Per chi si trova a gestire dei sistemi ICS (Industrial Control System) nello stabilimento arriva prima o poi il momento di chiedersi se e quanto le cyberminacce esterne siano reali (un'impresa manifatturiera può essere considerata un target minore? O un non-target?) e, soprattutto, come sia eventualmente possibile difendere tali sistemi.
Sulla concretezza delle minacce cyber nel mondo industriale di processo è difficile nutrire ancora dei dubbi. Basti pensare alla presenza in rete di motori di ricerca come Shodan, Zoom Eye o Censys, che permettono di individuare sistemi Scada connessi a Internet, aperti e gestibili da remoto, quindi vulnerabili, oppure alla vera e propria diffusione di servizi di acquisto di update-patch dei sistemi ICS, in una vera e propria logica di "Hacking-as-a-service".
O, ancora, si pensi che tutti i sistemi di controllo, anche se non immediatamente esposti al web, gestiscono una finestra di dialogo con qualcos'altro (usb, modem...), quindi in un certo senso, sono intrinsecamente "deboli".
Infine, che le minacce siano concrete emerge anche dal fatto stesso che i responsabili OT non siano in allerta: nell'attuale era di convergenza IT/OT, si crede che sia sufficiente avere un'infrastruttura IT Office "sicura" per avere, automaticamente, una fabbrica sicura. Ahi noi, ciò che vale in ufficio non vale per gli asset in un plant e, ancora di più, le competenze di un IT manager non sono sufficienti per proteggere gli impianti industriali. Occorre piuttosto una task force che preveda la stretta collaborazione di Control Engineering e IT Department.
Cybersecurity: evitate di diventare un bersaglio
Il tema della cybesercurity si conferma quindi decisamente attuale e concreto anche nei contesti industriali di processo, nei quali si cede ancora alla tentazione di abbassare la guardia in relazione ai sistemi di controllo, non solo perché non li si considera un diretto bersaglio, ma anche perché non si ritiene prioritario destinare budget specifici alla loro protezione.
Per questo, al tema è stato dato ampio spazio anche in occasione di uno dei principali eventi del 2018 nel panorama internazionale della Process Industry, Achema 2018 (la prossima edizione si terrà nel 2021, trattandosi di un appuntamento triennale), a Francoforte.
Così, nel corso del Convegno di una giornata dedicato alla Cybersecurity nei padiglioni di Achema, sono stati forniti alcuni validi punti di partenza per un'adeguata strategia di sicurezza informatica che abbracci ogni ambito, dall'IT all'OT.
Valutare la situazione attuale di sicurezza di uno stabilimento è senz'altro il primo passo. Security Assessment Tool, ad esempio, è uno strumento on-line gratuito, fornito da Rockwell Automation, una delle aziende presenti al Convegno, per la valutazione delle misure di sicurezza. Con questo strumento, un produttore può confrontare il suo attuale livello di rischio con gli standard, stilando un Security Maturity Index del sistema di controllo.
Un altro servizio, sempre di Rockwell Automation, è True Patch Management, per una programmazione periodica del patching, annuale, mensile o trimestrale.
Stabilite subito un programma di cybersecurity
"Non bisogna sottovalutare gli attacchi cyber in un impianto di processo, perché possono essere sempre più indirizzati anche ai sistemi di safety, quindi creare rischi anche per le vite umane", è l'opinione di Pierre Paterni, Business Development Manager Emea, Connected Services di Rockwell Automation.
"Per questo è necessario inserire le azioni di detection in un vero e proprio lifecycle management della sicurezza. Va stilato un Programma di Security completo, con analisi IT e software nella rete, risk assessment, da un team cross-functional, che stabilisca un perimetro preciso".
"Il programma deve essere pienamente allineato con precisi standard di security, IEC 62443 o Industrial NIST Security framework, tanto per fare un esempio", ha detto Paterni. "Solo così si possono porre le basi per una corretta attuazione di contromisure efficaci".
"Molte aziende purtroppo si fermano a metà, mancano di un approccio programmatico, di un obiettivo di business, e sprecano l’investimento, anche se ottengono soluzioni nel breve termine".
Anche per Matthias Partl, Cloud Solution Architect Security di Microsoft Germania, intervenuto al Convegno, l'approccio programmatico è fondamentale, poiché la cybersecurity va considerata un processo "never-ending", senza fine, nel quale sorgono sempre nuove minacce e non si può smettere di individuare nuove soluzioni.
