Sicurezza cibernetica, Internet e processi industriali

Quando nel 1969 venne utilizzata per la prima volta la rete Arpanet per collegare tra loro quattro università statunitensi, mai si sarebbe immaginato un pianeta interconnesso ai livelli raggiunti oggi.

Siamo ormai entrati nella Quarta Rivoluzione Industriale, cioè in un mondo in cui il più piccolo dispositivo – sia esso un computer personale, un oggetto domestico o un componente di un impianto industriale – è raggiungibile e gestibile dovunque ci si trovi: cosa che, per l’epoca, era pura fantascienza.

Questa meravigliosa evoluzione, che permette ciò che era considerata pura fantasia sino a 50 anni fa, ha permesso inizialmente di risparmiare notevoli quantità di denaro in viaggi superflui per tecnici informatici di ogni ordine e grado; ma oggi questo beneficio è esteso a ingegneri di processo per linee produttive industriali, ricercatori e qualunque altra professione che richieda l’utilizzo di un personal computer per poter essere svolta. Sono così sorte nuove e impegnative sfide per tutti coloro che si occupano di sicurezza cibernetica, ovvero la scienza che studia come prevenire, mitigare ad un livello accettabile i rischi connessi al mondo industriale, informatico e delle telecomunicazioni.

Oggi si sta finalmente iniziando a considerare la sicurezza cibernetica una necessità imprescindibile, sia nella pubblica amministrazione (non solo esclusivamente nel mondo militare, in cui esiste da lungo tempo) sia anche nel mondo dell’industria e dei servizi privati.
L’Italia è un paese in cui il settore industriale vale il 20% del PIL (dati Istat) e in cui la componente principale è il manifatturiero, che copre oltre il 71% con un numero di addetti superiore ai 3,7 milioni.

Attualmente l’industria fa un uso massiccio di strumenti informatici ma, soprattutto, di componenti elettronici che operano nel mondo fisico: come sensori o attuatori responsabili di effettuare misurazioni di grandezze fisiche (temperatura, pressione, portata, ecc.) e PLC (Programmable Logic Controller), piccoli computer in grado di elaborare i segnali digitali e analogici provenienti dai sensori e dagli attuatori; questi ultimi sono formati da CPU, memorie (RAM, ROM, EPROM o EEPROM) e schede di comunicazione per connessioni a dispositivi vari, tra cui gli standard più comuni sono RS232 e RS422/RS485.

La componente informatica che governa questi dispositivi è chiamata comunemente SCADA (Supervisory Control And Data Acquisition).
L’elemento che fa dialogare i sistemi industriali, sia tra di loro e sia con i tipici software informatici, è il protocollo TCP/IP, fondamento delle reti private, di internet e dei sistemi di comunicazione attuali usati in ambiente industriale. La Scala ISO/OSI è il primo riferimento per comprendere come funzionano le reti TCP/IP, di qualunque natura esse siano, tanto industriali quanto informatiche in senso stretto.

Per esempio i protocolli Profinet, ModBus, OPC UA sono protocolli applicativi che funzionano al livello 7 della Scala di riferimento ISO/OSI e che quindi possono essere trattati come i normali protocolli applicativi che usiamo anche per la parte informatica, ovvero HTTP, HTTPS, SMTP, ecc.

Invece protocolli come EtherCat, che hanno alte prestazioni in termini di velocità nella trasmissione dei messaggi, possono essere anche inseriti in frame UDP/IP; ma solo nel caso in cui l’applicazione preveda la necessità di trasporto su lunghe distanze
oppure per altre esigenze molto specifiche.

Se aggiungiamo il fatto che oggi la maggior parte delle aziende di automazione richiede di potersi collegare da remoto per effettuare interventi manutentivi, monitoraggio del funzionamento e in ultima istanza per fare manutenzione predittiva per via dello sviluppo esponenziale dell’intelligenza artificiale, la sfida per gli operatori e responsabili della sicurezza cibernetica, non solo in ambito ICT (Information and Communication Technology) ma anche industriale (Operational Technology – OT), è sempre più ardua.

