IT e OT le ‘insidie’ della convergenza

M an mano che i sistemi di controllo industriale diventano più connessi, sono anche più esposti alle minacce informatiche. La quarta e la quinta rivoluzione industriale (Industry 4.0 e 5.0) hanno aperto gli impianti industriali a Internet e al Cloud, ma anche alle possibili minacce. Le conseguenze di un attacco informatico al controllo della produzione di un’azienda possono influire negativamente sull’efficienza, la continuità e la sicurezza dell’organizzazione. Le nuove sfide create dalla transizione digitale, non riguardano più solamente la tradizionale sicurezza informatica, applicabile al dominio delle Information and Communication Technologies (ICT), ma anche il dominio industriale delle Operational Technologies (OT), la fabbrica, le catene di produzione, i relativi sistemi automazione (Industrial Control Systems: ICS), di supervisione e controllo (Supervisory Control and Data Acquisition: SCADA), le reti di sensori e attuatori distribuiti negli impianti (Industrial Internet of Things: IIoT).

Information Technology (IT) e Operational Technology (OT) stanno convergendo rapidamente, mentre il diffuso utilizzo di dispositivi IoT, cloud ibrido e reti 5G, comporta un aumento del rischio di vulnerabilità rispetto agli attacchi informatici ai macchinari industriali, che oggi sono generalmente interconnessi e legati all’uso dei dati digitali. Il perimetro da difendere si è esteso anche al mondo della fabbrica che, fino a qualche tempo fa, era ritenuto essere immune agli attacchi, ed è spesso dotato di sistemi datati (legacy), potenzialmente altamente vulnerabili e difficilmente aggiornabili. Gli attacchi informatici ai sistemi ICS e SCADA possono influire sulla sicurezza, disponibilità e affidabilità dei sistemi, portando a conseguenze catastrofiche. Gli attacchi sempre più frequenti ai siti di produzione sono indice dell’esposizione sempre maggiore ai cyber attack dei tradizionali sistemi SCADA e PLC utilizzati nei contesti industriali.

Il rischio cybersecurity OT, indirizzato ai sistemi produttivi con attacchi che toccano non solo l’infrastruttura IT ma tutti i sistemi del processo di produzione, è un fenomeno in forte espansione, in Italia e nel mondo. Oggi possono essere colpite tutte le organizzazioni in tutti i settori produttivi, tra cui: energia elettrica, acqua, nucleare, manifatturiero, infrastrutture, trasporti (ferrovie, porti e aeroporti) e Oil&Gas. Occorre pertanto adottare le stesse logiche di sicurezza in entrambi gli ambiti IT e OT, tenendo conto delle peculiarità dei due mondi. Mentre il mondo IT ha iniziato a occuparsi di cybersecurity parecchi anni fa, il mondo OT è indietro di almeno 10 15 anni, e c’è una separazione di pensiero tra IT e OT. Le soluzioni di sicurezza IT tradizionali non possono funzionare per il mondo OT perché si basano su protocolli diversi atti a riconoscere una minaccia che attacca i sistemi informatici. La cosa più importante per l’IT è proteggere i dati, mentre nel mondo OT la priorità è garantire e ottimizzare la continuità operativa. Inoltre, il compito della programmazione OT è dare priorità ai tempi di lavorazione e alla sicurezza del personale, non alla sicurezza dei dati. In molte aziende manifatturiere i processi legati alla Industrial Cybersecurity faticano a decollare per una serie di motivi, fra cui la mancanza di consapevolezza del rischio, la complessità delle reti OT, e la mancanza di risorse umane o finanziarie.

La Sicurezza Informatica Industriale (Industrial Cybersecurity) è la parte della sicurezza di un sistema di controllo e automazione industriale (IACS) che riguarda la sicurezza di prodotti che includono sistemi DCS, SCADA, dispositivi integrati e applicazioni software. Per il successo della cybersecurity in ambito industriale non è sufficiente adottare le pratiche dell’IT poiché le reti OT sono più vulnerabili alle minacce legate al funzionamento degli impianti e alle ripercussioni sulla sicurezza fisica degli operatori. I metodi e le misure di sicurezza IT possono rivelarsi insufficienti per proteggere l’infrastruttura OT, poiché i più diffusi firewall o antivirus IT non sono progettati per proteggere i processi industriali.

Le minacce dovute alla convergenza IT/OT

L’adozione di nuove tecnologie manifatturiere che si basano sempre più sull’Industrial Internet of Things (IIoT), intelligenza artificiale e machine learning, ha aumentato la complessità e la vulnerabilità degli ecosistemi produttivi.

Le organizzazioni si stanno rendendo conto troppo lentamente della concreta possibilità che gli attacchi degli hacker possano interrompere le operazioni di produzione, compromettendo la produttività. Gli attaccanti possono usare vari metodi per rubare informazioni aziendali sensibili, portando a data breach, perdita di proprietà (ramsomware e furto di dati) e violazioni che danneggiano l’immagine dell’azienda. Le organizzazioni del settore industriale, oltre al ransomware, devono considerare anche altre minacce informatiche:

• Attacchi alla catena di approvvigionamento – Poiché molte organizzazioni del settore industriale fanno parte di catene di approvvigionamento complesse, un attacco informatico a un’azienda all’interno della supply chain può avere un effetto a catena, con un impatto su altri produttori, distributori, rivenditori e consumatori • Minacce interne – azioni dannose, dolose o non intenzionali, da parte di dipendenti, fornitori o partner possono rappresentare rischi significativi in termini di violazioni dei dati o di interruzioni dei processi di produzione.

• Autenticazione e controlli di accesso inadeguati – Gli utenti interni e di terze parti che accedono da remoto agli asset industriali per la manutenzione e altre attività possono creare rischi per le operazioni, soprattutto quando non sono in essere controlli e policy degli accessi.

