Cyber-security nell’industria: serve un piano di ‘difesa in profondità’
Senza cyber-security non esiste safety. La ‘defence in depth’ diventa un paradigma irrinunciabile anche nei sistemi di controllo industriale (ICS), che governano fabbriche e impianti. Gli aspetti cruciali approfonditi di recente, in una giornata di studio promossa da Anipla a Milano
Quando si tratta di cyber-security, nulla è mai sicuro o inviolabile al cento per cento, e nemmeno i sistemi di controllo industriale (ICS) fanno eccezione. Applicare su tali asset strategie di ‘defence in depth’, prevedendo molteplici misure, barriere e livelli di sicurezza, non è superfluo, ma la strada da seguire. Questo uno dei messaggi chiave emersi dalla quarta edizione della giornata di studio organizzata a fine novembre da Anipla, l’Associazione nazionale italiana per l’automazione, e intitolata ‘Cybersecurity per i sistemi ICS’. Un tema quanto mai caldo in un mondo imprenditoriale fortemente agguerrito, dove per rimanere concorrenziali non si può più evitare di adottare il modello di sviluppo Industria 4.0, che serve a rendere l’infrastruttura IT aziendale più agile e flessibile in rapporto alle esigenze di business e alle continue fluttuazioni della domanda e del mercato. Aprirsi alla Rete, integrarsi con essa, è un passo inevitabile, ma allo stesso tempo un cambio radicale di assetto, che espone l’impresa ‘estesa’, verso fornitori, partner, clienti, a nuovi rischi di cyber-security.
ICS, scenario completamente mutato
Gli ICS solitamente includono sistemi Scada, DCS, PLC, sensori e molto altro. Qui, dove per anni tecnologie e protocolli proprietari hanno controllato macchinari e impianti industriali, mantenendoli isolati dal mondo circostante, oggi la trasformazione digitale, con la diffusione di applicazioni cloud e Internet of Things (IoT), espone l’ambiente di fabbrica verso l’esterno. La convergenza sempre più profonda tra OT (operational technology) e IT (information technology) sta amplificando a 360 gradi i possibili punti di debolezza dell’infrastruttura, e aprendo di continuo nuove vulnerabilità. Regina Meloni, di Saipem, introduce la giornata di studio, sottolineando dunque l’importanza strategica di porre particolare attenzione alla cyber-security dei sistemi ICS, sia nella fase di ingegnerizzazione, sia in quella operativa.
Forti motivazioni degli hacker
Le motivazioni che stimolano gli hacker a violare le infrastrutture industriali sono le stesse del mondo IT: le riassume Mario Testino, in ServiTecno responsabile vendite e sviluppo business per il settore della tecnologia operativa (OT). “Oggi chi attacca questi sistemi lo fa per guadagnare denaro, carpire informazioni, o dichiarare guerra”. In questo campo, spiega, le linee guida di riferimento sono due pilastri definiti dalla International Society of Automation. Uno è lo standard internazionale ISA-95, che fornisce modelli per integrare un’impresa con i sistemi di controllo; l’altro è ISA-99 - poi utilizzato da IEC per produrre la serie di standard IEC 62443 - che indirizza la security dei sistemi di automazione e controllo la cui compromissione può determinare situazioni di varia gravità, tra cui danni all’incolumità pubblica o degli addetti, violazioni dei requisiti dei regolamenti, perdita d’informazioni proprietarie o riservate, danni economici, impatto sulla sicurezza nazionale.
Nell’era della Industrial Internet le minacce mutano con grande dinamicità, e, in un mercato dov’è possibile reperire molti prodotti, l’approccio alla cyber-security, chiarisce, deve essere più orientato a realizzare una soluzione di sistema, tenendo conto delle evidenti differenze settoriali esistenti, ad esempio, tra un impianto petrolchimico e uno manifatturiero. “La cosa spesso difficile in ambito industriale è la fase di ‘risk assessment’, che ha il compito di identificare i punti critici e quantificare le vulnerabilità, da cui poi deriva l’allocazione del budget per creare piani di mitigazione”. Una volta attuati i meccanismi di difesa, non bisogna mai fermarsi: in queste iniziative, spiega, l’ideale è riuscire a innescare un circolo virtuoso, su modelli come PDCA (plan-do-check-act), che reiterati permettono di raggiungere una maturità sempre maggiore nella cybersecurity.