La difesa e la preservazione della capacità economica aziendale, oltre alla tutela del suo know how o patrimonio informativo, si è di fatto estesa nella stragrande maggioranza dei casi anche alla parte industriale, obbligando manager e tecnici a riformulare i piani di continuità operativa e sicurezza cibernetica delle proprie aziende o impianti. A titolo esemplificativo – ma non esaustivo – si pensi a tutte quelle aziende in cui vengono miscelati i componenti in quantità precise e in condizioni ambientali predeterminate, per le quali sono stati necessari anni di ricerca e sviluppo oltre a milioni di euro di investimenti.

Ricercatori ed esperti di sicurezza cibernetica (sempre in numero troppo esiguo rispetto alla domanda odierna) hanno elaborato diverse strategie per mitigare i rischi provenienti dagli ambienti industriali: la cosa fondamentale da considerare è che sono tutte complementari e, di norma, attuarne una singolarmente non mitiga i rischi in senso assoluto.

La prima strategia raccomandata è avere visibilità.

Con questo si intende la capacità di avere contezza di quali apparati ci aspettiamo di vedere installati nella nostra rete e di avere immediato avviso se ne vengono rilevati di nuovi, sapendo che tipo di segnali industriali (Profinet, ModBus, ecc.) ci aspettiamo di vedere o meno. Infatti, per raggiungere questo ultimo scopo, la maggior parte dei sistemi che fanno sicurezza cibernetica in ambito OT prevedono una fase di apprendimento del comportamento dei dispositivi sulla rete, che in tale periodo vanno a leggere i valori scritti nelle variabili dei vari protocolli rilevati, permettendo alla fine una “detection” molto puntuale di qualsiasi anomalia che possa essere significativa ai fini dell’integrità del processo industriale.

Un potenziale malintenzionato che abbia ottenuto un accesso alla rete industriale e voglia tentare un sabotaggio potrebbe collocare, all’interno della rete, un malware in grado di intercettare i messaggi e alterarne i valori nelle variabili, tanto da poter sabotare il processo, nei casi peggiori arrivando a causare danni per milioni di euro.

Il caso più famoso in tempi recenti è stato quello del malware STUXNET, sviluppato dal governo statunitense al fine di sabotare l’impianto di arricchimento dell’uranio di Natanz in Iran. Questo è un esempio in cui l’interconnessione dei sistemi industriali con quelli informatici ha permesso la conduzione di un attacco che ha impiegato anni per poter essere perpetrato, ma in cui l’assenza di tecnologia in grado di rilevare variazioni del contenuto dei protocolli utilizzati sulla rete ha permesso all’attacco di avere successo. Questo malware fu realizzato per poter funzionare anche su sistemi SCADA.

La seconda strategia raccomandata è la segregazione di rete, ovvero la separazione della rete in più segmenti mantenendo il controllo (autorizzazione e visibilità) del traffico tra i vari dispositivi. Questo approccio è anche uno dei requisiti fondamentali del modello ISO27001 Annex A13.1, standard di riferimento per la certificazione di qualità dei sistemi informatici, considerato come il passaggio fondamentale per il miglioramento sostanziale della postura cibernetica in qualsiasi ambiente in cui ci siano sistemi informatici e/o produttivi.

La scelta oculata di tecnologie che possano fornire visibilità e bloccare messaggi dei protocolli industriali anomali è la migliore – se non l’unica – possibilità per proteggersi dagli attacchi più sofisticati che oggi il crimine organizzato è in grado di perpetrare. L’esperienza dimostra che l’utilizzo di firewall infrastrutturali (da non confondere con quelli del perimetro) usati per la separazione delle reti al posto dei tradizionali Switch Layer 3 di rete migliora significativamente sia la visibilità, sia le capacità di mitigazione.

