di Enzo Maria Tieghi, Presidente dello Steering Committee di ICS Forum e Ceo di ServiTecno
In fatto di sicurezza il 2018 non si è aperto sotto i migliori auspici: il 3 gennaio abbiamo scoperto che tutti i computer con microprocessori Intel, AMD ecc. installati negli ultimi 20 anni hanno dei seri problemi di sicurezza. Delle falle Meltdown e Spectre hanno parlato anche ai TG: si salvano solo i PC con “vecchi” microprocessori x86 (386 e 486) in voga nei computer degli anni ’90 (ancora utilizzati in ambito industriale con le loro applicazioni e con sistemi operativi “vintage” di quegli anni…).
Non mi dilungo qui sui profili tecnici di queste vulnerabilità: ne hanno già ampiamente parlato colleghi ed esperti molto più autorevoli del sottoscritto. Vorrei però affrontare la questione dal punto di vista della Security di reti e sistemi utilizzati per il controllo e telecontrollo di impianti e macchinari utilizzati sia nell’industria che nelle utility.
Indice degli argomenti
I danni potenziali
È innegabile che nel momento in cui si scopre una vulnerabilità che possa essere sfruttata per scopi malevoli (e diventa quindi una minaccia) sia necessario prendere provvedimenti ed adottare contromisure che possano mitigare e se possibile annullare il rischio di incidente informatico. Infatti se uno di questi incidenti avviene in produzione (o, come si dice, in ambito OT – Operation Technology) può provocare danni anche rilevanti: si va dall’interruzione o malfunzionamento dell’impianto, con conseguente impatti sulla continuità di erogazione dei servizi, a problemi di qualità sul prodotto, fino a possibili impatti sull’impianto stesso, dispersioni di fumi, fluidi con danni all’ambiente e finanche possibili incidenti con pericoli per l’incolumità delle persone.
Patchare o non patchare?
Nell’ambiente industriale (ed è questo un aspetto peculiare ed una delle differenze tra l’ambito OT e l’ambito IT) non è sempre possibile “mettere le patch” in modo tempestivo, come richiesto dalla maggior parte dei computer utilizzati in Azienda con applicazioni IT che hanno accesso a internet.
Ci sono impianti che vanno 24 ore al giorno, 7 giorni su 7, 365 giorni all’anno, nei quali una fermata comporta disagi e costi non indifferenti; qui è necessario programmare il fermo con congruo preavviso e le strategie di continuità operativa, shutdown, ripartenza e scenari di resilienza devono essere ben studiate perché anche il reboot di un sistema può risultare doloroso!
Inoltre tutti i vendor di CPU e di software di security ci hanno già avvertito che le contromisure (patch, ecc.) per Meltdown e Spectre da installare subito comportano dolorosi impatti sulle prestazioni dei microprocessori e quindi dei computer in esame: si parla del 15-25-30% di performance in meno. Come dire che se abbiamo acquistato e portato in reparto un muletto in grado di sollevare e trasportare un pallet da 1000 kg, ora lo potremo utilizzare per caricare al massimo 700 kg per volta…
Questo si aggiunge al fatto che spesso i computer in diversi reparti in produzione sono già “un po’ tirati” a livello di prestazioni: prendiamo ad esempio uno SCADA sulla linea di confezionamento, installato 10 anni fa, magari doveva prelevare, visualizzare e raccogliere i dati da due PLC del nastro traspontatore e del pallettizzatore, ma poi ha iniziato a raccogliere dati e a gestire anche altre macchine… se finora era ancora eravamo riusciti a gestire tutta la linea con quel solo server, pur avendo notato un rallentamento nel “cambio pagina” e della acquisizione degli allarmi, che cosa succederà ora? Come risponderà il sistema, se so già che dovrà rinunciare ad un quarto della sua capacità di elaborazione?
Difendersi è una necessità
È anche vero che le vulnerabilità scoperte ora (Meltdown e Spectre) come ci hanno raccontato sono “pericolose” per la possibile “esfiltrazione” delle password e di altre informazioni riservate.
Gli interrogativi sono tanti: se i macchinari non sono collegati ad internet, è proprio necessario installare le patch? E siamo sicuri che le macchine non siano collegate a Internet, magari a nostra insaputa? Non è vero che adesso con Industria 4.0 gli impianti devono essere tutti iper-connessi?
Questo può essere uno degli scenari ai quali ci dobbiamo abituare quando parliamo di OT/ICS Security: è anche una situazione che fa affiorare chiaramente alcune delle differenze che ci sono tra la Security IT e la Security OT.
Da diversi anni diciamo che l’utilizzo di “normali” soluzioni antivirus e anti malware IT a volte non sono indicate e facilmente utilizzabili (ed aggiornabili) su reti e sistemi di automazione. A volte la medicina (patch o antimalware) comporta controindicazioni e “effetti collaterali indesiderati” con impatti rilevanti e negativi sulle applicazioni di fabbrica.
Come direbbero a Padova: “Xe pèso el tacòn del buso”. Che in italiano suona: è peggio la toppa del buco, il rimedio è peggiore del danno.
La soluzione? Una visione “industriale” della Security: ci sono metodologie, tecnologie e strumenti appositamente pensati per proteggere in modo adeguato reti e sistemi nell’industria e nelle utility. Quali sono? Ne parleremo in una giornata dedicata al Industrial Cyber Security e Smart Manufacturing: a ICS Forum, il 30 gennaio 2018, a Milano. Ci vediamo lì?