I sistemi informatici sono ampiamente diffusi nei sistemi di controllo e supervisione d'impianti, edifici e infrastrutture. Proteggerli è critico in ogni attività, particolarmente nel settore industriale dove impianti e macchinari sono gestiti da sistemi d'automazione e controllo sempre più spesso collegati tra loro. Questi sistemi e reti sono a loro volta collegati alle altre reti aziendali per la raccolta dei dati e la trasmissione delle informazioni necessarie per una gestione integrata. I modi per proteggere tali sistemi da rischi informatici possono essere diversi. Tuttavia, è fondamentale tenere presente che un sistema non sarà mai sicuro al 100%. Inoltre, la sicurezza è un processo dipendente non solo dalla tecnologia, ma anche dalle persone coinvolte. Alcuni standard di riferimento come Iso 27000 (sistema di gestione per la sicurezza delle informazioni) e Isa s99 possono aiutare a definire rischi, minacce, vulnerabilità e ad identificare controlli e contromisure da adottare. Tali standard introducono il modello Pdca (Plan-Do-Check-Act, ossia Pianifica, Realizza, Controlla, Migliora) come parte dell'approccio ai sistemi di gestione per sviluppare, attuare e migliorare l'efficienza del Sistema di Gestione per la Sicurezza delle Informazioni (Sgsi).
Sulla base del modello Pdca, che si applica a tutti i processi e ne consente la realizzazione e la gestione verificandone i risultati e consentendo un continuo miglioramento, abbiamo provato a stilare un decalogo ideale con i dieci passi che consentono di proteggere le reti e i sistemi di controllo dai rischi informatici.
1. Assessment - Valutazione
Avere chiara la situazione e tenere aggiornata la documentazione, avendo una visione dei confini, degli scopi, delle responsabilità e di quant'altro sia necessario, consente di evitare investimenti e attività inutili. Una breve check-list di quello che serve per iniziare comprende: documentazione aggiornata di rete/sistema; elenco dei componenti e delle applicazioni, dei dati gestiti e delle connessioni per identificare eventuali anelli deboli; elenco delle persone che utilizzano e/o che devono avere accesso ai sistemi e ai dati; policy e procedure presenti e utilizzate; informazioni che possono risultare utili a offrire una 'fotografia' della rete e del sistema da proteggere.
2. Hardening - Sicurezza del sistema e delle applicazioni
Spesso nei sistemi e nelle applicazioni sono già previste all'interno funzioni di 'security'; è utile valutarle e attivarle correttamente, disattivando invece e rendendo non utilizzabili tutte quelle funzioni che potrebbero indurre vulnerabilità nel sistema e nelle applicazioni. Tra queste: browser Internet, media player, applicativi Office non richiesti, funzioni di sistema operativo non necessarie, accesso a porte Usb, cd-dvd player ecc.
3. Firewall - Protezione perimetrale
È importante definire il perimetro e mettere in pratica le azioni per difenderlo. Di solito l'ambito perimetro è il sistema e/o la rete di produzione; si tende a separarlo dalla rete 'aziendale-gestionale' che, avendo quasi sempre accesso ad Internet, può essere veicolo di malware. Le macchine in produzione, infatti, possono non essere protette dal malware in modo puntuale quanto quelle della rete 'enterprise'. Si valuta quindi uno o più firewall come protezione tra le due reti. È necessario porre attenzione anche alle estensioni (connessioni esterne per manutentori, fornitori, outsourcer, wireless e così via) che potrebbero 'allargare' il perimetro.
Firewall-Seg-Seg (Segmentazione e Segregazione). Segmentare ulteriormente la rete in 'compartimenti' permette di attuare quella che viene chiamata la 'protezione-in-profondità'. È importante segregare gli asset critici (server condivisi, accessi da remoto, access-point wireless ecc.) in zone ben definite (dichiarate Dmz, zone de-militarizzate, terre di nessuno) con policy basate sul controllo di accessi con un'attenta gestione dei privilegi.
Firewall - Vlan - Switch - Router. È necessario definire e implementare le 'regole' per il controllo degli accessi e la condivisione di dati, applicazioni, risorse.
4. Utm - AntiMalware - AntiVirus - Patch
Definire e implementare le policy per la gestione delle patch e gli strumenti contro malware, virus e per prevenire Denial-Of-Service e contaminazioni sulla rete.
5. Controllo accessi, autorizzazioni, autenticazioni
Bisogna decidere chi può avere accesso e a cosa. Usare la politica di limitare i privilegi al minimo. Tenere aggiornata la lista delle persone e degli accessi, rinnovare periodicamente le credenziali (password) per l'accesso ai sistemi, alle applicazioni, alle singole funzioni, ai dati. Utilizzare strumenti per 'rafforzare' il controllo degli accessi (strong authentication) ove necessario. Controllare periodicamente i log.
6. Vpn - Vlan - Ras -Strong Authentication
Limitare, definire, implementare e monitorare tutti gli accessi esterni con connessioni protette necessarie per utenti aziendali, remoti, manutentori, terze parti...
7. Log & Monitoring
Implementare il monitoraggio di sistemi, applicazioni, infrastrutture: la registrazione di eventuali incidenti e la valutazione di eventuali campanelli di pre-allarmi sullo 'stato di salute' dei sistemi, può evitare interruzioni, che possono causare gravi ripercussioni sulla produzione.
8. Change Control & Configuration Management
Gestire la configurazione, con tutte le variazioni documentate e back-up aggiornati per limitare disagi e ritardi in caso di eventuali ripartenze. Esistono software ad-hoc sviluppati per tenere sotto controllo sistemi anche complessi (pc, plc, server ecc.).
9. Compliance - Assessment - Audit
Verificare periodicamente il registro degli eventi/incidenti e controllare che i presidi tecnologici (firewall, componenti di rete e sistemi), la documentazione, le procedure e le persone siano aggiornate e adeguate.
10. Rivedere policy e analisi e la valutazione rischi almeno ogni 6-12 mesi
Minacce e vulnerabilità di ieri possono non essere più aggiornate, mentre se ne possono presentare di nuove. Le configurazioni di rete e sistema, i firewall, gli accessi, le applicazioni e le procedure possono cambiare; ogni variazione può avere impatti su altri componenti e connessioni. Per questo, occorre confrontarsi con colleghi dell'Ict o con un fornitore e/o un consulente preparato e aggiornato.
