Cyber war: è possibile creare barriere digitali per i sistemi di controllo industriali?
Nel 2017 i Direttori responsabili della produzione industriale si trovano di fronte ad un grande dilemma: “produrre di più a costi più bassi”, e quindi dotarsi di nuove tecnologie. Tecnologie avanzatissime per l’automazione e il controllo dei processi di produzione industriale (ad esempio, sistemi di Advanced Process Control, sistemi di Simulazione, sistemi di Controllo Remoto, Cruscotti di Produzione, Big Data ed ultimi, ma non meno importanti, Sensori Intelligenti), che ovviamente richiedono connettività, per comunicare con una vasta gamma di apparecchiature: sensori remoti e distribuiti (Strumenti di Sicurezza, Controlli Logici Programmabili, Controlli di Supervisione e Sistemi di Raccolta Dati). Tutti questi sensori distribuiti hanno bisogno di strumentazione particolare, per capire lo stato ed i livelli dei valori dei processi.
I sensori, un tempo unicamente analogici, stanno diventando sempre più intelligenti e comunicano non solo valori, ma anche lo stato, i cicli e l’usura dei sensori stessi.
Internet of Everything
Questa inevitabile digitalizzazione fa parte di quella nuova frontiera chiamata “Internet of Things” o, come definita da una grande azienda di telecomunicazioni, “Internet of Everything”, ossia Internet di qualsiasi cosa.
E’ fondamentale tenere presente che questi sistemi di Processo ed Automazione Industriale sono stati progettati in un’epoca in cui le minacce cibernetiche (Cyber Threats) erano inesistenti o sconosciute; rubare alle banche avveniva fisicamente, assaltando la banca, e non infettando digitalmente banca e clienti. A quei tempi la Sicurezza non era un prerequisito funzionale per la progettazione dei Sistemi di Controllo Industriale, anche perché gli ambienti di produzione erano normalmente separati “fisicamente” dal resto del mondo ICT.
Teniamo inoltre presente che questi Sistemi di Controllo Industriale vengono utilizzati nelle fabbriche per lunghi periodi; alcuni impianti di produzione utilizzano lo stesso sistema di controllo da più di 20 anni, senza aver applicato, nel corso degli anni, alcuna modifica al sistema stesso. Consideriamo anche che i Sistemi di Controllo operano sulle stesse piattaforme Windows usate negli uffici ed in casa e, per ragioni di “Continuità di Servizio”, non possono essere facilmente aggiornate e “patchate”. Si stima che più dell’80 % di tutti i Sistemi di Controllo Industriale operano su Windows XP e/o Server 2003. Entrambi questi Sistemi operativi non sono più supportati da Microsoft.
Abbiamo individuato ICS (Sistemi di Controllo Industriale) collegati direttamente ad internet, come anche documentato dal sito web di Shodan (https://www.shodan.io – Motore di ricerca che permette di trovare specifici tipi di apparecchiature, Webcams, routers, servers, etc., connessi ad internet). Abbiamo trovato anche databases di compagnie aeree collegati al Web , come anche punti di accesso WiFi non securizzati negli aeroporti. Ovviamente questi sistemi non dovrebbero essere connessi al Web, o richiederebbero come minimo di essere protetti da collegamenti inopportuni, tramite appropriati sistemi di sicurezza.
Tecnologia abilitante
A fronte di queste premesse, la domanda più ovvia da porsi è: “Come possono le aziende ottenere queste significative efficienze senza mettere in pericolo la sicurezza dei propri Assets? La risposta è semplice: Implementando tecnologie capaci di supportare queste innovazioni nella massima sicurezza.
La tecnologia abilitante viene raggruppata sotto il termine “Cyber Security”. Senza appropriate misure di Cyber Security, le minacce dal WEB possono rivelarsi disastrose per la continuità dei processi (Production and Business Continuity). Ogni azienda deve quindi prevedere un Piano di Cyber Security composto, secondo la nostra visione, da 5 pilastri (pillars) fondamentali.
Pillar 1: Organizzazione e Policy
Un piano appropriato di Cyber Security deve necessariamente prevedere il coinvolgimento del Management Aziendale. La Cyber Security dovrebbe essere inoltre prevista all’interno della Matrice del Risk Assessment, e considerata alla stessa stregua dei “Rischi Finanziari” e dei “Rischi di Business”.