Analisi del rischio e azioni concrete
Con una serie di provocazioni, battute e casi eloquenti, Matteo Flora, esperto di sicurezza e fondatore di The Fool, società di tutela della reputazione online e degli asset digitali, scuote la platea: commissionare fantastiche, e costose, analisi dei rischi di sicurezza è inutile, se poi non si agisce, e le vulnerabilità dell’infrastruttura restano aperte. Il problema cybersecurity parte molto più a monte dei sistemi di controllo industriale, si radica in una sostanziale inadeguatezza culturale, che sottostima i pericoli e trascura i principi base della sicurezza: il ransomware WannaCry, ricorda Flora, non si è diffuso per colpa di ‘hacker cattivi’ che hanno disseminato codice malevolo, ma grazie a macchine i cui sistemi operativi erano sprovvisti delle patch di correzione di vulnerabilità peraltro già scoperte da lungo tempo. “Questo succede in tutti i settori, e in quel gran mondo fatato che adesso si chiama IoT”. “Internet è un posto che sa essere pericoloso”, aggiunge, eppure non si ha la percezione del baratro fino a quando non si incappa in problemi seri: come scoprire che le nostre informazioni che credevamo private sono state condivise con chi proprio non volevamo, o quando il router, bellamente lasciato con password e login di default, e porta Telnet pericolosamente aperta verso la rete, viene irrimediabilmente ‘brikkato’. Molti device IoT non sono stati concepiti pensando alla security, e se poi le credenziali di default per accedervi non si cambiano, tutto diventa più facilmente violabile: sistemi di ‘home automation’, infrastrutture industriali, centrali elettriche: specie quando esistono motori di ricerca come Shodan, che scandagliano l’intero Web e su richiesta forniscono agli hacker dati sulle porte IP aperte in rete.
Resilienza in primo piano
La resilienza di un sistema ICS è un punto cruciale, chiarisce Armando Tacchella, professore associato al Dipartimento di informatica, bioingegneria, robotica e ingegneria dei sistemi (Dibris) dell’Università degli Studi di Genova, perché i sistemi OT sono sistemi cyber-fisici, su cui non è praticabile trasferire meramente le best practice di backup e recovery già applicate nel mondo IT; inoltre, anche identificando una violazione in corso, non è pensabile chiudere una linea su cui si stanno erogando servizi essenziali. Tali caratteristiche, e la natura del software di controllo, rendono i sistemi ICS difficili da valutare anche sotto il profilo della sicurezza: per fornire una soluzione, il progetto di ricerca ondotto da Dibris in collaborazione con ABB, Leonardo e Ministero della Difesa si concentra sulla messa a punto di un approccio olistico all’analisi della resilienza. Approccio che si avvale sia dell’analisi dei sistemi attraverso la modellazione matematica, sia delle tecniche di simulazione con scenari ‘what if’ per la modellazione empirica, sia degli algoritmi di intelligenza artificiale (AI), per individuare errori e vulnerabilità a prescindere dalla complessità di analisi della struttura logica del sistema. Alcuni casi attualmente allo studio riguardano un impianto automatizzato per il trattamento di acque reflue, un impianto per la climatizzazione dei data center, e la Smart Polygeneration Microgrid (SPM) di Savona. L’obiettivo, conclude Tacchella, è sviluppare applicazioni pratiche di valutazione della resilienza nell’arco di 12-24 mesi.
