La sicurezza delle reti industriali
Il panorama delle minacce alla sicurezza informatica è in continua evoluzione e i sistemi industriali sono diventati un facile bersaglio per gli attaccanti che trovano in questi sistemi un punto d’ingresso di facile accesso.
La quarta rivoluzione industriale ha portato la digitalizzazione negli impianti industriali, con indubbi vantaggi alla produttività, all’automazione, alla qualità dei prodotti, e un’integrazione sempre maggiore tra sistemi di fabbrica (OT, operation technology) e sistemi informativi aziendali (IT, information technology). I sistemi di monitoraggio e controllo nelle fabbriche sono stati connessi alle reti IT per permettere lo scambio di dati tra l’ambiente di produzione e l’ambiente di gestione.
Le vulnerabilità nei sistemi industriali
I reparti produttivi, storicamente dotati di reti isolate e con dinamiche proprie, hanno dovuto cedere il passo a nuove esigenze di organizzazione, favorendo l’interconnessione dei sistemi industriali e con i sistemi gestionali e una maggior diffusione dei dispositivi IoT.
La maggiore diffusione del networking, l’utilizzo di Ethernet e del protocollo TCP/IP, e un maggiore utilizzo delle tecnologie web nel controllo di supervisione dei dispositivi di monitoraggio remoti (RTU, remote terminal unit), dei controllori logici programmabili, i famosi PLC, dei dispositivi di interfaccia uomo-macchina (HMI, human-machine interface), dei sistemi di controllo distribuito (DCS, distributed control systems), e delle reti di acquisizione dati e di controllo dei processi (Scada, supervisory control and data acquisition), hanno esposto i sistemi di automazione e controllo industriale (Iacs, industrial automation and control systems) a vulnerabilità simili a quelle dei sistemi informativi.
Gli attuali sistemi IT e OT hanno molto in comune, sono entrambi collegati con reti IP e in grado di comunicare, ma permangono molte diversità tra i due ambiti dal punto di vista della sicurezza.
I sistemi OT hanno requisiti prestazionali diversi rispetto a quelli IT: la sicurezza di funzionamento deve garantire soprattutto il controllo in tempo reale, l’adattabilità, la continuità di funzionamento e l’integrità dei dati, ma deve anche cercare di evitare l’errore umano, che può provocare incidenti non intenzionali. Per l’IT le priorità in termini di sicurezza sono integrità, confidenzialità e disponibilità dei dati.
Il fermo di un macchinario può produrre danni economici e d’immagine molto più importanti rispetto a un disservizio di una risorsa IT: ore di fermo corrispondono infatti a una quota di fatturato perso.
Gli attacchi DoS (denial of service ) e DDoS (distributed denial of service) sono volti a bloccare una macchina o una rete, rendendo impossibile l’accesso agli utenti legittimi inondando il bersaglio con traffico proveniente da molti host.
La quasi totalità di siti industriali, sono collegati a Internet ed esposti ad attacchi di hacker e malware che sfruttano vulnerabilità e le errate configurazioni Nelle reti industriali si trovano spesso sistemi legacy con ciclo di vita molto lungo, obsoleti e privi di manutenzione software, e per questo facilmente compromessi da malware distruttivi come virus, worm, spyware, rootkit, accessi remoti, trojan come Black Energy e nuove forme di ransomware come REvil e Ryuk. Sono meno curati gli aggiornamenti automatici e la strong authentication.
I criminal hacker hanno sviluppato malware mirati e capaci di attaccare sistemi industriali e macchine di controllo, come Stuxnet che nel gennaio 2010 colpì una centrale per l’arricchimento dell’uranio in Iran, e danneggiò le centrifughe sfruttando le vulnerabilità dei PLC adibiti al controllo delle stesse.
Poiché i macchinari industriali utilizzano protocolli di gestione remota come RDP, VNC e SSH, chi attacca una rete OT è facilitato per accedere alle configurazioni delle apparecchiature e creare danni e manipolazioni e compromettere il funzionamento dei dispositivi industriali.
