Sicurezza dei sistemi di controllo industriale, ecco com’è andata nel 2017

di Domenico Barone, Tecnologie Sicurezza Industriale Srl, Milano

La cybersicurezza dei sistemi IACS è in continua evoluzione così come la casistica di incidenti connessi intenzionali e non. I rapporti emessi nel 2017 sugli incidenti avvenuti costituiscono un efficace riferimento per gli specialisti in materia.


Qui di seguito riportiamo le sintesi delle principali conclusioni di tre rapporti di recente pubblicazione: il Global Report 2017 “The state of industrial cybersecurity 2017” di Business Advantage; il “Rapporto Clusit 2018 sulla sicurezza ICT in Italia” e “Keeping America Safe: Toward more secure networks for critical sectors” del MIT Center for International Studies 2017.

I danni ammontano a 350 mila dollari per azienda

Secondo il Global Report 2017 “The state of industrial cybersecurity 2017”, i danni potenziali degli incidenti di cybersicurezza collegati ai sistemi IACS possono essere notevoli, spesso anche più importanti delle perdite finanziarie e di reputazione. Essi infatti possono causare morti e/o feriti, danni ambientali, sanzioni, perdite di produzione e/o di servizi, chiusura dell’attività.

Tutte le industrie, comprese quelle critiche quali le attività “Seveso”, sono generalmente interessate alla crescente conoscenza di tali rischi ed all’aggiornamento degli ultimi pericoli registrati. Nel maggio del 2017 il virus ransomware Wannacry ha coinvolto più di 200.000 sistemi in 150 paesi nel mondo; benché non progettato per attaccare i sistemi IACS, esso si è infiltrato nelle reti aziendali causando il blocco della produzione di due industrie automobilistiche quali Renault (Dacia) in Romania e Nissan in Inghilterra.


Un problema anche di organizzazione

Una ricerca indipendente è stata effettuata nel 2017 tra i professionisti della cybersicurezza relativa ai sistemi IACS per individuare le principali problematiche nelle loro organizzazioni. Sono state intervistate circa 350 persone in 21 paesi appartenenti a: industrie manifatturiere (56,9%), imprese edili e di ingegneria (19%), industrie petrolifere (11%). Il rimanente 14% è stato relativo a servizi ed energia, enti pubblici e/o governativi, ospedali, attività di spettacolo.

Questa ricerca ha rilevato che la cybersicurezza industriale e la tematica relativa ai sistemi IACS interessa su base costante tutte le industrie. Più del 50% delle imprese interessate ha sperimentato almeno un incidente negli ultimi 12 mesi. La perdita annua media cumulata è stata di circa 350.000 dollari e per le imprese più grandi (> 500 dipendenti) di circa 500.000 dollari. La maggior parte (71%) delle imprese più grandi ha riportato di aver avuto nell’ultimo periodo tra i 2 ed i 5 incidenti di cybersicurezza.

Secondo la ricerca i professionisti di cybersicurezza dei sistemi IACS sono consapevoli dei pericoli relativi ai loro sistemi, ma non sempre hanno buona comprensione degli stessi e generalmente non hanno piani chiari di come trattare tali tematiche.

La maggior parte (83%) delle organizzazioni si sente preparata a gestire tali rischi ma l’approccio complessivo corrente alla cybersicurezza del sistemi IACS appare “caotico”. Essendoci solo un limitato reporting obbligatorio per gli incidenti (solo 1 su 5 settori) il numero complessivo è sottostimato. Le imprese, soprattutto quelle non critiche, devono iniziare a sviluppare la consapevolezza della cybersicurezza industriale nelle loro organizzazioni attraverso la formazione ed addestramento di specialisti di IT (Information Technology) e OT (Operational Technology), ovvero devono attingere a professionisti esterni esperti.

I rischi di cybersicurezza industriale sono reali. La maggior parte degli esperti ritiene che gli ambienti industriali non siano adeguatamente protetti e che spesso le imprese sottostimino gli impatti dei rischi di cybersicurezza e intervengano/investano solo dopo un incidente. In realtà non sempre le imprese sono consapevoli se c’è stato un attacco ai loro sistemi IACS o perché l’attacco è stato così lieve/ subdolo o perché i controlli esistenti hanno intercettato con successo il pericolo.

I pericoli di cybersicurezza percepiti/reali nei sistemi IACS sono stati i seguenti:

Perc./reali
Incidenti dovuti a virus/malware convenzionali 56 – 53%
Pericoli da terzi 44 – 26%
Sabotaggio o danneggiamento intenzionale (esterno) 41 – 17%
Attacchi ransomware 33 – 44%
Attacchi mirati (APT spear phising) 32 – 36%
Errori operatori/azioni non intenzionali (interno) 31 – 29%
Sabotaggio o danneggiamento intenzionale (interno) 30 – 13%
Errori software industriale 19 – 21%
Guasti hardware 14 – 9 %

L’attuazione di misure efficaci per gestire i rischi ha riguardato:

Soluzioni antimalware per i punti terminali 67%
Prevenzione e rilevamento intrusioni 55%
Audit di cybersicurezza dei sistemi IACS 46%
Formazione/addestramento cybersicurezza 62%
Porte unidirezionali 50%
Scansione vulnerabilità/gestione aggiornamenti 48%
Controllo accessi apparecchiature 44%
Rilevamento anomalie 45%
Gestione/identificazione assetti IACS 46%
Applicazione whitelisting 44%

Le misure adottate sopradescritte non sono state sufficientemente robuste o non attuate correttamente dato che è risultato che il 55% delle imprese ha avuto almeno un incidente nell’ultimo anno.

