Ogni giorno che passa i riflettori sono sempre più puntati sulla cyber security applicata ai sistemi di controllo industriale (ICS): recentemente ha iniziato a circolare un nuovo ransomware denominato EKANS che ha la capacità di terminare alcuni processi di applicazioni ICS per poi criptare i file da loro utilizzati.
Ciò significa che malware di questo tipo potrebbero addirittura interrompere i processi produttivi delle aziende creando danni gravi e non solo economici. Tutto ciò ci conduce ad alcune riflessioni sulla relazione che intercorre tra cyber security e safety.
Indice degli argomenti
Differenza tra security e safety
Nella lingua italiana utilizziamo un unico vocabolo per definire una condizione che consente di ridurre o eliminare pericoli, danni e rischi: sicurezza. La lingua inglese ci permette invece di fare delle distinzioni.
Con il termine “security” gli anglosassoni indicano la protezione di individui, organizzazioni o asset da minace esterne. Ad esempio, la locuzione cyber security si riferisce alle pratiche e agli strumenti atti a proteggere gli strumenti informatici da attacchi esterni.
Il termine “safety” concerne invece una condizione che permette di essere protetti da ciò che può causare danno e, a volte, provocare la perdita di vite umane.
Per chiarire quest’ultimo concetto, si potrebbe pensare allo stato di sicurezza ottenuto tramite SIS (Safety Instrumented System), un sistema di sicurezza strumentale che tramite sensori, PLC (Programmable Logic Controller) e attuatori impedisce, ad esempio, che in un ambiente in cui avviene una reazione chimica si oltrepassi una certa pressione che potrebbe causare pericolose esplosioni con tragiche conseguenze.
Correlazione tra security e safety
Oggi i processi industriali devono raggiungere obiettivi sempre più elevati di produttività e quindi di efficienza. Spesso è richiesto anche che il loro monitoraggio e controllo siano distribuiti in diversi siti (si pensi ad esempio alle reti di distribuzione del gas o dell’energia elettrica).
Per queste e altre ragioni, in ambito OT (Operational Technologies) si fa sempre più uso di strumenti informatici interconnessi (ad es. gli Historians che registrano modifiche e variabili dei processi e gli ERP o Enterprise Resource Planning), di sistemi operativi comuni come Unix e Windows e di interconnessioni wireless.
Ciò significa che oggi, rispetto a ieri, sono aumentati sia la superficie sia i vettori d’attacco e di conseguenza i processi produttivi possono essere pericolosamente modificati o interrotti con attacchi di tipo cyber.
Immaginiamo quindi cosa potrebbe accadere se qualche organizzazione hacker criminale, magari supportata da uno Stato, riuscisse a bloccare la distribuzione dell’energia elettrica di una città o di un’intera zona. O cosa potrebbe accadere se qualcuno riuscisse a modificare il processo di controllo delle acque reflue di una città immettendole in un fiume prima che vengano trattate e depurate.
Questi esempi, che si riferiscono a fatti realmente accaduti, ci permettono di comprendere chiaramente la correlazione tra security e safety. Così, se in ambito IT ci si preoccupa, nell’ordine, di Confidentiality, Integrity e Availability (CIA), nel perimetro OT si dà priorità all’Availability per poi preoccuparsi di Integrity e Confidentiality. Forse, però, in quest’ultimo ambito sarebbe meglio parlare di “SRP”, ovvero di Safety, Reliability e Productivity.
È facile a questo punto capire che:
- la cyber security in ambito IT rende più difficile l’accesso non autorizzato anche ai sistemi di controllo industriale;
- la cyber security in ambito ICS/OT serve principalmente a rendere più sicuro sia l’ambiente di lavoro nelle industrie ma anche il mondo in cui viviamo neutralizzando eventuali tentativi di hacking (malware, DDoS, Man-in-the-Middle ecc.).
Ciò significa che i dipartimenti IT e OT di un’azienda non devono ritenersi rivali, anzi il dialogo e la collaborazione tra i due sono fondamentali. Una recente serie di standard può aiutare entrambi i dipartimenti a comprendere le peculiarità e le esigenze specifiche della cyber security per ICS.
Lo standard ISA/IEC 62443
L’International Society of Automation (ISA) e l’International Electrotechnical Commission (IEC) hanno sviluppato una serie di standard e rapporti tecnici racchiusi sotto la denominazione ISA/IEC 62443.
Il loro obiettivo è quello di aiutare le industrie a gestire il rischio cyber e preservare la safety dei dipendenti e/o dei cittadini, preservare l’ambiente, evitare alle aziende perdite economiche e danni d’immagine e impedire il furto di informazioni riservate.
ISA/IEC 62443, tra i molteplici temi trattati, mette in guardia dalla mera protezione perimetrale sottolineando l’importanza di applicare un modello di difesa in profondità o defense in depth abbinato a delle soluzioni di detection in depth e di rendere la rete più sicura già in fase di progettazione (security by design).
Cyber security e safety: il modello defense in depth
Non è sufficiente installare un firewall per sentirsi sicuri, ma è necessario lavorare su vari strati (layers) che coinvolgono le persone, le policy e la tecnologia (PPT: People, Policies, Technology). Una buona difesa in profondità prevede:
- policy e procedure idonee
- accessi sicuri tramite VPN
- firewalls
- zone demilitarizzate (DMZ)
- account management
- role-based access control
- change management
- Virus scanner
Cyber security e safety: soluzioni detection in depth
È anche importante installare dei sistemi che permettano di rilevare eventi e attività anomale segnalandole per tempo tramite allarmi. Alcune anomalie che è necessario rilevare sono:
- protocolli inusuali
- traffico anomalo per tipologia, volume o perché diretto verso indirizzi IP o MAC inusuali
- nuovi apparati o apparati mancanti
- aggiornamenti mancanti
A questo riguardo sono diverse le aziende che hanno sviluppato soluzioni innovative, basate su machine learning e behavior analysis, che permettono di rilevare eventuali anomalie specifiche per il mondo ICS.
Il concetto di Zones & Conduits
Gli standard ISA/IEC 62443, tenendo presente l’importanza di considerare la sicurezza della rete già in fase di progettazione, evidenziano anche il concetto di “Zones & Conduits”. Per “zone” si intende un gruppo di asset logici o fisici accomunati dai medesimi requisiti di sicurezza. Per “conduit” si intende invece il gruppo di asset su cui transitano le comunicazioni tra “zone”. Ogni “zone” e “conduit” deve avere un proprio livello target di sicurezza che deve essere garantito da ogni elemento che la compone.
Certo, implementare elevati standard di cyber security in ambito ICS richiede risorse, per questa ragione il management deve avere la convinzione che ne vale la pena e che i danni che derivano da un eventuale attacco sarebbero decisamente più costosi, spesso non solo in termini economici.
