di Filippo Monticelli, country manager di Fortinet Italia
Negli ultimi anni, la sicurezza è diventata un aspetto di primaria importanza per organizzazioni pubbliche, società di trasporti, produttori di risorse naturali e altri ancora. Una ricerca dello scorso anno rivela come queste tipologie di organizzazioni siano sotto costante attacco da parte dei cyber criminali, con incidenti frutto di una sofisticazione sempre più elevata. C’è preoccupazione tra gli operatori, in merito alla risoluzione di falle di sicurezza divenute nel tempo sempre più ampie.
Le macchine e la tecnologia utilizzate per gestire e mettere in funzione centrali idroelettriche, stabilimenti petroliferi e altre infrastrutture non sono state progettate per essere connesse a reti remote o pubbliche. La sicurezza era garantita dal fatto che tali sistemi fossero isolati con un accesso fisico spesso limitato. Usavano apparati proprietari, generalmente creati ad hoc e limitati in termini di protocolli di comunicazione, per cui anche nel caso un cyber criminale fosse stato in grado di guadagnarsi in qualche modo un accesso, nessuno degli strumenti a sua disposizione sarebbe stato di qualche utilità. Ma con l’avvento della cosiddetta “Industria 4.0” – ovvero la quarta rivoluzione industriale – questi ambienti ora contano su macchine interconnesse, si basano su standard aperti e utilizzano hardware e software standard. Come per ogni altra rete IT, i vantaggi in termini di costi ed efficienza vanno di pari passo con un aumento della vulnerabilità. Ciò significa che i sistemi di controllo industriale (Industrial Control Systems – ICS) presentano ora una più ampia superficie di attacco.
Era opinione di molti che la creazione di un “cuscinetto” tra gli ICS e tutte le altre reti avrebbe garantito un livello ottimale di sicurezza. Tuttavia, dato che sempre più componenti di operation technology (OT) nei sistemi di controllo industriale odierni si affidano ad aggiornamenti software e patch periodiche da parte dell’IT, è praticamente impossibile evitare quanto meno trasferimenti di dati occasionali nell’ICS. Persino in ambienti senza connessioni di rete permanenti (o quelli caratterizzati da dispositivi unidirezionali, quali per esempio i diodi di dati ottici), ci sono vulnerabilità. I dipendenti possono infatti introdurvi dispositivi storage (per es. chiavette USB) o PC infetti, capaci di infettare la rete.
Prima che un’azienda possa valutare accuratamente quali sono le minacce circostanti, deve considerare il motivo per cui qualcuno dovrebbe aver interesse ad attaccarla. La maggior parte delle organizzazioni criminali e degli hacker è in cerca di denaro. Ma in ambienti ICS, dietro agli attacchi potrebbero anche esserci moventi politici o terroristici, tra cui il desiderio di distruggere gli apparati, minacciare la sicurezza nazionale e mettere a rischio vite umane. Le infrastrutture critiche sono diventate un obiettivo sensibile per attacchi informatici, a loro volta sempre più sofisticati.
Sebbene le aziende non possano prevedere ogni minaccia, devono focalizzarsi su ciò che possono controllare. Di seguito alcune domande che è consigliabile porsi per effettuare una valutazione sulle vulnerabilità della propria operational technology.
Quali sono le risorse critiche da proteggere? Identificare gli elementi che garantiscono la continuità operativa è il primo step.
Quali sono i protocolli per la gestione dei permessi o dell’accesso ai controlli? Gran parte dei sistemi erano in precedenza isolati. Ora che IT e OT sono interconnesse, devono tenere il passo delle best practice di sicurezza OT. Inoltre, determinare i privilegi appropriati per gli utenti autorizzati è tanto importante quanto bloccare accessi non autorizzati.
I sistemi operativi hardware e software sono stati aggiornati di recente? Alcuni sistemi operativi software e hardware sono antecedenti al concetto stesso di cyber-sicurezza. Le organizzazioni devono assicurarsi che siano comunque compatibili con le moderne difese di base, quali anti-virus e tecnologie di scansione.
Ogni quanto tempo l’organizzazione effettua aggiornamenti e implementa patch? Molte operazioni non possono permettersi le interruzioni e i costi associati alle patch. Tuttavia, il continuo rinvio degli aggiornamenti è causa di falle di sicurezza più ampie.
Sono presenti dispositivi di telemetria basati su IP privi di protezione, come per esempio sensori e manometri? I dati su questi device possono essere manipolati, compromettendo la sicurezza e l’affidabilità di tutto il sistema.
L’azienda si affida a best practice in tema di coding? L’utilizzo di software integrato e spesso personalizzato, scritto dedicando poca attenzione alle tecniche di sicurezza raccomandate, lascia i sistemi OT scoperti a possibili attacchi.
Gli operatori seguono procedure standard per il logging degli eventi? Le organizzazioni che stabiliscono un processo per prendere nota e effettuare una reportistica sugli eventi di sistema possono usare questi dati per rilevare le irregolarità e implementare misure di sicurezza.
Qual è il processo che regola la produzione delle componenti e la supply chain? Senza monitoraggio e governance appropriati, gli apparati potrebbero risultare compromessi ancor prima di essere installati.
La rete è opportunamente segmentata? Molte organizzazioni non hanno ancora suddiviso le proprie reti in segmenti funzionali (sebbene risultino totalmente interconnesse). Senza un’opportuna segmentazione, dati e applicazioni infetti possono passare da un segmento all’altro, e i criminali che riescono a violare le difese perimetrali sono in grado di muoversi in incognita su tutta la rete.
Qual è il livello di esperienza degli specialisti di sicurezza? La sola comprensione dell’operations technology non è sufficiente. Il personale di sicurezza deve possedere un’expertise di settore e una notevole dimestichezza con le best practice di OT security.
C’è un piano di operational recovery? Nel malaugurato evento di disastro, ogni organizzazione necessita di procedure documentate per valutare i danni, riparare macchine e sistemi, e ripristinare le operazioni. Esercitazioni abituali consentono agli operatori di effettuare il ripristino rapidamente e in modo efficiente quando necessario.
Sebbene le minacce provenienti da cyber criminali e organizzazioni terroristiche siano reali e preoccupanti, le problematiche interne involontarie rappresentano l’80 percento degli incidenti di sicurezza nel settore.. In aziende operanti nelle infrastrutture critiche, errate configurazioni dei software dovute a errore umano, malfunzionamento dei protocolli di rete e device behavior sono problematiche da tenere d’occhio.
Un approccio globale alla sicurezza può proteggere contro attacchi mirati intenzionali ed errori umani di risorse interne. La risoluzione delle problematiche di security degli ICS richiede una soluzione che unifichi il meglio delle attuali funzionalità di sicurezza di rete OT con una approfondita comprensione di protocolli e processi ICS.
