Adesso il Mes ha paura


Gli attacchi informatici non si limitano più alle strutture ICT o al furto dei dati, ma prendono di mira anche i sistemi di gestione e controllo automatizzati, con particolare interesse per le infrastrutture critiche

 

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

È ormai trascorso un anno da quando il worm StuxNet divenne famoso, in tutto il mondo, per aver violato i sistemi Scada utilizzati nel controllo delle centrali nucleari iraniane. Già in passato Stati Uniti e Israele ammisero di aver promosso un programma di sabotaggio dei siti atomici iraniani. Ma mai la possibilità di simile attacco sembrava essersi concretizzata.

StuxNet ha invece segnato un punto di svolta, mostrando al mondo la vulnerabilità dei sistemi di gestione e controllo delle infrastrutture strategiche, sinora ritenute inviolabili o, comunque, non obiettivo di attacchi.

In realtà un simile rischio era stato preso in seria considerazione dal presidente degli Stati Uniti Barack Obama che, poco dopo il suo insediamento, varò nuove misure per garantire maggior sicurezza nel cyberspazio. Un’iniziativa tesa a evitare che un attacco virtuale potesse creare situazioni di pericolo reale. Del resto il cyberterrorismo è oggi considerato uno dei principali rischi segnalati dai servizi segreti. Al punto che non è più sufficiente limitarsi a proteggere fisicamente gli impianti cosiddetti sensibili, ma è necessario studiare anche adeguate protezioni contro i rischi provenienti dalla rete.

È difficile conoscere dati sugli attacchi scatenati nei confronti delle aziende che, ovviamente, non hanno nessun interesse a dare rilevanza all’accaduto. Di contro, quando simili situazioni coinvolgono impianti pubblici e, soprattutto, le grandi infrastrutture, risulta difficile nascondere l’evidenza, anche se raramente i responsabili ammettono le carenze del sistema, preferendo parlare di generici guasti tecnici. Come accadde nel gennaio del 2007, quando “problemi di comunicazione” con i sistemi Scada per la distribuzione dell’acqua a Fort Worth, negli Usa, provocarono otto ore di sospensione nella fornitura di acqua potabile. Ancor più eclatante quanto avvenuto, nei primi mesi del 2000 in Olanda. In quell’occasione, per vendicarsi del licenziamento, un ex dipendente di Hunter Watertech, un gestore olandese del servizio idrico, manipolò per 46 volte il sistema di controllo, disperdendo nell’ambiente quasi un milione di litri di acque reflue.

 

Un rischio che cresce

Questi eventi, ancora poco noti al grande pubblico, stanno diventando l’incubo di molti responsabili aziendali e di grandi infrastrutture, che vedono i propri impianti esposti a un rischio crescente e sinora sconosciuto nell’ambito dell’automazione. In passato, infatti, questo settore utilizzava protocolli proprietari e noti a un ristretto gruppo di esperti. Inoltre le connessioni a Internet erano quasi inesistenti e le probabilità di essere attaccati decisamente limitate. Negli ultimi anni, al contrario, è sempre più sfruttato il protocollo Ethernet, che offre indubbi vantaggi, ma espone anche a tutti i rischi che, sinora, hanno caratterizzato solo l’ICT. Rischi ulteriormente aumentati dalla diffusione dei sistemi Mes (Manufacturing Execution Systems) che comportano un continuo scambio di dati tra il livello produttivo e quello gestionale di un impianto.

Leggi anche:  Auto connesse: tutti i rischi cyber dei prossimi anni

Alexander Moiseev, managing director di Kaspersky Lab (www.kaspersky.com/it), non vede un particolare aumento dei rischi: «Il fattore sicurezza non è legato direttamente all’introduzione di Mes. I sistemi Mes, come molti altri mezzi di automatizzazione, rappresentano un interesse per il mondo criminale e quindi sono soggetti a minacce informatiche».