È contestualmente raccomandato l’utilizzo di tecnologie che abbiano conoscenza dei protocolli industriali specifici, in modo da bloccare efficacemente anche possibili attacchi che operino a questo livello. I sistemi di Privileged Access Management (PAM) sono tra le tecnologie più recentemente introdotte per monitorare e limitare attivamente quello che gli operatori con diritti amministrativi fanno sui sistemi, specialmente da remoto. Si tratta di un metodo molto efficiente per verificare con certezza le azioni eseguite e limitare le azioni eseguibili nei differenti contesti operativi.

La terza strategia raccomandata è l’utilizzo di sistemi di sorveglianza e monitoraggio che permettano di essere avvisati in tempo reale su tutte le anomalie che raggiungano una determinata soglia di allarme. Questo fondamentale componente del sistema di sicurezza cibernetica permette di stabilire con attenzione le soglie ragionevoli per non incorrere in falsi positivi che possono “desensibilizzare” gli operatori preposti alla sorveglianza attiva. Proprio per questo, è suggeribile dotarsi di un servizio di Security Operation Center (SOC) specifico per il mondo OT, in cui la fase iniziale di analisi e valutazione è fondamentale per il giusto “tuning” o regolazione della sensibilità degli allarmi.

Lo standard di riferimento per la sicurezza informatica in ambito industriale è IEC 62443 (precedentemente ISA99) dell’International Electrotechnical Commission (IEC). Dal 2002, la International Society of Automation (ISA) si occupa di queste tematiche e di inoltrare proposte di aggiornamenti all’American National Standards Institute (ANSI).

A tale proposito, la quarta strategia raccomandata è adottare un modello di gestione in linea con lo standard IEC 62443. Questo standard è destinato sia ai system integrator sia agli utenti finali, sia anche ai costruttori di componenti. Ognuno ha una serie di controlli da implementare, che indica il livello di maturità del sistema.

La sicurezza della Supply Chain è considerata universalmente come il nuovo elemento fondamentale ai fini del controllo della postura di sicurezza cibernetica di un’organizzazione. La scarsa cultura in questo ambito nelle aziende che trattano automazione
industriale è purtroppo assai comune: veicolare un malware, anche per scarsità di procedure, è assai semplice. Adottare processi in linea
con quanto previsto da questa norma è caldamente raccomandato.

Le organizzazioni più virtuose oggi si stanno dotando di servizi di “Security Operation Center” specifici il mondo Operational Tecnology, che vengono comunemente chiamati SOC OT. Questo servizio che richiede una fase di analisi ed avvio, permette a regime di incrementare l’efficacia della prevenzione degli attacchi cibernetici sugli ambienti produttivi, sfruttando le capacità di apprendimento delle sonde vengono posizionate sulle reti produttive, i modelli di intelligenza artificiale ed i firewall con capacità di intervento sui protocolli industriali.

Con l’introduzione della direttiva europea NIS 2 entrata in vigore il 18 gennaio 2023 e che dovrà essere recepita dagli Stati membri entro il 18 ottobre 2024, l’adozione di servizi di questo tipo si renderà sempre più necessaria al fine di soddisfare quanto previsto dalla direttiva.

Possiamo dunque affermare che il controllo della propria postura di sicurezza cibernetica deve essere tra le prime aree di investimento per le aziende produttive del nostro tessuto industriale, in considerazione del fatto che il valore delle potenziali perdite economiche date dalla somma di danni emergenti e lucro cessante appare sproposito rispetto agli investimenti che potrebbero
essere richiesti per gestire la postura cyber in modo corretto, senza contare le sanzioni a cui si andrebbe incontro qualora le normative attuali e quelle annunciate dovessero essere violate.

Raccomandiamo, quindi, un’attenta valutazione dei rischi e una corretta assegnazione di risorse al fine di gestire questo importante elemento a tutela degli interessi comuni del mondo industriale.

Questo articolo è stato estratto dal white paper “Quaderni di Cyber Intelligence #5” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/quaderni-di-cyber-intelligence-5/

 

 

Articolo a cura di Gabriele Minniti