Un aspetto ulteriore delle reti industriali è la scarsa visibilità dei sistemi che le compongono oltre alle comunicazioni con protocolli proprietari tra dispositivi in rete, che rendono complicata la lettura di eventuali anomalie dei servizi. Redigere un inventario aggiornato dei dispositivi e delle applicazioni in esecuzione nella rete può essere di difficile attuazione poiché su molte di queste reti non è possibile eseguire una scansione attiva con i metodi utilizzati per le reti IT, che potrebbero interferire con le prestazioni della rete.
In questi anni molte aziende sono state bersaglio di attacchi informatici, hanno subito fermi di produzione, minacce alla sicurezza fisica degli operatori, a causa dell’interazione sempre più diretta fra operatori e macchine, e furto di dati confidenziali.
Secondo Gartner Group, da qui al 2025 il 30% degli attacchi hacker o di violazioni informatiche saranno a danno delle infrastrutture critiche, ed entro il 2024, l’80% delle organizzazioni che gestiscono infrastrutture critiche abbandonerà le attuali soluzioni di sicurezza sviluppate in ‘silos’ per colmare i rischi cyber-fisici e IT adottando soluzioni iper-convergenti.
Le difese delle reti industriali
Il panorama delle minacce alla sicurezza informatica è in continua evoluzione e i sistemi industriali sono diventati un facile bersaglio per gli attaccanti che trovano in questi sistemi un punto d’ingresso di facile accesso.
Di conseguenza, l’attenzione sulle tematiche di sicurezza OT cresce e si comincia a investire sulla cybersecurity e sulla gestione dei rischi informatici per i sistemi industriali.
Le principali funzionalità di sicurezza come firewall, IDS (intrusion detection systems), Ips (intrusion prevention systems) e VPN (virtual private network) sono comuni sia per IT che per OT, anche se con funzionalità diverse. Le capacità di questi strumenti sono ulteriormente potenziate da algoritmi di intelligenza artificiale (IA), machine learning (ML) e cyber threat intelligence, che offrono la possibilità di rilevare più rapidamente le vulnerabilità emergenti, tramite la correlazione di dati e analisi provenienti da risorse pubbliche e private.
La comprensione di cosa sia oggi la cybersecurity e di come l’intelligenza artificiale (AI – Artificial Intelligence) e l’apprendimento automatico (ML – Machine Learning) possano migliorare la sicurezza della propria organizzazione è fondamentale per il buon funzionamento delle imprese.
L’AI e il ML sono più precisi e migliori dell’uomo e del software tradizionale nell’identificare schemi che indicano software dannoso e attività insolite. Possono analizzare milioni di eventi e identificare rapidamente minacce come virus e attacchi di vulnerabilità zero-day.
Secondo il rapporto di Capgemini “Reinventing Cybersecurity with Artificial Intelligence”, più della metà delle organizzazioni dichiara che i propri analisti di cybersecurity sono oberati di lavoro e quasi un quarto non è in grado di esaminare a fondo tutti gli incidenti segnalati.
Inoltre, il 69% dei dirigenti aziendali non sarà in grado di rispondere agli attacchi informatici senza l’AI. L’80% delle aziende di telecomunicazioni e dei produttori di beni per i clienti affermano di dipendere dall’AI per identificare le minacce e bloccare gli attacchi.
Poiché oggi anche gli hacker utilizzano l’intelligenza artificiale, le implementazioni di ML e AI costituiscono un’arma fondamentale per combattere gli attacchi informatici, attraverso l’analisi di enormi quantità di dati e l’esecuzione di operazioni approfondite per individuare anomalie, comportamenti sospetti o insoliti e attacchi zero-day.
La norma ISA/IEC 62443
Il framework ISA/IEC 62443 di standard internazionali per la sicurezza dei sistemi di controllo industriale, rappresenta il più diffuso modello di cyber security orientato al mondo dell’automazione di fabbrica (industrial cyber security) e nasce per proteggere l’Industria 4.0, rendendo sicura e affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.
L’applicazione di questo standard, attualmente facoltativa per i fabbricanti, definisce vari livelli di sicurezza e livelli di maturità, e rende i sistemi di controllo industriale immuni dalle minacce cyber, quali guasto degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto.
La sicurezza multilivello offre agli impianti una protezione completa, dal livello di gestione dell’impianto fino alla comunicazione sicura dei dati sul campo, e consente alle aziende di implementare in modo graduale un sistema di Cybersecurity ottimizzato per la propria realtà produttiva.