Sicurezza dei sistemi di controllo industriale, ecco com’è andata nel 2017

Pubblicato il 28 Mar 2018

cyber-warfare

di Domenico Barone, Tecnologie Sicurezza Industriale Srl, Milano

La cybersicurezza dei sistemi IACS è in continua evoluzione così come la casistica di incidenti connessi intenzionali e non. I rapporti emessi nel 2017 sugli incidenti avvenuti costituiscono un efficace riferimento per gli specialisti in materia.

Qui di seguito riportiamo le sintesi delle principali conclusioni di tre rapporti di recente pubblicazione: il Global Report 2017 “The state of industrial cybersecurity 2017” di Business Advantage; il “Rapporto Clusit 2018 sulla sicurezza ICT in Italia” e “Keeping America Safe: Toward more secure networks for critical sectors” del MIT Center for International Studies 2017.

I danni ammontano a 350 mila dollari per azienda

Secondo il Global Report 2017 “The state of industrial cybersecurity 2017”, i danni potenziali degli incidenti di cybersicurezza collegati ai sistemi IACS possono essere notevoli, spesso anche più importanti delle perdite finanziarie e di reputazione. Essi infatti possono causare morti e/o feriti, danni ambientali, sanzioni, perdite di produzione e/o di servizi, chiusura dell’attività.

Tutte le industrie, comprese quelle critiche quali le attività “Seveso”, sono generalmente interessate alla crescente conoscenza di tali rischi ed all’aggiornamento degli ultimi pericoli registrati. Nel maggio del 2017 il virus ransomware Wannacry ha coinvolto più di 200.000 sistemi in 150 paesi nel mondo; benché non progettato per attaccare i sistemi IACS, esso si è infiltrato nelle reti aziendali causando il blocco della produzione di due industrie automobilistiche quali Renault (Dacia) in Romania e Nissan in Inghilterra.

Un problema anche di organizzazione

Una ricerca indipendente è stata effettuata nel 2017 tra i professionisti della cybersicurezza relativa ai sistemi IACS per individuare le principali problematiche nelle loro organizzazioni. Sono state intervistate circa 350 persone in 21 paesi appartenenti a: industrie manifatturiere (56,9%), imprese edili e di ingegneria (19%), industrie petrolifere (11%). Il rimanente 14% è stato relativo a servizi ed energia, enti pubblici e/o governativi, ospedali, attività di spettacolo.

Questa ricerca ha rilevato che la cybersicurezza industriale e la tematica relativa ai sistemi IACS interessa su base costante tutte le industrie. Più del 50% delle imprese interessate ha sperimentato almeno un incidente negli ultimi 12 mesi. La perdita annua media cumulata è stata di circa 350.000 dollari e per le imprese più grandi (> 500 dipendenti) di circa 500.000 dollari. La maggior parte (71%) delle imprese più grandi ha riportato di aver avuto nell’ultimo periodo tra i 2 ed i 5 incidenti di cybersicurezza.

Secondo la ricerca i professionisti di cybersicurezza dei sistemi IACS sono consapevoli dei pericoli relativi ai loro sistemi, ma non sempre hanno buona comprensione degli stessi e generalmente non hanno piani chiari di come trattare tali tematiche.

La maggior parte (83%) delle organizzazioni si sente preparata a gestire tali rischi ma l’approccio complessivo corrente alla cybersicurezza del sistemi IACS appare “caotico”. Essendoci solo un limitato reporting obbligatorio per gli incidenti (solo 1 su 5 settori) il numero complessivo è sottostimato. Le imprese, soprattutto quelle non critiche, devono iniziare a sviluppare la consapevolezza della cybersicurezza industriale nelle loro organizzazioni attraverso la formazione ed addestramento di specialisti di IT (Information Technology) e OT (Operational Technology), ovvero devono attingere a professionisti esterni esperti.

I rischi di cybersicurezza industriale sono reali. La maggior parte degli esperti ritiene che gli ambienti industriali non siano adeguatamente protetti e che spesso le imprese sottostimino gli impatti dei rischi di cybersicurezza e intervengano/investano solo dopo un incidente. In realtà non sempre le imprese sono consapevoli se c’è stato un attacco ai loro sistemi IACS o perché l’attacco è stato così lieve/ subdolo o perché i controlli esistenti hanno intercettato con successo il pericolo.

I pericoli di cybersicurezza percepiti/reali nei sistemi IACS sono stati i seguenti:

Perc./reali
Incidenti dovuti a virus/malware convenzionali56 – 53%
Pericoli da terzi44 – 26%
Sabotaggio o danneggiamento intenzionale (esterno)41 – 17%
Attacchi ransomware33 – 44%
Attacchi mirati (APT spear phising)32 – 36%
Errori operatori/azioni non intenzionali (interno)31 – 29%
Sabotaggio o danneggiamento intenzionale (interno)30 – 13%
Errori software industriale19 – 21%
Guasti hardware14 – 9 %

L’attuazione di misure efficaci per gestire i rischi ha riguardato:

Soluzioni antimalware per i punti terminali67%
Prevenzione e rilevamento intrusioni55%
Audit di cybersicurezza dei sistemi IACS46%
Formazione/addestramento cybersicurezza62%
Porte unidirezionali50%
Scansione vulnerabilità/gestione aggiornamenti48%
Controllo accessi apparecchiature44%
Rilevamento anomalie45%
Gestione/identificazione assetti IACS46%
Applicazione whitelisting44%

Le misure adottate sopradescritte non sono state sufficientemente robuste o non attuate correttamente dato che è risultato che il 55% delle imprese ha avuto almeno un incidente nell’ultimo anno.

