di Enzo M. Tieghi, CEO di ServiTecno e membro del comitato scientifico del Clusit, Associazione Italiana per la Sicurezza Informatica
Le architetture di reti e sistemi in fabbrica stanno cambiando rapidamente, spinte da innovazioni provenienti dall’IT. Le nuove tecnologie che guidano la digitalizzazione offrono opportunità interessanti, ma aumentano anche l’esposizione delle imprese a rischi informatici e ad altre minacce che possono comprometterne la continuità operativa.
Avere in casa dispositivi IoT e IIoT interconnessi e non sicuri, far parte di supply chain complesse, disporre di proprietà intellettuale preziose e poco protette, sono giustamente fonte di grande preoccupazione per molti CIO e CISO. A questo va aggiunto il divario nelle competenze in materia di sicurezza informatica tra chi in azienda si occupa di IT e chi di OT (le Operational Technolgies utilizzate nei reparti di produzione OT).
I problemi riguardano sia il mondo industriale che quello delle cosiddette Utility, cioè i gestori dei servizi come acqua, gas, elettricità ecc. Diversi incidenti causati da problemi legati alla sicurezza informatica hanno colpito le infrastrutture critiche. E così questi operatori si stanno rendendo conto che anche i loro sistemi sono a rischio.
Tornando al mondo industriale, alcuni report recenti (come ad esempio quelli del Clusit) hanno segnalato come stiano crescendo gli incidenti/attacchi al mondo OT. Negli ultimi mesi numerose campagne di malware ed altri atti cyber criminali hanno avuto forti ripercussioni sul mondo della produzione industriale. Spesso non perché sia stata preso di mira direttamente il reparto produttivo, ma come “danni collaterali” di attacchi ai sistemi IT dell’azienda presa di mira da attaccanti e criminali.
Fortunatamente le linee guida emergenti, come ad esempio il NIST Cybersecurity Framework for Manufacturing e soprattutto la IEC 62443, insieme a soluzioni avanzate di visibilità e sicurezza informatica, possono aiutare le aziende manifatturiere ad attrezzarsi per raggiungere dei migliori livelli di resilienza.
Indice degli argomenti
I primi passi per la cyber security nell’Industria e nelle Utility
Abbiamo visto che il costo degli incidenti di sicurezza informatica nel dominio delle cosiddette Operational Technolgies (OT) sta crescendo.
Per molti produttori, la situazione di vulnerabilità si è resa particolarmente evidente dopo gli attacchi dei malware WannaCry e NotPetya del 2017-2018, che ha causato danni stimati per 10 miliardi di dollari a livello globale.
Fabbriche di ogni tipo e in tutto il mondo hanno riportato danni ai sistemi di produzione e in alcuni casi si sono verificate interruzioni dell’erogazione di servizi essenziali, danni alle reti IT aziendali e ripercussioni lungo tutta la supply chain collegata.
La società britannica di beni di consumo, Reckitt Benckiser Group, ha subito una perdita-choc di 117 milioni di dollari a causa di NotPetya: una cifra pari all’1% delle sue vendite annuali.
La Merck, uno dei colossi globali del settore farmaceutico, ha messo a bilancio perdite per 135 milioni di dollari nel terzo trimestre dell’anno dell’attacco e di oltre 600 milioni di dollari nell’insieme a livello globale.
La Norsk Hydro, leader per industria dell’alluminio, ha parlato di oltre 70 milioni di dollari di danni.
Chi volesse altri esempi dell’elevato costo degli incidenti di sicurezza informatica può dare un’occhiata alla pagina web dedicata sul sito di Nozomi Networks).
In tutti questi casi – e non solo – il pericolo viene dall’aumento dei device esposti, veri e propri punti deboli di accesso alla rete, associato a un aumento di veicoli di attacco e di attacchi da parte di criminali: un mix fatale.
