Le norme europee sulla cyber security stanno per essere recepite dai paesi membri dopo alcuni ritardi e un po’ di confusione nell’organizzazione delle responsabilità da assegnare alle varie strutture governative.
Il fermento sul tema cyber sta crescendo in questi mesi. Gli operatori nei settori industriali, dal Manufacturing alle Utility alle infrastrutture critiche, dovranno rispondere a normative sempre più attente alla sicurezza cyber e a scadenze imposte dalle agenzie per mettere in sicurezza i sistemi.
Indice degli argomenti
Il contesto
La necessità di investire nella sicurezza digitale non arriva esclusivamente da una questione normativa. Il numero degli attacchi rivolti al settore industriale è in costante crescita come la qualità con cui gli attaccanti si adoperano per compromettere le infrastrutture prese di mira.
In Italia anche la piccola e media impresa ha cambiato prospettiva sul tema, per due motivi principali. La prima ragione è che lo scenario è cambiato per chi fino ad oggi si era sentito ragionevolmente protetto dal fatto di non risultare un obiettivo appetibile. I cyber attaccanti stanno allargando il target e si indirizzano anche verso obiettivi che in altri tempi erano considerati poco interessanti.
La seconda ragione è che le minacce più generiche, pensate prevalentemente per il mercato consumer, si sono invece rivelate attive in molte realtà lavorative di produzione, complice il fenomeno della consumerizzazione. Si pensi ai tanti attacchi ransomware che hanno messo in seria difficoltà diverse aziende italiane e che nei casi più eclatanti hanno determinato la chiusura delle attività commerciali stesse.
Quando poi si pensa al settore industriale, quello della grande industria e alle utility, un potenziale incidente di cyber security può avere impatti con danni anche più gravi, che dal mondo cyber si trasferiscono a quello fisico.
La preoccupazione cresce dove possono delinearsi scenari con potenziale impatto disastroso sulla salute e la vita dei lavoratori stessi, sulla popolazione civile o sull’ambiente. C’è il rischio di incidenti che possano portare all’interruzione di servizi, anche essenziali, oltre che all’interruzione della produzione e distribuzione di beni.
Il problema dell’aggiornamento tecnologico
A questo si aggiunge il problema dei processi di aggiornamento tecnologico che in ambito industriale si dilata nel tempo e che sta diventando argomento di compliance. L’obsolescenza dei sistemi informatici è cronica, principalmente dovuta al fatto che gli impianti di produzione prevedono piani di revamping molto lunghi. Alcuni sistemi hanno infatti una vita decennale mentre gli aggiornamenti sono fatti solo in determinati momenti, senza adottare o preoccuparsi di processi di aggiornamento e di patching continuo.
Non ci si deve stupire per questo: nelle infrastrutture o nell’industria, il fattore critico non è la protezione del dato stesso nella sua confidenzialità, bensì è importante la sua integrità e in maniera ancora più determinante la sua disponibilità.
Sono molti i sistemi che non possono mai essere fermati per installare le patch di sicurezza perché il business richiede impianti in produzione h24 senza che ci possano essere interruzioni. Nei casi più critici non esistono finestre di manutenzione dove poter mettere patch ai sistemi, riavviarli o metterli in sicurezza; si aspetta quindi la fermata per la manutenzione generale dell’impianto, ma per questo si può arrivare a cinque anche dieci anni di programmazione.
Inoltre, molti protocolli di rete su cui sono basate le soluzioni in ambito industriale derivano da brevetti proprietari, non hanno logiche che prevedevano misure di sicurezza o di autenticazione, o nella fase di progettazione non si aveva in mente la parte di cyber security che adesso diventa fondamentale considerare. Anche a questo si ha necessità di rimediare con azioni che possano mitigare i rischi.
Le soluzioni tecnologiche in ambito OT
Detto che in ambito OT l’introduzione di soluzioni di rimedio alle minacce identificate richiede quindi tempi più lunghi che in ambito IT e che spesso ci si trova ad implementare soluzioni che devono essere pensate o adattate in maniera specifica per un determinato impianto o situazione, le soluzioni tecnologiche che generalmente si cerca di introdurre sono diverse e basate sui security assessment. Comunemente sono soluzioni di whitelisting che permettono solo alle applicazioni censite di poter essere eseguite sui sistemi, soluzioni di application control per una gestione delle applicazioni stesse, Identity Access Management per la gestione degli accessi e dei privilegi, vulnerability management per cercare le vulnerabilità presenti nei sistemi e negli applicativi usati.