La sicurezza perimetrale non basta

La cybersicurezza dei sistemi industriali non può essere affrontata con lo stesso approccio e la stessa metodologia utilizzata in ambito IT. I criteri di Riservatezza, Integrità, Disponibilità in ambito OT sono invertiti rispetto all’ambito IT. Le caratteristiche irrinunciabili OT sono Disponibilità ed Integrità, mentre la Riservatezza ha un ruolo meno importante.

E’ dimostrato che il semplice utilizzo di sistemi di sicurezza perimetrali progettati per le applicazioni IT tradizionali sia inefficace nel mondo OT in quanto non è agevole definire regole per connessione e filtraggio dati che possano essere valide per i sistemi industriali per i quali sono necessarie soluzioni ed approcci mirati. Molto spesso i sistemi IACS sono stati colpiti da attacchi che hanno sfruttato la vulnerabilità IT e che successivamente hanno avuto un impatto sul sistema SCADA (OT).

Una ricerca effettuata del SANS Institute nel 2017 ha rilevato che i componenti IACS percepiti a maggior rischio di compromissione ed impatto sono stati i seguenti:

Risorse computer (HMI, server, workstation) che utilizzano sistemi operativi commerciali (Windows, Linus, Unix)70%
Apparecchiature rete.(Firewall, Switch, Router, Gateway)27%
Regolatori o componenti integrati (es. PLC, DCS)25%
Applicazioni sistemi di controllo25%
Sistemi di accesso fisico22%
Connessione alla rete in campo SCADA28%
Connessione agli altri sistemi interni (reti ufficio)43%
Apparecchiature accesso remoto, incluso modem32%
Apparecchi comunicazione wireless e protocolli28%
Dati storici impianto18%
Dispositivi mobili32%
OLE controllo processo10%

Complessità e incapacità di gestione

Nella parte del report “Keeping America Safe: toward more secure networks for critical sectors”, che illustra i dati emersi in un workshop relativo al settore petrolifero Olio-Gas Naturale, emerge che il rischio di disponibilità del servizio dovuto alla cybersicurezza deriva principalmente da tre condizioni:

  1. Tecnologia (digitale) generale indebitamente complessa

I componenti disponibili sul mercato hanno sempre più funzionalità di quelle necessarie e/o richieste e quindi con funzionalità superflue maggiori vulnerabilità. I produttori vogliono componenti snelle con non più funzionalità di quelle necessarie per un particolare compito, ma tali componenti non sono disponibili sul mercato. I venditori trovano più profittevole vendere dispositivi generali ad un mercato ampio.

  1. Incapacità a rilevare rapidamente i malware

Codici utilizzabili travestiti sono facili da inserire in rete e molto difficili da scoprire. Il rischio di un codice maligno eseguibile è ampliato dal rischio della filiera di alimentazione ma è separato da essa. L’incapacità a rilevare più rapidamente i malware è causata dalla inabilità a: (i) visualizzare l’intera rete contemporaneamente e (ii) conoscere quale hardware e software sono operativi nella rete.

  1. Incapacità a contenere rapidamente l’impatto di un’area compromessa

L’incapacità a compartimentare l’impatto di un malware, ovvero il raggio di danno, dipende anche dal come sigillare rapidamente l’area compromessa della rete.

Conclusioni

Le misure adottate nel 2017 nel gestire I rischi di cybersicurezza dei sistemi IACS in circa 350 imprese distribuite in tutto il mondo ed in tutti i settori civili ed industriali non sono state in grado di evitare che il 50% di esse avesse almeno un incidente informatico negli ultimi 12 mesi. Il danno medio annuo cumulato è stato di 350.000 dollari.

Le misure più efficaci per la gestione dei rischi di cybersicurezza sono state le seguenti: (a) soluzioni antimalware, (b) formazione ed addestramento, (c) prevenzione e rilevamento intrusioni.

I componenti dei sistemi IACS percepiti a maggior rischio di compromissione ed impatto sono stati nel 2017: (i) risorse computer (HMI, server, workstation) che adottano sistemi operativi commerciali (Windows, Unix, Linus); (ii) connessioni ai sistemi interni (reti ufficio); (iii) apparecchiature rete (Firewall, switcher, router, gateway).

Il settore industriale italiano, impegnato nella integrazione delle reti IT/OT, non è abbastanza consapevole che la superficie degli attacchi informatici si sta ampliando.

Dal settore petrolifero Oil-Gas Naturale degli Usa è stato evidenziato che le difficoltà operative connesse alla cybersicurezza dei sistemi IACS sono dovute a: (a) tecnologia digitale di uso generale indebitamente complessa; (b) incapacità a rilevare rapidamente i malware; (c) incapacità a compartimentare rapidamente un’area di rete compromessa.

Valuta la qualità di questo articolo

Franco Canna
Franco Canna

Fondatore e direttore responsabile di Innovation Post. Grande appassionato di tecnologia, laureato in Economia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende.

email Seguimi su

Articoli correlati

Articolo 1 di 3