La nomina di un CISO (Chief Information Security Offi cer) e di un DPO (Data Protection Offi cer), come d’altronde richiesto dal GDPR (General Data Protection Regulation), ha dato prova di essere una misura efficace. Uno dei compiti più importanti di queste fi gure è di riunire i due mondi, quello IT (Office Network) e quello OT (Production Network). Sarà sempre più importante la collaborazione tra i professionisti delle due parti al fine di garantire una strategia di CyberSecurity efficace per l’intera Organizzazione. Sono molteplici e documentati gli esempi di organizzazioni che non hanno implementato queste semplici ma basilari procedure e funzioni all’interno della propria struttura, subendo significative violazioni.
Il livello desiderato di Cyber Security può essere ovviamente determinato in funzione della criticità dell’azienda.
Una banca prevedrà, per ovvi motivi, di avere un livello di Cyber Security superiore a quello di una azienda manifatturiera. A cascata, è poi cruciale rendere consapevoli dei rischi tutti i collaboratori dell’ azienda. Un semplice click su un collegamento non protetto può costare all’azienda diverse decine di migliaia di euro, solo per rimuovere le conseguenze del malware, senza contare il costo del “non-servizio” o della non-produzione. Nel caso di un Ransomware (malware che limita l’accesso al dispositivo che infetta, richiedendo un riscatto per la rimozione del blocco) il costo può rapidamente decuplicare. Parte delle Policy dovrebbero essere dedicate a prevenire, o almeno limitare, l’utilizzo di software non approvato, come freeware o shareware, così come invece rendere obbligatoria la distribuzione e la tempestiva installazione delle patches sul software “ufficiale”.
Pillar 2: Gestione dei rischi
Dopo aver stabilito le priorità, ogni azienda dovrebbe verificare lo stato della propria Cyber Security, coinvolgendo professionisti “esterni” che possano garantire un’attività di Security Assessment “imparziale”. Le indicazioni per la realizzazione di un assessment si trovano all’interno delle raccomandazioni ISO-27000 e/o IEC-62443. Parte di questo assessment dovrebbe servire per capire quali sistemi e quali sensori sono utilizzati nella fabbrica e quali connessioni sono utilizzate sia internamente che verso l’esterno.
Oggi sempre più aziende mirano ad espandere la capacità dei servizi di gestione per le apparecchiature della fabbrica. Un esempio sono i servizi di controllo remoto offerti da una fabbrica fornitrice di turbine. Infatti, essi richiedono una connessione diretta dai loro laboratori verso la rete industriale (OT) del Cliente. Se questo collegamento non viene protetto in maniera efficace, può causare una perdita di dati devastante o il blocco delle attività di produzione, che si possono poi tradurre in gravi danni economici e di immagine. Funzione dell’assessment sarà anche quello di evidenziare le connessioni verso l’esterno non più utilizzate “ufficialmente”, ma ancora disponibili, connessioni che potrebbero essere utilizzate dagli attaccanti per portare a compimento le proprie attività criminali.
Insieme all’assessment è necessario prevedere delle procedure di Recovery all’interno del piano di Business Continuity dell’azienda. Meglio essere comunque preparati, per una più veloce ed efficace ripartenza delle normali attività aziendali, a fronte di un attacco “Cyber”. Per innalzare ulteriormente il livello di sicurezza che garantisca un maggiore livello di “resilienza” (disponibilità dei servizi erogati) a fronte di un attacco andato a segno, la raccomandazione è di proteggere i backup con sistemi che ne impediscano la manipolazione o la cancellazione. Nell’esempio indicato nella “Figura 1”, i dati di backup sono replicati all’interno di una rete protetta da un sistema “One Way” (normalmente questa soluzione passa sotto il nome di DataDiode) che impedisce fisicamente l’accesso ai dati, proteggendoli da tentativi di manipolazione.
Figura 1
Pillar 3: Accesso sicuro
Per proteggere al meglio le reti di office (IT)e di produzione industriale (OT) dalle minacce Cyber è importante implementare una architettura Cyber sicura.
