Non è sempre possibile ridisegnare una rete di fabbrica cresciuta nel tempo (a volte anche in decenni di intenso e soddisfacente utilizzo) per fronteggiare le minacce di oggi: il rischio informatico (ovvero Cyber) un tempo affrontato solo in casi in cui erano a repentaglio impianti ed infrastrutture critiche, solo di recente inizia ad essere percepito come “presente” anche da parte di molte Aziende con sistemi di automazione e controllo in tutti i settori industriali. Aziende che, come spesso rileviamo da esperienza diretta e descritta anche in molti report pubblicati in questi ultimi anni, hanno dovuto affrontare “incidenti” dovuti a malware e ransomware arrivati fino ai sistemi di fabbrica: incidenti che in diversi casi hanno provocato lunghi e costosi fermi di produzioni e di erogazione di servizi essenziali, con danni economici e di immagine.
Se per questioni tecniche (ed anche di costo), non possiamo completamente ridisegnare completamente la rete di stabilimento, possiamo però iniziare a mettere in cantiere “piani di rimedio” (Remediation Plan) che ci permettano di migliorare la postura e l’esposizione al rischio cyber dei nostri impianti e macchinari.
Partiamo dal fatto che ormai tutti i sistemi di controllo ed automazione (PLC, HMI, SCADA, DCS, robot, ecc.) hanno necessità di essere raggiunti, sono connessi e devono scambiare dati con altri sistemi.
È necessario quindi pensare ad un adeguamento dell’architettura di rete ai trend attuali, per essere pronti anche alle evoluzioni future. Vediamo quali, qui di seguito.
- Utilizzo di ambienti Virtuali, ovvero “software defined“: virtualizzazione dei server ed eventuale già passaggio anche ad utilizzo del Cloud ove sia permesso dalla applicazione. In pratica con la convergenza o una “simbiosi” tra IT (Information Technology) e OT (Operation Technology) non è più necessario pensare un computer per ogni applicazione, come è avvenuto negli ultimi 30 anni, accatastando server, uno per ogni applicazione, negli armadi in fabbrica. Gli ambienti virtuali consentono di far girare diverse macchine virtuali su hardware condivisi, che possono anche essere “spostati” in modo dinamico a seconda delle necessità e delle risorse richieste e disponibili. Una soluzione di virtualizzazione pensata per l’alta disponibilità e la Fault Tolerance in ambiente OT è EverRun di Stratus Technologies, che permette di adottare un ambiente virtuale facile da implementare e mantenere, molto indicato per l’ambiente di fabbrica. Anche i dati provenienti dall’impianto, che possono essere molto numerosi e pesare in termini di occupazione di dischi, possono essere inviati a datacenter sia on-premise (all’interno dell’Azienda) sia in Cloud (in questo caso meglio fare preventiva attenzione per una attenta valutazione dei costi connessi).
- Segmentazione e microsegmentazione della rete di fabbrica. Una adeguata segmentazione della rete di fabbrica in zone è uno dei dettami dello standard IEC62443 (ex ISA99): un corretto disegno delle zone, per analogia, è simile ai compartimenti stagni delle navi. Possono evitare eventuali contaminazioni tra una zona e l’altra dovute ad incidenti derivanti da malware come ad esempio i ransomware. E’ ormai una best practice irrinunciabile anche la scelta di macrosegmentazioni con l’ausilio di firewall con strette policy che permettano traffico “one-way”che separino nettamente la rete IT da quella OT, istituendo DMZ (Zone DeMilitarizzate) ove porre server ed asset critici che possano gestire dati ed applicazioni da condividere tra i due domini. In questa direzione possiamo suggerire l’utilizzo di tecnologie OPSWAT Bayshore Networks: OTfuse per la segmentazione a livello di SCADA/PLC e NETwall, come diodi dati per la comunicazione monodirezionale da/verso DMZ. Una spinta ulteriore viene dalle tecnologie che permettano SDN (Software Defined Networks) e le soluzioni Zero Trust Security, che permettono la microsegmentazione di rete e che oggi iniziano ad essere sempre più spesso adottate proprio nella direzione di un maggiore controllo degli accessi ed aumentare la sicurezza complessiva dell’infrastruttura. SDN e ZTA non sono però ancora utilizzabili pienamente in ambiente OT, a causa delle limitazioni di dispositivi “legacy” connesse alla rete OT, che non ne permettono una efficace implementazione. Possiamo solo immaginare che i vendor di automazione e sistemi di controllo adottino presto anche queste tecnologie
- Utilizzo di Database/Historian on-premise e in Cloud. Oggi molte applicazioni che necessitano una puntuale raccolta di dati da macchinari ed impianti ai fini della tracciabilità e di calcoli di consumi ed efficienza/efficacia sono “on-premise”, e come abbiamo detto sopra, possibilmente su macchine virtuali poste in DMZ. Una evoluzione a queste architetture, già utilizzata in molte aziende, è il passaggio di tali dati in Database/Historian posti in Cloud. Historian di GE Digital, una delle più diffuse soluzioni di storicizzazione di dati per il mondo OT, può indifferentemente essere implementato on-premise ed in Cloud. E’ anche una soluzione che non comporta obbligatoriamente la replica del server attualmente on-premise in Cloud, ma l’invio al Cloud di un set di dati significativi e già aggregati, pronti da consultare e da elaborare in report e dashboard utili al management per monitorare la produzione e prendere le corrette decisioni.