"Oggi nello spazio industriale OT sono ormai numerosi i device con identità informatica", ha detto Partl. "Il furto di identità e il furto di dati in backend sono due delle peggiori minacce dell'era della Cloud Transformation. Un passo importante a livello OT è la protezione basata su Autenticazione, la protezione end-point".
Protezione olistica: segmentate per contenere
Dennis Wilsmann, Global Cybersecurity Specialist di Cisco Systems Germania, è pure convinto che le industrie di processo possano, al pari di altre infrastrutture, essere vittime di malware o altre forme di attacco, per le quali "esistono comunque sul mercato già molti tool di difesa e di prevenzione a livello IT".
Il salto di qualità è estendere la protezione anche a livello OT, in un'ottica sistemica, di processo, che metta insieme hardware, software e training mirati. "Prima di investire nella segmentazione e nella microsegmentazione di una rete, ad esempio, è opportuno fare una vera e propria analisi dello stato della rete e dei processi OT e una mappatura precisa di tutti i sistemi presenti, connessi in rete".
Dopodiché, tenere sempre aggiornati i dispositivi è un altro step fondamentale per proteggere la propria fabbrica, perché i device meno aggiornati sono i più esposti agli attacchi e, quindi, rappresentano l'anello debole dell'architettura di controllo e/o Scada.
Riassumendo, quindi, come suggerisce Wilsmann, ciò che mette più al sicuro l'industria è individuare sempre i sistemi operativi e i dispositivi installati nel proprio ambiente e fare in modo che tutti funzionino correttamente e siano aggiornati. Occorre analizzare costantemente il loro comportamento all’interno della rete, in termini di comunicazione e trasmissione dati.
Parallelamente, è indispensabile dotarsi di soluzioni che permettano di identificare eventuali device compromessi per agire sulla loro vulnerabilità. Infine, bisogna controllare e profilare sempre tutti gli accessi.
"L'approccio olistico alla cybersicurezza", ha concluso Wilsmann, "prevede anche un occhio di riguardo alla formazione delle persone coinvolte, inclusi gli operatori di stabilimento, in modo che si attengano alle procedure programmate".
Let’s get physical: siate consapevoli, prima di tutto
"Non dimentichiamo che la sicurezza si origina nella 'fisicità' di una infrastruttura di rete che abilita la comunicazione industriale", è stato in estrema sintesi il suggerimento di Hayo Volker Hasenfus, Director Industrial IT e IoT Emea di Panduit.
"Un attacco cyber a un impianto di processo continuo nel settore manufacturing può avere conseguenze molto pesanti", ha detto Hasenfus. "Il primo step per evitarlo è la consapevolezza che la minaccia, il pericolo esistano davvero, anche in fabbrica. Preso atto di questo, bisogna dotarsi di un programma preciso, multidisciplinare e multireparto, e addestrare le persone, per affrontare un eventuale attacco. Insomma, non basta acquistare un software o assumere un Cybersecurity Manager esperto, se poi manca un insieme di procedure e accorgimenti da adottare contemporaneamente".
Panduit, che da tempo collabora con partner come Cisco e Rockwell Automation per dare una soluzione di rete sicura e completa, è da sempre convinta che solo la combinazione di difese hardware e software a livello di cablaggio, di rete "fisica" con quelle del livello della rete IT possa rappresentare la vera protezione nel manifatturiero aperto all'IoT.
"Oltre a un percorso di migrazione e refresh periodici del cablaggio", ha detto Hasenfus, "è possibile attivare nuovi servizi sulla rete, come l'ispezione 3D integrata, e comunque effettuare interventi continui di manutenzione".
Non potete proteggere ciò che non vedete
Anche Patrick McBride, Chief Marketing Officer di Claroty, si è trovato d'accordo sulla necessità di un approccio cross e multidisciplinare alla sicurezza, che combini persone, procedure e tecnologie mirate.
"Questo approccio deve fondarsi sulla profonda conoscenza delle rete che si vuole difendere, perché se non si sa quali asset ci sono e come comunicano fra loro in rete, non ci si può proteggere", ha chiarito McBride.
"La massima visibilità e il costante monitoraggio degli asset, della componentistica fisica di rete e di tutti gli IP address sono indispensabili difese primarie".
Fra le tecniche di mitigazione del rischio cyber, McBride ha ricordato l'efficacia dell'Intrusion Detection Monitoring, della Segmentazione e del Secure Remote Access. Da non trascurare poi è anche l'aggiornamento costante delle patch.
"Negli ultimi 5-7 anni molti produttori di sistemi ICS del settore automazione hanno introdotto un approccio di sicurezza built-in nei loro prodotti, che sicuramente gioca a favore di tutti gli utenti industriali", ha concluso McBride.