Casi e best practice sulla cybersecutity
La seconda parte della giornata è dedicata alla condivisione di alcune esperienze e best practice nel settore. In Saipem, l’approccio alla cyber-security ha evidenziato punti di debolezza nei sistemi OT, non sempre sviluppati tenendo conto del requisito sicurezza; quest’ultima va poi indirizzata allineando in modo sinergico i team OT e quelli IT. Per ABB, l’applicazione dello standard IEC 62443 al sistema di automazione, e pratiche di costante verifica, validazione e applicazione degli aggiornamenti di sicurezza di Microsoft, McAfee, Symantec su server e workstation, si sono tradotti in maggior affidabilità di funzionamento, con riduzione dei tempi di fermo e la possibilità di assicurare un controllo operativo stabile al sistema stesso.
Sulle differenze chiave tra functional safety e cyber-security pone invece l’accento DNV GL - Business Assurance, sottolineando come, senza la seconda, non possa essere garantita nemmeno la prima. Gli standard di sicurezza funzionale e cybersecurity considerano l’intero ciclo di vita del prodotto (definizione delle specifiche, sviluppo, gestione, manutenzione) e richiedono un’analisi delle minacce e dei relativi rischi.
 |
| Fonte: DNV GL - Business Assurance |
L’era degli approcci tattici o parziali alla sicurezza è finita, sottolinea Leonardo, che ribadisce la necessità di indirizzare entrambi i requisiti di safety e security. Considerando la complessità e stretta interdipendenza dei sistemi cyber-fisici, e proprio per integrare la cybersecurity in ogni aspetto del ciclo di vita dei propri prodotti, la società ha sviluppato su di essa un modello olistico, basato su analisi delle minacce, risk assessment, sviluppo della soluzione, ma soprattutto su un ciclo di continua verifica della validità delle tecnologie di difesa, finalizzato all’ottenimento di una solida e duratura resilienza infrastrutturale.
Yokogawa punta l’attenzione sulle reti di sensori wireless (WSN), uno dei target presi di mira dagli hacker, ad esempio, per interrompere i servizi delle utility, bloccare gli impianti, o danneggiare asset. Tra i problemi chiave dei dispositivi IoT, spesso essi non hanno protezioni adeguate (cifratura, interfaccia cloud non sicura) nelle connessioni in remoto, e restano configurati con le credenziali di accesso di default. Tra i pericoli più diffusi, gli attacchi ai router Wi-Fi, resi deboli da tecnologie di protezione obsolete (WEP, WPA); il provisioning dei dispositivi eseguito via OTA (over the air) senza protezioni; le tecniche di disturbo (jamming) su comunicazioni wireless che conducono a perdite di dati. Tra le contromisure, Yokogawa raccomanda l’uso di protocolli conosciuti per l’automazione di processo, l’utilizzo di loop ridondati per applicazioni di controllo, la creazione di password robuste: ma in sostanza il modello verso cui tendere è quello della ‘defence in depth’. Phoenix Contact mette in guardia contro le facili illusioni di presunta incolumità di reti non connesse a Internet, ricordando che dipedenti aziendali o tecnici provenienti dall’esterno, in buona o malafede, possono introdurre malware nella rete aziendale tramite memorie USB: malware che da lì, può passare alla rete dell’impianto industriale, e viceversa. È importante instaurare un efficiente processo di gestione delle vulnerabilità, in modo da ridurre al massimo la finestra temporale di esposizione dei sistemi agli attacchi, ma anche applicare tecniche di segmentazione della rete in isole; introdurre firewall condizionali, zone ‘demilitarizzate’ (DMZ), meccanismi di ridondanza; e tutto ciò per ottenere una maggiore resilienza, quindi una capacità di reazione agli attacchi sempre più rapida automatica, in grado di ristabilire la continuità del business nel minor tempo possibile.
Leggi l'articolo completo online, in formato pdf, scaricando la rivista Automazione e Strumentazione
Very informative blog post... Here I found valuable information on OT Cyber Security. Thanks for sharing
RispondiElimina