La gravità degli attacchi informatici ai sistemi di controllo industriale si manifestata sempre più spesso. Adottare delle opportune contromisure è essenziale per l’incolumità di asset e persone.
La moderna storia del crimine informatico contro gli ICS (Industrial Control System) e le infrastrutture critiche (sistemi di produzione e distribuzione dell’energia, utilities, reti di trasporto, siti militari, banche, infrastrutture territoriali, sanitarie e agricole) nasce nei primi anni 2000 quando, con la standardizzazione della connettività dei sistemi di controllo industriale, iniziò a delinearsi la convergenza IT-OT (Information Technology- Operational Technology) ovvero tra reti informatiche e reti di fabbrica.
Da allora è stato un lungo di susseguirsi di episodi di varia entità di cui è difficile tenere il conto. Alcuni di particolare gravità sono assurti agli onori delle cronache. Nel 2007 i rapporti molto tesi tra Russia ed Estonia sfociarono in una massiccia ondata di attacchi DDoS (Distributed Denial of Service) subìti dalla repubblica baltica. Banche, strutture governative e media nazionali rimasero bloccati per mesi.
2010 molti ricorderanno la “scoperta” di Stuxnet, un virus informatico creato e diffuso dal governo statunitense in collaborazione con quello israeliano con lo scopo di sabotare la centrale nucleare iraniana di Natanz.
ancora: Shamoon (malware che in diversi varianti dal 2012 al 2018 ha colpito giganti dell’oil&gas come Saudi Aramco e Saipem), Oldrea (trojan del 2014 che apriva le porte agli attacchi remoti ai server strategici), Irongate (malware comparso alla fine del 2015 in grado di compromettere la comunicazioni tra Scada e periferiche), BlackEnergy e CrashOverride (trojan che colpirono nel 2015 e nel 2016 alcune centrali elettriche ucraine), Mirai (attacchi bootnet portati nel 2016 contro oltre 500.000 dispositivi IoT come webcam, termostati, lampadine), Wannacry e NotPeya (ransomware che nel 2017 paralizzarono il sistema sanitario della Gran Bretagna e diverse multinazionali del farmaco), per finire con i virus di nuova generazione Triton e Triconex progettati per attaccare i sistemi strumentali utilizzati nel settore energetico.
Strategie di difesa
Si è a lungo pensato che i sistemi strumentati di sicurezza (SIS) fossero estranei a problematiche di cybersecurity in quanto indipendenti dal sistema di controllo. Purtroppo, le cose non stanno così.
La Cybersecurity può avere un impatto significativo sulla disponibilità e sull’affidabilità di un SIS. Del resto nel 2016 lo standard globale sulla sicurezza funzionale, IEC 61511, fu aggiornato con l’inserimento di due nuovi requisiti riguardanti la cybersecurity. Il primo richiede l’esecuzione di eseguito un “security risk assessment” per identificare la vulnerabilità informatica. Il secondo che il progetto di un SIS assicuri la resilienza necessaria rispetto ai rischi identificati.
di più con la crescente convergenza di Information Technology (IT) e Operational Technology (OT), gli hacker continuano a sperimentare nuove modalità per trovare anche la minima vulnerabilità nei sistemi industriali. Rendere sicuri aziende e impianti è dunque un processo continuo che richiede un’adeguata progettazione della rete OT e dei servizi di cybersecurity. Vediamo quali possibili strategie difensive possono essere introdotte.
Digitalizzazione
Se è innegabile che la digitalizzazione industriale apporti molti vantaggi, è anche vero che bisogna tenere conto dei rischi legati alla sicurezza informatica che questa comporta. La buona notizia è che con una progettazione adeguata, i produttori possono evitare interruzioni o furti di dati legati al rischio informatico. Rimanere scollegati dalla rete non è un’opzione realistica, poiché i vantaggi della digitalizzazione e di Industria 4.0 non possono essere ignorati.
Rimanere online
Anche i sistemi non connessi a Internet hanno vulnerabilità di rete che possono essere sfruttate con semplici dispositivi a basso contenuto tecnologico, come una chiavetta USB o un Raspberry PI che scansiona le reti Wi-Fi locali. Ecco perché è importante proteggersi restando online e monitorando le connessioni di rete.
Comprendere il rischio
Nessuna azienda è completamente al sicuro, ma esistono varie strategie che permettono di ridurre significativamente i rischi e altre contromisure che possono ridurre l'impatto di un cyber attacco. Tali piani d’azione e strategie di “recovery” dovrebbero far parte delle normali procedure operative di un impianto.
Visibilità degli asset
Ogni azienda ha bisogno di un inventario aggiornato dei propri asset per ottenere la visibilità. Molti sistemi industriali connessi in rete si sono sviluppati nel tempo, e potrebbero non essere stati progettati tenendo conto dei parametri attuali, oppure potrebbero usare tecnologie ormai obsolete. È necessario anche conoscere le caratteristiche della rete OT e monitorarne il traffico.
Protezione della rete OT
Per essere protetti dal rischio informatico, è necessario costruire una rete OT che sia adatta allo scopo. Occorre sostituire i sistemi che si basano su tecnologie non più supportate dai fornitori, aggiornare i sistemi operativi, le patch e controllare se i fornitori eliminano le vulnerabilità con gli aggiornamenti del software. È bene anche considerare la possibilità di raggruppare gli asset di impianto su una piattaforma virtuale.
Best practice
Gestire i fattori chiave di visibilità e sicurezza dovrebbe rendere la vostra azienda molto più resiliente. Ma per rimanere protetti è necessario un approccio continuo. Mettere in atto semplici processi di aggiornamento delle patch, verificare le aggiunte e le rimozioni di dispositivi nella rete e valutare regolarmente la vulnerabilità, deve essere una pratica normale e sistematica.
Piani di emergenza
È importante che la vostra azienda sia in grado di determinare le conseguenze di un attacco informatico. Fondamentale è anche disporre di un rilevamento attivo e in tempo reale delle minacce, di un piano di disaster recovery / emergenza e di soluzioni di backup e ripristino adeguate.
Competenze
Il divario delle competenze in ambito cybersecurity ha un impatto profondo sulle aziende di tutti i settori, rendendole esposte ai rischi legati ai crimini informatici. Tuttavia, è importante ricercare con assiduità i nuovi talenti e affidarsi a partner di fiducia per implementare una giusta soluzione.
