I sistemi ICS (Industrial Control System) consentono di gestire al meglio i processi fisici all’interno sia della catena produttiva sia di settori industriali specifici come l’Oil&Gas e le centrali e reti elettriche, ma anche di autostrade, porti, aeroporti e stazioni ferroviarie. In poche parole, sono alla base di quelle che – a ragione – vengono definite infrastrutture critiche.
Infrastrutture critiche che, per la loro stessa natura, richiedono un elevato livello di visibilità e trasparenza a livello di controllo, ma soprattutto a livello di sicurezza, vista l’importanza strategica. Non è un caso se negli ultimi anni i criminal hacker hanno iniziato a prendere di mira i sistemi ICS con frequenza sempre maggiore mediante attacchi informatici potenti e mirati in grado di mettere in ginocchio intere nazioni. Il malware GreyEnergy, già analizzato su Cybersecurity360 e capace di “spegnere” le centrali elettriche è solo l’ultimo di una lunga lista di queste armi di cyber sabotaggio.
Una vulnerabilità, quella dei sistemi ICS, dovuta in parte anche alla sempre maggiore integrazione con i sistemi IT implementati negli uffici aziendali (a differenza di un tempo in cui i dispositivi ICS utilizzavano protocolli proprietari considerati da molti a prova di hacker e venivano tenuti separati dal resto della rete aziendale). Questa convergenza, accelerata anche dall’aumento dei costi di manutenzione e messa in sicurezza delle reti ICS legacy, ma anche dalla sempre maggiore richiesta di accesso remoto ai sistemi e ai dispositivi ICS, ha richiesto l’adozione di nuovi criteri di impostazione delle reti ICS e delle interfacce aziendali che impongono un sistema di difesa più profondo e pervasivo.
Ecco perché i firewall devono ormai diventare parte integrante di una buona strategia di sicurezza.
È quello che si evince dall’articolo Sistemi di controllo industriali (ICS) più sicuri grazie ai firewall di ZeroUno in cui viene analizzato il documento Firewall Deployment for SCADA and Process Control Networks pubblicato dall’U.K. Centre for the Protection of National Infrastructure (CPNI) in cui si ricorda che un firewall è “… un meccanismo utilizzato per controllare e monitorare il traffico da e verso una rete, allo scopo di proteggere i dispositivi, parametrando il traffico a criteri di sicurezza predefiniti, scartando i messaggi che non soddisfano le policy definite”.
Grazie alla sua funzione di protezione tra le diverse zone delle reti aziendali, un firewall ben configurato e correttamente “posizionato”, magari specifico per sistemi ICS e quindi dotato di funzionalità per l’ispezione approfondita dei pacchetti e controlli di configurazione dei protocolli ICS, consente di:
- autenticare gli utenti prima che sia consentito loro l’accesso;
- bloccare tutte le comunicazioni tra dispositivi (ad eccezione di pacchetti o applicazioni specificamente abilitati);
- imporre l’autorizzazione per ogni flusso di destinazione;
- stabilire la separazione dei domini;
- monitorare e registrare eventi di sistema;
- monitorare il traffico in ingresso e in uscita, disabilitando le comunicazioni non autorizzate;
- consentire agli ICS di implementare politiche operative appropriate che potrebbero non essere appropriate in una rete IT (un esempio è il divieto di comunicazioni meno sicure, come può essere la posta elettronica).
L’adozione di un firewall a difesa della rete aziendale, però, non deve far dimenticare che una buona pratica per migliorare la sicurezza informatica dei sistemi di controllo industriali sia quella di non dare per scontato che l’implementazione di una DMZ sia una panacea per prevenire la minaccia di soggetti capaci di penetrare in profondità negli ambienti critici.