Le aziende hanno anche un’attenzione sempre crescente all’analisi di tutti quei log che possono considerarsi anomalie nelle operations standard dell’impianto. Quindi si adottano sistemi SIEM o procedure di analisi dei log e sistemi che possano alimentare e produrre informazioni, si implementano sistemi di intrusion detection per monitorare connessioni indesiderate, sonde per l’analisi del traffico di rete, fino ad soluzioni di endpoint security più moderne che sfruttino concetti di intelligenza artificiale e machine learning per determinare quali comportamenti potrebbero essere considerati attacchi al sistema o deviazioni dal comportamento atteso.
Il controllo di dispositivi come le chiavette USB e i dispositivi esterni è sentito come un problema importante perché si è osservato che uno dei veicoli principali per l’introduzione di malware sono proprio questi dispositivi. Talvolta terze parti, tecnici esterni, o il personale aziendale stesso connettono e ai computer di impianto chiavette non sicure e, anche in maniera inconsapevole, possono essere causa di incidenti con conseguenze molto gravi. Non adottare una politica per la gestione dei dispositivi rimovibili, può essere veramente rischioso. Quindi le aziende stanno chiedendo di bloccare le porte USB, adottano procedure per la gestione dei dispositivi rimovibili, introducono software di controllo dei dispositivi esterni, e arrivano a disabilitare le porte USB o procedono con il loro blocco fisico, ad esempio attraverso l’applicazione di tappi di sicurezza.
La segregazione delle zone di rete con l’isolamento delle macchine su reti dedicate è fondamentale, ed è una delle prime misure che si mettono in atto. Si cerca in questo modo di ridurre il più possibile la superficie di esposizione alle minacce e agli attacchi.
Il problema è che l’esigenza di segregare i sistemi per ragioni di sicurezza, si scontra con la richiesta sempre crescente del business di avere sistemi sempre più connessi, magari per esportare i dati di produzione; anche altri fattori quali l’introduzione di tecnologie a basso costo pensate per il mercato consumer, gli incentivi all’industria 4.0 (che richiedevano in alcuni casi di connettere i sistemi ad internet pe ricevere gli incentivi), i temi del cloud, etc. sono andati tutti in direzione opposta con il risultato che diversi sistemi ICS/SCADA sono oggi esposti a internet.
Questa situazione che dovrebbe generalmente essere evitata, in alcuni casi è causata da errori nella configurazione o nella gestione, ma in altri l’esposizione dei sistemi su internet avviene per adottare soluzioni di comodità che riducano i costi, ad esempio della gestione e dell’accesso remoto per la manutenzione di terze parti.
Cyber security a supporto dei processi di controllo industriali: gli investimenti
In conclusione, in ambito OT per ragioni legate alla criticità, alle dimensioni o alla complessità dei sistemi, spesso non si riesce a seguire piani di rimedio tempestivi e adeguati a fronte degli assessment di sicurezza, questo diventa un problema anche per le nuove norme legate alla cyber security.
Per questi motivi le aziende stanno investendo, si è alzato il budget dedicato alla gestione del rischio cyber, alla gestione della compliance, all’implementazione di soluzioni di sicurezza informatica in ambito OT. Si investe di più e cresce la spesa sia negli ordini per lo sviluppo di prodotti e servizi che in quelli di revamping degli impianti.
Nei progetti con elementi digital la componente dedicata alla cyber security sta crescendo verso percentuali che sono interessanti e che la rendono un’opportunità di business che non si deve e non si può trascurare. Nelle strategie aziendali questa componente deve essere considerata sia per mantenere buoni margini sulla profittabilità dei lavori sia per poter acquisire ordini in cui la cyber security può non essere lo scopo principale, ma che la includono come componente di progetto non derogabile.
L’altra faccia della medaglia in questo incremento nei budget OT per la cyber security è costituita dal fatto che comunque le aziende spesso non si organizzano con strutture e competenze adeguate, rimanendo nella maggior parte dei casi impreparate in termini di risorse e soluzioni necessarie ad affrontare il rischio cyber.
Molte aziende ancora oggi non hanno policy specifiche per la security in ambito OT, non ci sono baseline per la sicurezza dei controllori industriali, non adottano un framework standard per la gestione del rischio cyber, non assegnano ruoli specifici all’interno della loro organizzazione per la responsabilità nel gestire il cyber risk, non hanno ruoli per la compliance, ad esempio in alcuni casi non hanno ancora affrontato in maniera esaustiva il GDPR.
Ci sono molte tematiche aperte e una soluzione in continua evoluzione, tante aziende sono in fase di preparazione per affrontare questi temi.
Per far fronte a queste sfide e alla necessità di dare risposta alle nuove normative sulla cyber security, l’agenda digitale è diventa una priorità sul tavolo dei reparti della funzione IT, che in mancanza di strutture dedicate, spesso si occupa anche delle strutture di OT pur non essendo le due tematiche affrontabili in maniera sovrapponibile.
Gli li investimenti crescono intorno al tema della security readiness, della compliance e del GDPR, stiamo ad osservarne l’evoluzione.
