OT/ICS Security, più facile a dirsi che a farsi

Quando si parla di cyber security con riferimento a industrie e infrastrutture di pubblica utilità, minacce e regole d’ingaggio sono diverse rispetto al mondo IT. Con Industria 4.0, cloud e IoT, la cosiddetta OT security sta ulteriormente mescolando le carte in tavola

Sono passati 10 anni da quando, nel 2007, è stato pubblicato da parte di Clusit il quaderno Q007 dal titolo “Introduzione alla protezione di reti e sistemi di controllo e automazione (DCS, SCADA, PLC, ecc.)”, il primo manuale in italiano sul tema Cyber Security Industriale. Il documento è ancora disponibile sul sito Clusit e, benché datato, contiene ancora buoni spunti sul tema della security ICS (Industrial Control System). Oggi, per rimarcare la differenza con la ICT Security si parla di OT Security, ovvero la security riferita alla protezione dei sistemi di controllo e telecontrollo (Operational Technology, di qui l’acronimo OT) utilizzati nel mondo industriale e delle utility per la gestione di impianti e macchinari. Ci sono alcuni punti sull’agenda di CIO e CISO che hanno attirato la loro attenzione sul tema security ICS/OT. Oggi, infatti si parla molto di IoT, Industrial IoT, Industrial Internet, Industria 4.0, SmartCity, SmartGrid e Cloud per la gestione di asset industriali e delle Infrastrutture (anche quelle critiche!).

Ecco allora superato il primo ostacolo: quello della consapevolezza che anche i sistemi che gestiscono impianti e oggetti hanno necessità di essere protetti esattamente come richiesto per i sistemi che gestiscono dati e informazioni. È importante notare che impianti e oggetti possono generare una enorme mole di dati e informazioni: Big Data industriali o dell’IoT, che richiedono strumenti evoluti di analisi per estrarre preziose informazioni da queste montagne di dati. Ma non bisogna dimenticare che i criteri di protezione richiesti da questi sistemi sono differenti. Sono diversi per architetture e sistemi operativi, dispositivi connessi e protocolli utilizzati: ne risulta che spesso sono inutilizzabili (o perlomeno poco efficaci) dispositivi, metodologie e tecnologie utilizzate per la protezione di server e infrastrutture ICT tradizionali. Anche il rischio poi è diverso. Il focus di queste applicazioni non è tanto sulla protezione dell’informazione quanto sulla protezione del “processo controllato”: la generazione e distribuzione di elettricità, l’erogazione di acqua, la produzione di farmaci, l’imbottigliamento di liquidi, la movimentazione nei magazzini, il traffico aereo, la conduzione di treni e navi, giusto per fare qualche esempio. Tutto questo fino a ieri. Oggi, proprio quando si parla di cloud e di Internet degli oggetti (IoT) possiamo allargare il perimetro a qualunque scenario: dalle telecamere di telesorveglianza a taxi, tram e ambulanze, dagli ascensori ai pacemaker cardiaci, dalle turbine a bordo di aerei, alle centraline delle auto, dai braccialetti fitness ai proiettori al cinema, dai banchi frigo del supermarket alle caldaiette di casa. Tutto predisposto per essere connesso, e – quasi tutto – già iper-connesso.

Come e cosa si può fare affinché queste connessioni rappresentino “rischi accettabili”? Purtroppo, non c’è il “silver-bullet”, la metodologia o tecnologia che sia efficace in assoluto. Un buon punto di partenza, che fortunatamente vediamo sempre più condiviso, è il concetto di “security by design”: la consapevolezza che iniziative e progetti dell’Industrial Internet e Industria 4.0 abbiano scarsa possibilità di successo e di essere adottati senza avere sistemi e dispositivi intrinsecamente più sicuri ed affidabili. Per la protezione da rischi informatici di reti di impianti e macchinari nell’industria e nelle utility inoltre si stanno facendo largo i concetti di “anomaly detection” e  “white listing” di comportamenti, di dati e di comandi “leciti” da far arrivare al dispositivo stesso, prevedendo, anche mediante tool che utilizzano “machine learning”, scenari di gestione e di funzionamento ottimale. Sarà interessante vedere nei prossimi Security Summit e Cloud Security Summit, come i migliori esperti e professionisti di cyber security prenderanno coscienza di questi nuovi scenari. Perché, a proposito di sicurezza in ambito Operational Technology (OT) e Industrial Control System (ICS) – oggi – è più semplice parlarne, che metterla in pratica.

Leggi anche:  Sicurezza, le previsioni per il 2020: cambio di traiettoria nei cyber attacchi

Enzo M. Tieghi, socio e docente Clusit