La sicurezza perimetrale non basta

La cybersicurezza dei sistemi industriali non può essere affrontata con lo stesso approccio e la stessa metodologia utilizzata in ambito IT. I criteri di Riservatezza, Integrità, Disponibilità in ambito OT sono invertiti rispetto all’ambito IT. Le caratteristiche irrinunciabili OT sono Disponibilità ed Integrità, mentre la Riservatezza ha un ruolo meno importante.

E’ dimostrato che il semplice utilizzo di sistemi di sicurezza perimetrali progettati per le applicazioni IT tradizionali sia inefficace nel mondo OT in quanto non è agevole definire regole per connessione e filtraggio dati che possano essere valide per i sistemi industriali per i quali sono necessarie soluzioni ed approcci mirati. Molto spesso i sistemi IACS sono stati colpiti da attacchi che hanno sfruttato la vulnerabilità IT e che successivamente hanno avuto un impatto sul sistema SCADA (OT).

Una ricerca effettuata del SANS Institute nel 2017 ha rilevato che i componenti IACS percepiti a maggior rischio di compromissione ed impatto sono stati i seguenti:

Risorse computer (HMI, server, workstation) che utilizzano sistemi operativi commerciali (Windows, Linus, Unix) 70%
Apparecchiature rete.(Firewall, Switch, Router, Gateway) 27%
Regolatori o componenti integrati (es. PLC, DCS) 25%
Applicazioni sistemi di controllo 25%
Sistemi di accesso fisico 22%
Connessione alla rete in campo SCADA 28%
Connessione agli altri sistemi interni (reti ufficio) 43%
Apparecchiature accesso remoto, incluso modem 32%
Apparecchi comunicazione wireless e protocolli 28%
Dati storici impianto 18%
Dispositivi mobili 32%
OLE controllo processo 10%

Complessità e incapacità di gestione

Nella parte del report “Keeping America Safe: toward more secure networks for critical sectors”, che illustra i dati emersi in un workshop relativo al settore petrolifero Olio-Gas Naturale, emerge che il rischio di disponibilità del servizio dovuto alla cybersicurezza deriva principalmente da tre condizioni:

  1. Tecnologia (digitale) generale indebitamente complessa

I componenti disponibili sul mercato hanno sempre più funzionalità di quelle necessarie e/o richieste e quindi con funzionalità superflue maggiori vulnerabilità. I produttori vogliono componenti snelle con non più funzionalità di quelle necessarie per un particolare compito, ma tali componenti non sono disponibili sul mercato. I venditori trovano più profittevole vendere dispositivi generali ad un mercato ampio.

  1. Incapacità a rilevare rapidamente i malware

Codici utilizzabili travestiti sono facili da inserire in rete e molto difficili da scoprire. Il rischio di un codice maligno eseguibile è ampliato dal rischio della filiera di alimentazione ma è separato da essa. L’incapacità a rilevare più rapidamente i malware è causata dalla inabilità a: (i) visualizzare l’intera rete contemporaneamente e (ii) conoscere quale hardware e software sono operativi nella rete.

  1. Incapacità a contenere rapidamente l’impatto di un’area compromessa

L’incapacità a compartimentare l’impatto di un malware, ovvero il raggio di danno, dipende anche dal come sigillare rapidamente l’area compromessa della rete.

Conclusioni

Le misure adottate nel 2017 nel gestire I rischi di cybersicurezza dei sistemi IACS in circa 350 imprese distribuite in tutto il mondo ed in tutti i settori civili ed industriali non sono state in grado di evitare che il 50% di esse avesse almeno un incidente informatico negli ultimi 12 mesi. Il danno medio annuo cumulato è stato di 350.000 dollari.

Le misure più efficaci per la gestione dei rischi di cybersicurezza sono state le seguenti: (a) soluzioni antimalware, (b) formazione ed addestramento, (c) prevenzione e rilevamento intrusioni.

I componenti dei sistemi IACS percepiti a maggior rischio di compromissione ed impatto sono stati nel 2017: (i) risorse computer (HMI, server, workstation) che adottano sistemi operativi commerciali (Windows, Unix, Linus); (ii) connessioni ai sistemi interni (reti ufficio); (iii) apparecchiature rete (Firewall, switcher, router, gateway).

Il settore industriale italiano, impegnato nella integrazione delle reti IT/OT, non è abbastanza consapevole che la superficie degli attacchi informatici si sta ampliando.

Dal settore petrolifero Oil-Gas Naturale degli Usa è stato evidenziato che le difficoltà operative connesse alla cybersicurezza dei sistemi IACS sono dovute a: (a) tecnologia digitale di uso generale indebitamente complessa; (b) incapacità a rilevare rapidamente i malware; (c) incapacità a compartimentare rapidamente un’area di rete compromessa.

Franco Canna

Giornalista professionista ed esperto in creazione e gestione di contenuti digitali e social media. Grande appassionato di tecnologia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende. E’ segretario e membro del Consiglio Direttivo della sezione milanese di ANIPLA, l’Associazione Nazionale Italiana per l’Automazione.

Franco Canna has 713 posts and counting. See all posts by Franco Canna

Un pensiero riguardo “Sicurezza dei sistemi di controllo industriale, ecco com’è andata nel 2017

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Pin It on Pinterest