I sistemi e le infrastrutture “mission critical” hanno particolari e specifiche esigenze operative, di performance, di sicurezza, affidabilità e qualità del servizio che dovrebbero restare tali sotto ogni condizione operativa.
Gli attacchi cyber possono interferire in questi contesti con conseguenze rovinose e fino a incidere sulle vite umane. Il loro funzionamento deve garantire tre proprietà chiave, indicate collettivamente come S3: sicurezza per la prevenzione dei pericoli; sicurezza per la garanzia di integrità, autenticità e riservatezza delle informazioni; e sostenibilità nel senso di mantenimento del funzionamento a lungo termine utilizzando appropriate fonti di energia.
Ne parliamo con Marcello Forti, VP Sales Southern Europe di Adtran.
Indice degli argomenti
Introduzione alle infrastrutture mission critical
Il termine “mission critical” si applica a qualsiasi attività, sistema o infrastruttura il cui guasto può comportare il fallimento delle operazioni di un’organizzazione. A seconda dell’organizzazione, le conseguenze del fallimento possono essere ampie, molto ampie, rovinose, fino al caso Cigno nero (un evento raro, inatteso, improbabile, imprevedibile e dagli effetti dirompenti – Taleb Nassim n.d.r.).
Sono molti i fattori che possono influire sulle operazioni mission critical: guasti hardware o software, problemi di comunicazione di rete, danni accidentali o interruzioni, disastri naturali di vario genere e naturalmente ultimi, ma non meno importanti, i danni deliberati, come gli attacchi informatici.
Dal 2000 gli attacchi di quest’ultimo tipo ai sistemi industriali sono aumentati di dieci volte. L’aumento è in parte conseguenza diretta del peggioramento degli scenari di attacco su scala mondiale e in parte è legato ai progressi digitali applicati ai sistemi di controllo, che ne consentono l’integrazione nell’ambiente aziendale: la maggiore connettività da lato ha abilitato capacità e dall’altro ha messo in luce nuove vulnerabilità che gli aggressori possono prendere di mira.
Ne abbiamo parlato con Marcello Forti VP Sales Southern Europe di Adtran che opera in questo tipo di settori. Ci spiega che: “il quid soggetto a criticità in una infrastruttura di questo tipo è il dato digitale. I dati trasportati in queste infrastrutture sono critici per l’utente finale, per una azienda o una infrastruttura pubblica critica (PA o Difesa). Proteggere i dati in transito durante una comunicazione digitale è cruciale. Ma è ancora più cruciale quando la comunicazione è soggetta alla sincronizzazione dei due lati comunicanti”.
“Prendiamo, ad esempio, una rete mission critical che per funzionare si appoggi ad una rete satellitare come il segnale GPS”, continua ancora Forti: “la protezione di quest’ultimo non si può dare sempre per scontata. In effetti, la sincronizzazione alla rete satellitare può essere manipolata con conseguenze impattanti per le reti che vi fanno affidamento. Un’interruzione del segnale causerebbe una negazione di servizio. Esempi di reti che si sincronizzano con il satellite, sono le reti 5G. Altri settori che ne fanno uso si trovano nell’ambito finanziario: alcune regolamentazioni, infatti, richiedono di tracciare le transazioni finanziarie ai fini della trasparenza e quindi i diversi passaggi di transazione devono avere un ‘time stamp’ (letteralmente un timbro orario n.d.r.) con una precisione accurata. Un ulteriore esempio è nel mercato utilities in cui si rende necessario sincronizzare la telemetria perché sia efficace e precisa, per tutti gli elementi distribuiti sul territorio e costituiti da grid e cabine, punti sorgente di energia e punti di produzione, tutti delocalizzati fra loro. Mancando il segnale di sincronizzazione, si verificherebbero disservizi”.
Le best practice di protezione nei contesti critici
Gli standard di protezione nei contesti critici esistono da diverso tempo ma la loro applicazione richiede sempre il bilanciamento fra le esigenze di continuità operativa, i costi e ovviamente le misure applicabili che ovviamente, devono tenere conto delle prime due limitazioni.
La CISA (Agenzia di sicurezza americana specializzata per le infrastrutture critiche) ha pubblicato una specifica sezione del suo sito rendendo disponibili una serie di esercitazioni specializzate, CISA Tabletop Exercise Packages (CTEPs), per aiutare supportare le organizzazioni infrastrutture critiche nella preparazione, prontezza e resilienza.