Più preoccupato appare invece Roberto Motta, local business leader IA Italian Region di Rockwell Automation (www.rockwellautomation.com), secondo il quale, con l’introduzione del Mes, le reti di automazione industriale sono meno sicure rispetto al passato. Per questo ritiene necessario «applicare alcuni concetti di security che si stanno affermando anche per il comparto automazione, portando all’applicazione di prodotti e servizi a supporto di un’architettura di difesa in profondità su livelli multipli. Lo scopo è quello di limitare/gestire l’accesso di utenti e computer ai dispositivi di controllo, alle applicazioni software e alle reti di automazione. Concetti relativamente nuovi per il comparto, anche se il livello di percezione dei rischi informatici appare in forte crescita presso i comparti di automazione, a seguito della sempre più diffusa presa di coscienza che la vulnerabilità dei software aziendali è divenuta lo strumento preferito dagli intrusi che vogliano accedere fino ai sistemi di automazione. Il secondo fattore che ha portato a incrementare questa percezione di rischio potenziale è la diffusione, anche al livello di fabbrica, di Ethernet, dei protocolli TCP/UDP/IP e di un sistema di cablaggio comune a tutti i livelli di comunicazione (dal sensore a Internet): il rischio potenziale di collegare un cavo RJ-45 “ovunque” può divenire un problema di sicurezza informatica reale!».

Un’opinione condivisa anche da Enzo Maria Tieghi, amministratore delegato di ServiTecno (www.servitecno.it), l’azienda che distribuisce i prodotti software di GE Intelligent Platforms (www.ge-ip.it): «La connessione di reti e sistemi industriali alla rete aziendale e a Internet allarga il perimetro, esponendoli a vulnerabilità e minacce finora sconosciute. Non dimentichiamo, però, che StuxNet ha infettato i sistemi di controllo Siemens tramite chiavette Usb e non è stato il solo problema in questi ultimi anni. Conoscere e seguire lo standard ISA99 è un buon inizio per proteggere reti e sistemi in fabbrica. Politiche, procedure, organizzazione e tecnologie possono aiutare molto, ma non dimentichiamoci che l’anello debole è quasi sempre il fattore umano».

 

Chi ci difende

I problemi di security, sinora affrontati da esperti informatici, diventano prioritari anche nel mondo dell’automazione. Un settore in cui sono maturate competenze completamente diverse e che, quasi improvvisamente, deve confrontarsi con una serie di rischi poco conosciuti e non affrontabili con gli strumenti tradizionali. Per questa ragione, secondo Moiseev (Kaspersky Lab), è necessario un approccio completamente nuovo già in fase progettuale: «Il primo passo nell’implementazione dei sistemi Mes è la progettazione intelligente, che deve escludere una gran parte di rischi. In base alle necessità deve essere minimizzato, o preferibilmente escluso, l’accesso diretto alla rete pubblica. In una seconda fase è importante creare un set di procedure di controllo e autorizzazione che permetta di definire il modo di implementazione del perimetro di sicurezza».

Leggi anche:  Come il “CISO as a Service” può sostenere la cyber-resilienza delle aziende anche nell’era della GenAI

Anche per questa ragione Motta (Rockwell Automation) spiega che «la sicurezza dovrebbe essere intesa nella sua globalità, senza soluzione di continuità fra comparto IT e automazione. Tipicamente si vuole garantire un accesso remoto sicuro per dipendenti e fornitori di fiducia senza rinunciare a rispondere alle esigenze di sicurezza».

Tieghi (ServiTecno) ritiene invece essenziale far crescere il numero di veri esperti, specializzati nei propri ambiti e in specifici settori: «All’interno delle aziende più “convinte” sul tema security ci sono persone con skill adeguati, sia nei reparti IT che in produzione. Possono inoltre contare su “Presidi Tecnologici” distribuiti sulle reti: questi permettono di effettuare un monitoraggio costante sullo “stato di salute” delle reti stesse e dei loro componenti, disponendo di “early warning” su eventuali problemi».

 

Ma rischiamo davvero?