La cybersecurity nell’industria 4.0 e 5.0

La cybersecurity per l’industria intelligente richiede un approccio alla sicurezza nuovo, multistrato e completo, in grado di abbracciare tutto l’ecosistema. È indispensabile monitorare tutti i livelli dei prodotti e dei processi produttivi. La sicurezza informatica tradizionale rappresenta un primo livello di protezione, impiegando strumenti come software antivirus e scansioni attive delle vulnerabilità. Un ulteriore livello riguarda il monitoraggio dell’infrastruttura di produzione. La cybersecurity per l’industria intelligente deve tenere conto che le aziende spesso operano con una combinazione di sistemi moderni e avanzati, insieme a sistemi legacy che richiedono la stessa attenzione nella protezione. Tale contesto crea un’architettura mista, composta da vecchi sistemi, più vulnerabili e difficili da proteggere, e da tecnologie più recenti. La sostituzione dei sistemi obsoleti può essere complessa e costosa, considerando che tali sistemi presentano spesso vulnerabilità conosciute che aumentano le sfide di sicurezza ed i costi associati. Esistono soluzioni per la protezione degli endpoint e la prevenzione degli attacchi alla rete industriale con sistemi di intrusion prevention che bloccano sul nascere gli attacchi a livello di fabbrica. Ciò consente ai tecnici di gestire centralmente la difesa informatica delle risorse legacy e moderne senza interrompere le operazioni.

Al fine di salvaguardare le risorse critiche dagli attacchi informatici nell’ambito di un’efficace strategia di cybersecurity, è consigliabile attuare alcuni controlli con l’obiettivo di garantire la riservatezza, l’integrità e la disponibilità delle informazioni e dei processi.

• Gestione degli asset – È necessario mantenere un inventario completo, aggiornato e centralizzato di tutte le macchine collegate in rete e dei relativi Cyber-Physical Systems (CPS).

• Segmentazione della rete – L’implementazione di un’adeguata segmentazione della rete OT può prevenire la diffusione di attacchi informatici, limitando i movimenti in tutta la rete. Separando i processi e i sistemi critici, si riduce l’impatto di guasti o di interruzioni.

• Accesso remoto – È fondamentale bilanciare l’accesso necessario per la manutenzione o la risoluzione dei problemi con protocolli di sicurezza rigorosi. Di fatto, si tratta di adottare un approccio olistico e fare della sicurezza informatica una parte integrante del programma di resilienza aziendale, considerando la sempre maggiore convergenza tra IT e OT.

Gli standard della sicurezza informatica industriale

Negli ultimi anni, sono nati nuovi standard particolarmente rivolti agli ambienti industriali, come IEC 62443, NIS 2 e Regolamento Macchine UE 2023/ 1230. IEC 62443 è lo standard internazionale per la sicurezza informatica dei sistemi di controllo dell’automazione industriale. Creato quasi vent’anni fa dal Comitato SP99 nell’ambito di ISA (International Society Automation & Control), è stato successivamente rivisto e adottato dall’IEC (Commissione Elettrotecnica Internazionale) con il nome originale ISA 99/ IEC 62443, e ha l’obiettivo di proteggere l’Industria 4.0 e 5.0, rendendo sicura e affidabile la condivisione dei dati dall’esterno verso l’interno delle organizzazioni, e viceversa. Anche se non è obbligatoria per le aziende, l’applicazione di questo standard protegge i sistemi di controllo industriale dalle minacce informatiche. Nello scenario attuale, in cui i pericoli per gli ambienti di produzione sono in significativa crescita, l’applicazione dello standard IEC garantisce che le aziende siano protette dalle potenziali minacce che possano causare il guasto delle apparecchiature, il blocco della produzione, e costi imprevisti relativi alla riparazione dei danni e perdita di profitti. La norma IEC 62443 pone come punto di inizio fondamentale lo strumento dell’analisi del rischio informatico (Risk Assessment) che consiste nella valutazione del rischio, svolgendo un audit iniziale del livello di cybersecurity esistente, seguita dal dettaglio delle azioni necessarie per la protezione dei sistemi e delle macchine più a rischio di attacco e dalla redazione delle specifiche di Industrial Cybersecurity: l’insieme delle raccomandazioni da adottare per proteggere l’infrastruttura dal punto di vista OT. La Direttiva europea NIS 2, entrata in vigore a gennaio del 2023, introduce misure più stringenti e specifiche in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti di sicurezza, rivolgendosi anche a un novero di settori e di soggetti più ampio rispetto a quello previsto, fino ad oggi, dall’originaria Direttiva NIS. Il ventaglio si allarga ai soggetti attivi in settori definiti “ad alta criticità”.

Il nuovo Regolamento Macchine Ue 2023/1230, che sostituisce la Direttiva Macchine 2006/42 CE, stabilisce i requisiti essenziali di sicurezza e di salute per le macchine, con particolare riguardo a Cybersicurezza, Intelligenza Artificiale e Collaborazione Uomo-Macchina, nonché le procedure per la valutazione della conformità delle macchine a tali requisiti. Si applica a tutte le macchine e parti di macchine fabbricate o messe in servizio nell’UE, indipendentemente dal fatto che siano prodotte nell’UE o importate da paesi terzi.

Conclusione

ll successo delle fabbriche intelligenti dipende oggi non solo dalla protezione delle reti-dati, ma anche dall’adozione strategica della cybersecurity industriale nei processi operativi. Inoltre, è fondamentale che il personale ne comprenda l’importanza. Adottare i principi di gestione del rischio, della continuità operativa e della cybersecurity industriale è essenziale per raggiungere una cyber resilience sufficiente per garantire un futuro sicuro e sostenibile per gli ecosistemi industriali.