In generale la garanzia di continuità è data dalle pratiche di back up, ma non solo sui dati, ma anche delle infrastrutture abilitanti che se attaccate e rese non più operative, possono causare la negazione dei servizi critici per cui erano state predisposte. Creare una rete di back up che assolva a servizi critici può rivelarsi un investimento adeguato e commisurato al rischio. “Nei casi di reti che si appoggiano su servizi di sincronizzazione satellitare ad esempio”, spiega Marcello Forti, “è necessario fornire continuità al segnale di sincronizzazione è necessario prevedere una rete parallela che possa funzionare come back up di sincronizzazione fornendo con un segnale affidabile (una sorta di “clock” o un segnale metronomo). Ma se si pensa ai meccanismi antintrusione e di protezione dell’integrità del dato, allora è il meccanismo della cifratura che dovrebbe essere scelto come pratica di sicurezza”.
“Poiché la crittografia può peggiorare le performance e incidere negativamente sulla latenza di elaborazione, piuttosto che implementarla a livello di rete (riferimento alla pila ISO/OSI dello stack digitale abilitante di una rete informatica n.d.r.), si può applicare al segnale trasmesso, ovvero al livello 1 della rete, proprio sulla fibra ottica. A questo livello l’applicazione di meccanismi di crittografia ottica (che usa l’algoritmo crittografico AES256) apporta una latenza pressoché trasparente, perché la crittografia è insita nel segnale”.
“Questo tipo di protezione”, prosegue Forti, “è efficace anche nei confronti di tecnologie particolarmente insidiose per la crittografia come il quantum computing, perché se i computer quantici hanno la capacità potenziale di elaborazione tale da riuscire a trovare la chiave crittografica a livello di pacchetto di dati, non è altrettanto vero quando la crittografia è applicata a livello di segnale che passa sulla fibra”.
“In generale, la crittografia evita la pratica dello sniffing di segnale nei punti di snodo, ovvero vicino alle cabine elettriche di collegamento, mediante strumenti che purtroppo sui trovano disponibili anche su famosi siti di e-commerce a poco costo. In generale il dato non dovrebbe mai essere trasmesso ‘in chiaro’. Questo è tanto più vero nei contesti mission critical. Nella nostra azienda abbiamo creato una società apposita, Adva Network Security: Security solutions made in Germany, focalizzata sullo sviluppo di tutte le tecnologie di cifratura che possano essere applicate a livello 1 e 2 della rete”, aggiunge ancora Forti.
“In aggiunta alle best practice vorrei aggiungere che credo sia necessaria una procedura di livello nazionale di certificazione che permetta di garantire non solo l’affidabilità e la sicurezza della soluzione tecnologica analizzata ma anche che sia adatta per il contesto e il livello operativo critico per cui è nata. In questi casi avere una procedura di certificazione veloce ed efficiente (anche ispirandosi ai sistemi certificativi americani ed alla loro velocità di analisi) che confermi l’aderenza delle specifiche funzionali e nell’uso per il contesto applicativo critico per cui è stata progettata quella soluzione, sarebbe un reale valore rispetto a quelle tecnologie che oggi sono spacciate per adeguate e che poi non lo sono per davvero. In questo modo il processo di certificazione è un valore reale e materiale e non un elemento documentale di facciata. Vorrei anche sottolineare l’importanza dei tempi di reazione del personale e le competenze specialistiche, ovvero le certificazioni delle persone per questi ambiti mission critical, perché credo che possano sempre fare la differenza”.
Accorgimenti e misure preventive rispetto alle casistiche più sfidanti
Le tre caratteristiche di sicurezza delle infrastrutture mission critical sono indicate collettivamente con l’acronimo S3: sicurezza per la prevenzione dei pericoli; sicurezza per la garanzia di integrità, autenticità e riservatezza delle informazioni; sostenibilità: mantenimento del funzionamento a lungo termine utilizzando appropriate fonti di energia.
“Per bilanciare le S3 in un sistema di protezione segregazione e continuità operativa in ogni condizione critica certamente non esiste una bacchetta magica”, chiarisce Marcello Forti, “come sempre nelle condizioni complesse si parte da una analisi che distingua l’infrastruttura dai dati che devono passarvi attraverso. Durante tale analisi si comprende cosa proteggere. Nessuno può duplicare tutto, sia per motivi di costi che per motivi di spazi digitali necessari”.
“Certo è che una chiara definizione delle applicazioni, dell’ambito operativo permette di comprendere il come progettare una soluzione di protezione che sia adeguata al contesto e che abbia un basso impatto economico. Preventivamente quindi, a mio avviso, si deve avere un ottimo sistema dei requisiti sui quali cui progettare ‘ad hoc’. I servizi da proteggere devono essere definiti in relazione alle correlate priorità e obiettivi effettuando un reverse engineering sulle misure di sicurezza”, conclude il VP Sales Southern Europe di Adtran.
Contributo editoriale sviluppato in collaborazione con Adva Network Security
