Orizzonti Cyber

Cybersecurity: perché è importante proteggersi?

Pubblicato il 19 Dicembre 2022
Stéphane Potier
Da Stéphane Potier
In Francia, l'ANSSI mette in guardia sui rischi legati alla sicurezza dei sistemi industriali: la recrudescenza delle minacce informatiche che colpiscono questo tipo di ambiente non è solo un sentimento, ma si traduce in cifre. Come difendersi dagli attacchi informatici in ambiente industriale? Quali sono i vincoli e le soluzioni per porvi rimedio? Una panoramica e alcune risposte...

91 %

Il 91% delle organizzazioni del settore afferma di aver riscontrato almeno un problema di sicurezza nel proprio ambiente OT nel 2021 (Kaspersky ICS Security Survey 2022).

Che cos’è la cybersecurity OT?

Le Tecnologie Operative (OT) si riferiscono a tutte le tecnologie operative e/o operazionali. Attenzione a non confonderle con l’IIoT (Industrial Internet of Things), che è un settore parallelo: riguarda gli oggetti connessi all’interno di un ambiente industriale.

L’obiettivo della sicurezza OT è garantire la sicurezza e la durata nel tempo del funzionamento degli strumenti di produzione industriale, delle persone e dei beni durante la loro attività.

Cybersecurity industriale: il punto di vista di Advens

La cybersecurity industriale dovrebbe interessare un ampio spettro di mercati e non limitarsi all’industria nel senso “fabbrica” stricto sensu: l’edilizia. Comprende tutte le attività che si occupano della gestione, del trasferimento e dello scambio di risorse fisiche.

Tre esempi di perimetri di cybersecurity industriale
  • Le catene logistiche e i magazzini,
  • Nelle città intelligenti: la messa in sicurezza della segnaletica stradale,
  • Negli edifici industriali gestiti dalle collettività: i riscaldamenti collettivi.

La gestione di una galleria o di una diga elettrica può avere le stesse problematiche di cybersecurity di un impianto agroalimentare.

Perché investire nella cybersecurity in ambiente industriale?

L’ambiente OT è diventato il nuovo obiettivo degli hacker

Attaccare il mondo dell’IT diventa sempre più complesso perché i sistemi d’informazione sono sempre più protetti. Gli attori IT oggi hanno una buona maturità cyber: sensibilizzano il personale riguardo ai rischi informatici, migliorano le loro conoscenze ed esperienze nel settore e implementano soluzioni di sicurezza avanzate (EDR, NDR), ecc.

La conseguenza diretta dell’aumento della loro cyber resilienza dell’IT? I pirati informatici stanno iniziando a concentrarsi sull’ambiente industriale perché presenta un livello di protezione inferiore.

In ambito OT, l’attacco può causare danni collaterali che esulano dal perimetro dell’organizzazione, come un impatto diretto sulla linea di produzione (il motore di guadagno di un’organizzazione), o impatti ecologici e sanitari sul grande pubblico e sull’ambiente (fughe radioattive, versamento di sostanze chimiche in natura, ecc.).

L’attacco alla fabbrica di Oldsmar

Nel 2021, un hacker è riuscito ad accedere alla rete di computer di un impianto di approvvigionamento idrico in Florida. Fornendo istruzioni per moltiplicare per 100 il contenuto di idrossido di sodio nell’acqua fino a una soglia pericolosa e corrosiva. Un tecnico ha rilevato un’intrusione nel sistema informatico e ha immediatamente ridotto il livello di concentrazione. L’acqua infetta non ha raggiunto il sistema di distribuzione.

Questo è solo uno dei tanti esempi che dimostrano che il settore industriale è vulnerabile, perché coinvolto da fattori esterni legati all’ambiente e alla salute pubblica.

Fonte: The New York Times, 2021

Maggiore superficie di attacco grazie alla convergenza IT/OT

Negli ultimi 5 o 6 anni, si nota un’evoluzione e un cambiamento del modello di funzionamento nell’industria.

In passato, l’ambiente OT era molto protetto dal punto di vista della cybersecurity e semplice da monitorare perché le apparecchiature erano isolate ed eterogenee. Ma queste tecnologie risultano superate, quindi potenzialmente vulnerabili se digitalizzate nel mondo di oggi.

