La sicurezza degli ambienti industriali e delle infrastrutture critiche è da sempre un imperativo. Ma come proteggere la rete Ics (Industrial Control Systems) dalle minacce informatiche in tutte le sue componenti?
Il webinar “Integrare l’It Security con la sicurezza delle reti industriali”, organizzato da ZeroUno in collaborazione con Stormshield, affronta il tema sotto i diversi aspetti.
I relatori del webinar, da sinistra: Patrizia Fabbri, Caporedattore di ZeroUno, Stefano Zanero, Professore Associato del Politecnico di Milano e Marco Genovese, Presales Engineer di Stormshield“La vulnerabilità delle infrastrutture critiche – esordisce Patrizia Fabbri, Caporedattore di ZeroUno – è balzata a onor di cronaca con l’attacco del virus Stuxnet alle centrali nucleari in Iran. Ma il caso non è certo isolato e oggi, sempre di più, i sistemi industriali hanno una connessione alla rete aziendale e a Internet rimanendo quindi esposti agli stessi rischi di pc e server; tuttavia, gli Ics non sono stati pensati originariamente per comunicare con l’esterno, ma per operare in ambienti tipicamente chiusi. Da qui nasce la problematica: come connettere i due mondi, It e Industriale, garantendo la sicurezza?”.
La tempesta perfetta, tra vulnerabilità e minacce
L'analisi tecnica spetta a Stefano Zanero, Professore Associato del Politecnico di Milano. “I Cyber Physical Systems – chiarisce – sono sistemi di controllo evoluti che utilizzano l’informatica come parte costituente del loro funzionamento: oggi nessun Cps è al sicuro, ma tutti presentano delle vulnerabilità. Sempre più spesso, le infrastrutture critiche (ad esempio, per l’erogazione dell’elettricità o per la gestione dei trasporti), che comportano danni sociali ingenti in caso di incidente, hanno alla base sistemi cyber fisici”. Ma c’è un secondo risvolto importante: l’intervento umano è sempre più estromesso dagli anelli di controllo dei sistemi critici. “È il caso ad esempio del mercato finanziario – suggerisce Zanero – che per molti processi è regolato dagli algoritmi, con ripercussioni importanti in caso di errore”.
La diffusione di Stuxnet – Fonte: Stefano ZaneroIl quadro è allarmante: l’interconnessione tra sistemi diversi e in precedenza isolati è driver di vulnerabilità; parallelamente, le minacce informatiche aumentano in numero e sofisticazione. “Tutte le aziende – ammonisce Zanero – possono essere attaccate, indipendentemente da dimensioni e popolarità. Non solo i grandi marchi quindi, ma anzi si stanno inasprendo le minacce contro le piccole aziende, che hanno magari un posizionamento molto forte nei settori di nicchia”. Si tratta, insomma, di una “tempesta perfetta” tra vulnerabilità e minacce, in uno scenario nuovo (il mondo interconnesso tra sistemi fisici e digitali) su cui mancano ancora molte conoscenze per garantire sicurezza.
Costruire la sicurezza degli ambienti critici
Correre ai ripari è d’obbligo e la tecnologia può offrire un valido aiuto. “Innanzitutto – spiega Marco Genovese, Presales Engineer di Stormshield – bisogna individuare le risorse da mettere in sicurezza nei nuovi ambienti industriali: i Plc, che devono essere sempre operativi e performanti; le workstation, che devono essere sempre connesse e protette dai malware; il network, che spesso è manutenuto da terze parti e vede l’integrazione di reti It e Ot (Operation Technology, ovvero sistemi industriali); i dispositivi attivi (incluse le macchine dei subcontractor su cui non si ha alcun controllo), spesso basati su sistemi operativi Microsoft obsoleti e dei quali manca un inventario completo”. La risposta di Stormshield alle nuove necessità di sicurezza degli ambienti industriali si riassume nelle appliance per la protezione delle reti e nelle soluzioni per l’Endpoint Security.
L’errore umano e il problema culturale
Il poll lanciato durante la diretta: "Qual è secondo lei la principale causa di failure di un sistema di controllo industriale?"Oltre che tecnologica, la sicurezza è soprattutto una questione culturale (il poll lanciato durante la diretta rivela che l’errore umano è ritenuto la principale causa di failure di un Ics, seguito da un attacco interno ed esterno). Durante la tavola rotonda virtuale si discute di come creare awarness intorno ai comportamenti a rischio. “La user education – sostiene Zanero – è stata finora fallimentare. Bisogna istruire gli utenti di tutta l’azienda considerando i diversi livelli di maturità verso la sicurezza. La formazione dovrebbe essere pervasiva, ma è una missione impossibile”. Proprio per questo, bisogna adottare misure preventive, come suggerisce Genovese: “La sicurezza deve essere adattiva: i nostri sistemi riconoscono l’ambiente e abilitano regole specifiche; ad esempio, in ambito industriale, viene negato l’utilizzo di chiavette non validate o l’accesso a Internet da dispositivo personale, indipendentemente dalla volontà dell’utente. Bisogna insomma eliminare a priori qualunque pericolo potenziale”.
Una questione di competenza e reattività
Un altro topic affrontato durante la discussione ha riguardato il gap di competenze tra i responsabili di reti It e Ot. “Si ragiona – dice Zanero con metriche e velocità diverse, perciò deve esserci dialogo tra informatici e industriali. Soprattutto, gli uomini It devono abituarsi all’idea che in certi settori come il manifatturiero, le esigenze degli industriali hanno la priorità”. “Un approccio corretto – aggiunge Genovese – è la separazione tra la rete degli uffici e della produzione: non tutto deve connettersi a tutto ed è necessario il controllo sugli strumenti che vanno a dialogare con il mondo Ot”.
Guardando al tema delle minacce, viene chiesto se la sofisticazione degli attacchi contro le reti industriali ha raggiunto i livelli del mondo It. Secondo Zanero, attualmente sono meno avanzati, perché richiedono competenze molto più specifiche. Tuttavia, come afferma Genovese, bisogna attivare un insieme di misure protettive, che vanno oltre il semplice firewall per estendersi, ad esempio, alle soluzioni per la sicurezza degli endpoint. “I sistemi Ot – conclude Zanero – si stanno adeguando alle nuove realtà e iniziano a integrare nativamente tecnologie di protezione contro le minacce derivanti dalle connessioni It. Tuttavia il mondo industriale si muove lentamente e la conversione degli impianti con le macchine più moderne richiederà 10-15 anni”. In questa finestra temporale, non resta che alzare la guardia.