- Edge Computer posti proprio al confine tra le applicazioni on-premise e quelle in Cloud sono molto utili in architetture come quelle poco sopra descritte. Egde possono essere dei server ad altre prestazioni, come ad esempio gli ZTCedge di Stratus Technologies ad alta disponibilità, che permettano l’implementazione di ambienti virtualizzati ove far girare diverse applicazioni, tra le quali anche quelle relative ai controlli di Cyber Security. Sugli edge posso fare aggregazione e pre-elaborazione di dati per tutte le applicazioni a monte, consentendo di limitare le risorse necessarie alle applicazioni in Cloud, consentendo un sostanzioso risparmio in termini di costi e di banda necessari per il Cloud.
- Connessioni/Protocolli sicuri. In molte applicazioni c’è la richiesta di collegare un macchinario (o anche un intero impianto) al Cloud per raccogliere informazioni e fare manutenzione, analisi e report coi dati raccolti in Produzione. Una soluzione basata su un middleware semplice da installare, configurare e mettere in funzione, sicuro ed affidabile è DataHub di Skkynet. DataHub è uno tool unico che consente di connettere, concentrare, integrare e scambiare dati in tempo reale, da qualunque fonte e verso qualunque utilizzatore. DataHub integra e raggruppa i dati da tutte le origini e protocolli in un unico set di dati unificato, da memorizzare ed elaborare su un Database/Historian, anche in Cloud. DataHub può fungere da Gateway IoT e trasmette in tempo reale i dati industriali via OPC UA e OPC DA direttamente nel Manufacturing Execution Systems (MES), a sistemi in Cloud e piattaforme di analisi dei Big Data Industriali, anche verso Microsoft Azure IoT Hub, Google IoT o Amazon IoT Core.
- Accesso e Gestione da remoto. Una delle esigenze, esasperate anche dalle condizioni di lavoro negli ultimi due anni, è quella di poter accedere in modo sicuro da remoto ai sistemi e reti in fabbrica, oltre l’ormai consueto utilizzo di VPN. OTaccess di OPSWAT Bayshore Networks è una soluzione di accesso remoto sicuro in tempo reale che offre un controllo granulare dell’accesso che consente un controllo personalizzato per protocollo, per attività dell’utente e per sede e per punto di accesso, con monitoraggio continuo e applicazione delle politiche per la durata di ogni sessione. OTaccess da un accesso remoto granulare e sicuro, più preciso delle VPN, controllato per protocollo, per attività. Assicura che le risorse e la rete OT non possano essere manipolate a distanza senza controllo, è disponibile come soluzione hardware locale o come servizio Cloud, riduce al minimo la superficie di attacco e abilita l’opzione più sicura per dipendenti remoti o fornitori e manutentori terze parti per accedere agli endpoint all’interno della rete OT, PLC, SCADA, robot che siano.
- Monitoraggio ed Anomaly Detection. Uno delle pratiche più efficaci relative alla protezione di reti e sistemi OT dal rischio informatico, è quello di adottare un sistema di monitoraggio accurato con rilevazione di allarmi e di situazioni anomale che si possano verificare sulla rete OT. Nozomi aiuta a ricostruire lo schema della rete, identificando tutti gli asset connessi, definendo le relazioni tra i vari end-point, i volumi di traffico e lo schema funzionale: monitora la rete e permette di scoprire ogni singola anomalia. La soluzione Nozomi Networks migliora la resilienza dei sistemi ICS e fornisce visibilità operativa in tempo reale: aiuterà nella definizione delle White List e nella rilevazione di minacce, variazioni e cambiamenti nei processi produttivi (e non solo). Nozomi permette anche di identificare vulnerabilità insite o emergenti sui sistemi e sulla rete, facendo anche riferimento ai database delle CVE. Nozomi adotta una tecnologia passiva che non rallenta o influisce in alcun modo sul processo e sul traffico di rete, e può anche lavorare offline con dati di backup. Una volta identificata una anomalia la segnala agli operatori e può anche essere predisposto per adottare eventuali policy di contenimento e protezione attiva.