cui la stampante ha iniziato a generare un prodotto (in particolare, una clessidra di plastica) – spiegano i ricercatori – il suo sistema di monitoraggio ha cominciato a controllare i flussi dei dati, compresi sia quelli relativi alle temperature della testina di stampa fisica sia quelli relativi alle temperature simulate, calcolate in tempo reale dal suo gemello digitale.
A quel punto, si è iniziato a creare elementi di disturbo quali simulazioni di “attacchi esterni alla sua operatività”, tra cui irregolarità nel funzionamento causate da una ventola esterna alla stampante (che ha causato il raffreddamento della macchina), fino a disturbi dagli effetti più gravi, che hanno fatto sì che la stampante riportasse in modo errato le letture dei dati della temperatura della testina di stampa, dando origine a problemi di malfunzionamento e di blocco dell’intera produzione.
Che cosa è accaduto a quel punto? In che modo i sistemi di monitoraggio hanno distinto un attacco informatico da un’anomalia ordinaria?
«I sistemi che hanno analizzato sia i dati inerenti alla stampante 3D reale che al suo gemello digitale si sono basati su modelli di machine learning addestrati a riconoscere l’operatività della stampante in condizioni normali e, dunque, a discernere eventuali situazioni fuori dall’ordinario»
precisa il team. In breve sintesi, in fase di test, se i modelli di intelligenza artificiale atti a questo compito rilevavano un’irregolarità, intervenivano altri modelli AI col compito di verificare «se i segnali anomali fossero coerenti con dati presenti all’interno di un dataset di segnali problematici già noti, come – ad esempio – la ventola della stampante che raffredda la testina di stampa più del previsto».
A quel punto, il sistema ha classificato l’irregolarità come “anomalia prevista” o “potenziale minaccia informatica”. Infine, nell’ultima fase, è intervenuto un esperto di cyber-security col compito di interpretare quanto classificato dal sistema di apprendimento automatico e, quindi, di prendere la decisione più idonea ai fini della sicurezza IT della macchina e del business dell’azienda.
Digital twins per la cyber-security: prospettive future
Il framework sviluppato dai ricercatori del NIST e dell’Università del Michigan in tema di digital twins per la cyber-security fornisce uno strumento a supporto dell’esperto umano nel rilevare le anomalie dei macchinari all’interno di un sito produttivo smart per poi classificarle o meno come possibili minacce alla loro sicurezza informatica.
Nel caso in cui il framework non abbia mai rilevato prima una data irregolarità, «l’esperto analizza i dati raccolti per fornire ulteriori approfondimenti da integrare nel framework, contribuendo alla sua implementazione».
Quindi, l’elemento umano confermerebbe i sospetti del sistema AI deputato al monitoraggio oppure, al contrario, lo addestrerebbe all’individuazione di una nuova anomalia da archiviare nel database.
Nel caso specifico della stampante 3D, il team ha verificato il funzionamento del suo sistema di sicurezza e ha scoperto di essere in grado di distinguere correttamente gli attacchi informatici dalle normali anomalie, a partire dall’analisi sia dei dati fisici che di quelli emulati dal suo gemello digitale.
Nel lavoro futuro dei ricercatori c’è lo studio di come il framework messo a punto sia capace di rispondere a cyber-attack più vari e aggressivi, assicurandosi che la strategia sia sempre scalabile.
Nei loro obiettivi – anticipano – c’è anche l’applicazione della strategia a una flotta di stampanti in contemporanea, «al fine di verificare se tale copertura estesa danneggi o sostenga le loro capacità di rilevamento».
L’obiettivo principe al quale puntano in futuro è fare della propria metodologia «un vantaggio concreto sia nell’ambito della manutenzione che del monitoraggio della sicurezza dei sistemi di Operation Technology (OT) compromessi».