Ora, finalmente, abbiamo raggiunto un punto in cui il management delle imprese ha capito che è necessario dare priorità alla sicurezza IT e OT. Finalmente i produttori stanno adottando misure proattive per proteggere le loro linee di produzione e costruire quindi una situazione che consenta di stabilire una “resilienza operativa”.
Diamo allora un’occhiata a due dei passaggi per la costruzione della resilienza e per aiutare a difendere fabbriche e utility.
Fase 1: adottare un Framework
Indipendentemente dalla attuale “postura di sicurezza”, è necessario adottare e seguire un framework di sicurezza informatica e applicare le migliori pratiche di sicurezza: questo renderà le cose molto più chiare quando si tratta di proteggere i sistemi di automazione vulnerabili.
I framework di sicurezza hanno lo scopo di fornire linee guida, adatte a imprese di tutte le dimensioni, da utilizzare per ridurre i rischi di sicurezza informatica a livello di fabbrica e impianto.
I due standard per il mondo OT, più noti ed adottati sono:
- NIST Cybersecurity Framework Manufacturing Profile: Il Framework del NIST (National Institute of Standards and Technology) del governo degli Stati Uniti offre una tabella di marcia per identificare opportunità per migliorare l’attuale status di sicurezza informatica di un produttore e valutare la capacità di gestire il rischio per reti e sistemi di controllo industriale. Presenta inoltre un approccio standard per lo sviluppo di un piano di sicurezza informatica.
- IEC 62443: lo standard (elaborato dal comitato ISA99 isa.org/isa99 ) fornisce un framework per affrontare e mitigare le vulnerabilità della sicurezza nei sistemi di automazione e controllo industriali. Descrive gli standard tecnici per i componenti utilizzati nei sistemi di controllo industriale, inclusi dispositivi integrati, risorse di rete e software.
Governi, fornitori di apparecchiature e comunità attivi per la promozione di best practice per la OT Security/Safety stanno collaborando per aiutare produttori ed utilizzatori stabilendo standard quali NIST, IEC 62443 e altre linee guida specifiche ICS/OT.
In questo momento, l’adozione di un Framework o Standard sono su base volontaria. Ma come abbiamo visto in altri settori, un aumento degli incidenti evidenzia spesso carenze nella sicurezza informatica. In genere, alla fine arriva la richiesta di adottare una regolamentazione obbligatoria.
Fase 2: tradurre le linee guida di sicurezza in Best Practices
Dopo aver selezionato un framework di sicurezza, il passo successivo è metterlo in pratica. L’approccio migliore per rilevare e neutralizzare i rischi e le minacce informatiche inizia di solito con l’adozione di un modello organizzativo che coinvolga persone, metodologia, procedure e processi ed infine la tecnologia giusta. Naturalmente per fare questo è necessario, e non secondario, avere un budget approvato ed allocato.
Ecco i quattro elementi fondamentali che tutte aziende industriali e le utility dovrebbero affrontare nel loro cammino verso una buona “Igiene Informatica OT”:
- Sfruttare tecnologia avanzata per avere più visibilità e capire cosa succede. Tool come quelli di Nozomi Networks danno la visibilità operativa e la soluzione di sicurezza OT che possono rendere facile tradurre le linee guida di sicurezza in best practice di OT Security. Offrono infatti le funzionalità di base necessarie per seguire molte delle linee guida NIST per la costruzione della resilienza degli impianti, tra cui:
- Visualizzazione di rete
- Tracciamento delle risorse
- Monitoraggio di rete e sistemi ICS (PLC, SCADA, DCS, Robot, CNS/DNC, Historian, ecc.)