Al di là delle contromisure, ci si chiede quali siano le conseguenze reali di questa situazione. Una risposta arriva dallo stesso Tieghi (ServiTecno): «La rete e i computer da soli non fanno niente, non producono e non erogano servizi. Il rischio maggiore lo si corre con la perdita di controllo del processo gestito dai sistemi. In questo caso le conseguenze possono essere diverse: dalla mancata e/o difettosa produzione, alla sospensione di un servizio, a rischi per l’incolumità di operatori, danni all’impianto stesso o all’ambiente circostante». Conseguenze da brividi, perché non è messa a repentaglio solo un’azienda e il suo personale, ma persino i singoli cittadini, con scenari difficilmente prevedibili. Anche per questa ragione Moiseev (Kaspersky Lab), preferisce non indicare le conseguenze, ma soffermarsi sulla spiegazione tecnica dei possibili scenari, sottolineando come il pericolo maggiore sia rappresentato dal fatto che, contrariamente a quanto avviene nell’ICT, il vero obiettivo dell’attacco non è il sistema di controllo, che rappresenta invece uno strumento per ottenere effetti a valle dello stesso: «Il rischio principale, basandosi sull’esperienza di StuxNet, è il server di “pilotaggio”. Sui maggiori sistemi Mes la catena viene controllata da apparati hardware, che ricevono le mappature di elaborazione dal server di controllo. Proprio questo è il punto debole: non è un codice malware per il Pc classico, almeno nella parte che si dovrebbe eseguire sul Plc, perché non lo porta a un comportamento anomalo. La verifica a livello del Plc diventa così molto difficile, per non dire impossibile, visto lo spazio dati disponibile».

 

Cosa si sta facendo?

A fronte di questi rischi sarebbe legittimo attendersi che tutti i responsabili di infrastrutture critiche abbiano adottato efficaci misure per prevenire possibili attacchi e danni ai propri sistemi di controllo e supervisione. Un’aspettativa smentita da un recente report firmato da McAfee (www.macafee.com/it) a Csis (Center for Strategic and International Studies). Dall’indagine, che ha coinvolto 200 responsabili della sicurezza IT di aziende nel settore delle infrastrutture elettriche in 14 nazioni, emerge come il 30% degli intervistati ritenga la propria azienda “non preparata a fronteggiare adeguatamente un attacco cybernetico significativo”. Un attacco che, tra l’altro, il 40% dei responsabili teme possa verificarsi entro il prossimo anno.

Leggi anche:  Westcon-Comstor è il primo distributore a fornire i servizi Zscaler

Lo stesso Tieghi (ServiTecno) conferma che anche in Italia si sta facendo troppo poco: «In molti casi le aziende non sanno nemmeno quantificare la propria esposizione al rischio».

Un’analisi condivisa da Moiseev (Kaspersky Lab): «Il rischio di un set di comandi sbagliati o intenzionalmente sbagliati è sempre esistito. Gli episodi accaduti ultimamente mettono però in evidenza la facilità di inserimento e di distribuzione di tali codici. Quest’ultimo messaggio non è così evidente per molti produttori. Perché, comprando una soluzione “chiavi in mano”, si pretende che anche la sicurezza sia inclusa, una cosa che non é necessariamente vera».

 

Cosa fare?

Anche se i tempi necessari per prendere consapevolezza dei rischi in cui può incorrere un’azienda appaiono ancora lunghi, i nostri interlocutori guardano avanti, suggerendo una serie di contromisure immediate. Per tale ragione Moiseev (Kaspersky Lab) indica la necessità di creare «indipendenza del perimetro dalla rete pubblica, sistemi di sicurezza software aggiornati e politiche interne che non permettano al personale l’utilizzo dei sistemi in modo improprio. Oltre ad adottare il classico set di consigli al “survivor” nella rete Internet».

Motta (Rockwell Automation) prende invece spunto dall’architettura tipica dei sistemi di automazione: «Sulla base di un modello a più livelli, il nostro approccio alla sicurezza informatica può essere così riassunto: salvaguardare potenziali “bersagli” con livelli multipli di protezione per ridurre i rischi; difesa in profondità, utilizzando più contromisure di sicurezza per proteggere l’integrità di componenti o sistemi; apertura, cioè disporre di una varietà di fornitori per le nostre soluzioni di sicurezza; flessibilità, per soddisfare le esigenze di un cliente, comprendendo policy e procedure; coerenza, soluzioni che si allineano a direttive di governo e degli organismi di formazione».

Anche per Tieghi (ServiTecno), in conclusione, proprio la suddivisione rappresenta lo strumento di difesa prioritario: «Il primo suggerimento che mi viene in mente è il “seg-seg”: segmentare e segregare, come suggerito dallo standard ISA99. Un paio di anni fa abbiamo stilato un decalogo per la security industriale per le aziende di produzione del settore life-science e l’anno scorso abbiamo curato l’edizione italiana del report Tno dal titolo “Scada Security Good Practices”, pensato per le utility. La bottom-line è sempre la stessa: competenza specifica (ricordiamoci che la IT security è diversa dalla security industriale), buonsenso, documentazione, rispetto delle regole e tecnologia dedicata».