L’accesso sicuro sia alle risorse fisiche (accesso fisico) che a quelle digitali (accesso logico) è un passo fondamentale da considerare per raggiungere questo obiettivo. La protezione dell’accesso fisico alle risorse è un obbiettivo più facilmente raggiungibile in quanto parliamo di realtà fi siche, ben definite, che possono essere protette con protezioni fisiche (tornelli, porte blindate, etc.), monitorate con sistemi di allarme e videosorveglianza più o meno sofisticati. L’accesso logico è invece di più difficile controllo, avendo a che fare con entità virtuali, in molti casi sconosciute, che possono presentarsi sotto molteplici forme, approfittando di ingressi in molti casi non protetti se non addirittura sconosciuti. “Proteggere la porta d’ingresso principale, lasciando aperte le finestre, è solo una perdita di soldi per l’acquisto della porta blindata”. E’ inutile proteggere il solo “mondo OT” lasciando aperta la possibilità di accedere dal “mondo Internet” attraverso il “mondo IT”.
Per i motivi di business di cui abbiamo parlato all’inizio, i due mondi devono ormai essere assolutamente connessi. In molti Paesi al di fuori della Comunità Europea, esistono delle regolamentazioni per la connessione dei due mondi (NERC e NIST per gli Stati Uniti), dove arrivano a suggerire delle comunicazioni di tipo “One-Way” (connessioni monodirezionali controllate da strumenti chiamati “DataDiode”) che permettono il flusso di dati dal mondo OT a quello IT e non viceversa, evitando quindi attacchi portati tramite il canale IT verso il mondo OT.
L’Unione Europea non ha ancora adottato ufficialmente regole di questo tipo. Il regolamento attuale circa il Sistema Informativo di Rete non prevede alcuna penale, in contrasto con quanto indicato dal GDPR, dove le aziende possono essere multate fi no al 10% del fatturato globale a fronte del mancato rispetto di quanto indicato. Sicuramente questa nuova frontiera dell’ Internet of Things, o Internet of Everything, ha contribuito a complicare la sicurezza del mondo digitale. A novembre del 2015 il 46,5% della popolazione mondiale aveva accesso ad Internet. Nell’arco degli ultimi 15 anni il numero di utenti è cresciuto dell’ 832,5%. In crescita esponenziale è anche il numero di persone che accedono ad Internet tramite un mobile device (smatphone, tablet o “home device”); si stima che entro il 2018 la percentuale di tali utenti sarà del 70% ed entro il 2020 il rapporto tra devices connessi ed individui sarà di 6 a 1, ossia sei devices per ogni individuo…
Pillar 4: Protezione dalle minacce
Ovviamente è estremamente complesso e dinamico approntare tutte le misure necessarie per una protezione totale dalle minacce Cyber, soprattutto perché tali minacce stanno diventando sempre più sofisticate (Advanced Persistent Threats) oltre che sempre più numerose; è fondamentale però rendere il più difficile possibile la vita ai Cyber criminali.
Uno dei modi più semplici per proteggersi dalla perdita di dati (Data Leaks) è di crittare i propri e di fare back-up frequenti degli stessi. Crittando i dati si ridurrà rischio di perdita dei dati stessi (GDPR). Il back-up dei dati permetterà di ripartire velocemente con le proprie attività dopo un attacco, cercando di limitare al minimo i danni. Ma potrebbe non bastare !!! I dati potrebbero essere già stati portati all’esterno dell’Azienda. Per evitare questo problema vengono normalmente utilizzati sistemi DLP (Data Loss Prevention), sistemi che controllano il contenuto di file, messaggi, mail in uscita e creano dei blocchi a fronte di determinate parole chiave contenute al loro interno, con il fine di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate.
Ma questi sistemi possono generare quelli che sono chiamati “falsi positivi” e/o “falsi negativi” creando problemi di controllo , portando l’operativo in molti casi a disattivarli. La “Classificazione dei Documenti”, insieme all’utilizzo dei DLP, potrebbe potenziare questo meccanismo, classificando documenti, files, mail in modo più preciso ed efficace, in funzione del contenuto. IL DLP saprà che un documento classificato come “Segreto” non dovrà mai essere lasciato passare, indipendentemente dal contenuto dello stesso. Dal punto di vista invece della protezione degli assets è fondamentale limitare l’accesso di eventuali attaccanti alla rete OT da quella IT, sfruttando eventuali debolezze di sicurezza dei sistemi IT e della connessione ad Internet. (Parte prima)
di Maurizio Corti, CEO di Heimdall Consulting
Per approfondimento e contatti con l' autore: www.heimdall-consulting.com
(n.d.r. la seconda parte dell' articolo con il Pillar 5; Quanto sono protette le cosiddette “Infrastrutture Critiche” ? e Quali “Bonifiche Digitali” dobbiamo implementare? Verrà pubblicata a breve)