- Rilevazione delle minacce
- Identificazione del rischio
- Analisi forensi e di risoluzione dei problemi
- Integrazione IT / OT
- Fare un inventario accurato di tutte le risorse di rete. Un mantra nella comunità della Cyber Security è “Non puoi proteggere ciò che non vedi”. Ma è più facile a dirsi che a farsi. La maggior parte delle reti OT cambia nel tempo, diventando spesso più ampia e complessa. C’è sempre bisogno di un inventario aggiornato e accurato delle risorse per sapere c’è collegato, cosa fa, dov’è e con cosa comunica. Tutto per capire in definitiva le sue vulnerabilità ed infine proteggerlo. Queste informazioni consentono inoltre di segmentare correttamente la rete per una migliore sicurezza e segregare gli asset più critici (vedere il punto 3).
- Applicare la segmentazione della rete. La maggior parte delle organizzazioni ha già robusti firewall perimetrali per monitorare il traffico in entrata e rilevare le intrusioni. Ma se un veicolo di minaccia supera la “cinta muraria”, la natura ampia, complessa e interconnessa di una rete OT spesso consente alle infezioni di diffondersi in maniera epidemica. Segmentando la rete in zone, è possibile contenere minacce e mitigare i problemi più rapidamente. È anche più facile monitorare e rilevare anomalie o comportamenti sospetti e controllare l’accesso di singoli utenti ad aree specifiche.
- Attuare programmi di sensibilizzazione e formazione dei dipendenti. Secondo il recente rapporto SANS ICS Survey del 2019, c’è stato un cambiamento nel modo in cui le aziende mantengono la visibilità della rete e rilevano le minacce informatiche. Dati i budget ridotti, un minor numero di aziende si affida a consulenti di sicurezza di terze parti e i team interni si assumono sempre più la responsabilità di identificare le vulnerabilità. Ciò richiede una maggiore istruzione e formazione sulla sicurezza informatica per i team OT, IT e IT / OT ibrido, nonché livelli più elevati di coinvolgimento da parte del management dell’Azienda.
Visibilità per la sicurezza e per la resilienza operativa
Man mano che Le aziende mettono in atto piani per Industria 4.0/Utility 4.O e intraprendono la strada di una digitalizzazione estesa per trovare efficienze operative, devono affrontare nuove sfide. Oltre all’adozione di un framework di sicurezza informatica, è necessario avere visibilità della rete OT e colmare le lacune di sicurezza per evitare tempi di inattività non pianificati.
ServiTecno sostiene da anni la teoria (e la pratica) della Security-by-Design che nel campo delle Operational Technologies è certamente più efficace della Security-by-Product, considerata da disomogeneità degli impianti e delle tecnologie installate nel corso del tempo.
Questa tipologia di approccio è basata su una capillare conoscenza delle architetture di sistema e del loro comportamento, sullo studio di soluzioni ad hoc e soprattutto sulla diffusione di cultura e policy in ambito Cyber Security.
Industria 4.0, Utility 4.0, Smart Manufacturing, Smart Grid, Smart City sono termini e concetti oramai noti a tanti, come lo sono IoT ed Industrial IoT (Internet of Things). Anche nel piano strategico pubblicato nel 2017 dal Governo Italiano (come in molti altri paesi), la Cyber Security è uno dei “pilastri” (tecnologie abilitanti) che devono essere presenti e presidiati per garantire il successo dei progetti di digitalizzazione in ottica 4.0.
Nel Piano Industria 4.0 (come anche nelle Utility 4.0), si parla di Industrial Internet, di Cloud, di Big Data & Analytics e soprattutto integrazione verticale/orizzontale tra i sistemi, tutti aspetti che hanno come presupposto la “connettività” tra impianti, reti, sistemi di gestione e architetture in Cloud.
“Collegare in modo sicuro gli oggetti industriali” come PLC, RTU, ecc. è da decenni (ben prima che si cominciasse a parlare di Internet of Things, Industria 4.0 o Industrial Internet) una sfida che affrontiamo mettendo al servizio delle aziende (utilizzatori finali, ma anche system integrator, costruttori di macchine e impianti) competenza, metodologie, prodotti innovativi e tecnologie “best-in-class”.