Nell’era dell’industria 4.0, le apparecchiature industriali sono incentrate sui dati: tutto è comunicante e connesso. C’è una maggiore omogeneità, modellata sulle tecnologie dell’IT.

La convergenza cybersecurity OT e IT

Il processo globale di cybersecurity in ambito OT è lo stesso che in ambito IT:

  • Scoprire il proprio ambiente,
  • Identificare le vulnerabilità (accesso, configurazione, difetti del software, CVE, ecc.),
  • Provare a risolvere,
  • Quando la risoluzione problemi non è possibile, l’obiettivo diventa rilevare e contenere la minaccia con l’aiuto del SOC.

È essenziale adattare il processo alle specificità dell’ambito OT: l’implementazione delle soluzioni differisce per adattarsi alla realtà del settore.

Tre specificità OT da prendere in considerazione

#1 La durata di vita degli strumenti è alta

Nell’OT, i sistemi molto vecchi non erano connessi tra loro e quindi poco vulnerabili. Gli strumenti più recenti sono collegabili ma non sono stati progettati per resistere agli attacchi informatici. Conseguenza: si presentano delle vulnerabilità che è necessario affrontare e proteggere.

#2 Il trattamento delle vulnerabilità è diverso

Il processo è molto più limitato rispetto al mondo IT perché i sistemi OT devono essere operativi 24 ore su 24, 7 giorni su 7. Le finestre di tempo disponibili per l’aggiornamento di un dispositivo sono ridotte al minimo per limitare l’indisponibilità del sistema.

I nuovi dispositivi sono connessi ma presentano delle vulnerabilità, quindi la quantità di vulnerabilità presente in questi dispositivi è presente nel tempo.

#3 Il concetto di falso positivo

Un falso positivo nel rilevamento di un allarme di sicurezza ha conseguenze più importanti perché induce ad avere un’azione su un dispositivo in uso, che può avere implicazioni sull’intera linea di produzione, contrariamente a quanto si fa nell’IT, dove il computer fonte di un problema viene disconnesso dalla rete per valutare e analizzare l’allarme.

Per evitare effetti negativi sulla linea di produzione, la qualifica di un incidente necessita di un’analisi più approfondita e richiede quindi competenze specifiche nel settore.

Due momenti distinti necessari per garantire la sicurezza del sistema operativo degli industriali?

Il trittico “Prevenzione-Rilevazione-Reazione” deve diventare un riflesso sia nell’OT che nell’IT. Tuttavia, l’implementazione delle soluzioni di cybersecurity deve includere i vincoli relativi all’ambiente industriale: interruzione della produzione, tempo limitato, ecc.

38 %

Il 38% delle aziende si trova ad affrontare, almeno occasionalmente, una soluzione di cybersecurity che influisce sui loro processi di produzione e automazione, secondo il sondaggio sulla sicurezza ICS di Kaspersky del 2022.

Fase #1: prevenire gli attacchi

Vincoli
Soluzioni
Mappare le installazioni
  • Lavoro che richiede tempo
  • Elevata quantità di shadow OT
  • Rischio di disturbi in caso di scansione attiva
  • Posizionare i sensori sul sistema industriale (IDS passivi)
  • Raccogliere dati su cui costruire casi d’uso
Segmentare la rete per ostacolare la progressione dell’hacker
  • Progettazione dell’architettura potenzialmente complessa del sistema
  • Regole di segmentazione tempestive che possono avere un impatto sulla produzione
  • Installazione di firewall e VLAN per contenere meglio l’attacco
Autenticazione
  • Gestione delle password complesse sui dispositivi: nessuna tastiera, nessun lettore di impronte digitali (a causa dei guanti), nessun riconoscimento vocale (a causa del rumore)
  • Messa a disposizione di un badge per ogni dipendente
Rendere più resistenti e robusti gli equipaggiamenti
  • Il processo potrebbe non essere stato implementato in precedenza poiché queste funzionalità erano nuove o appena introdotte negli equipaggiamenti
  • Disattivare i servizi non utilizzati
  • Utilizzare servizi sicuri (SFTP, HTTPS, OPC UA…)
Effettuare aggiornamenti
  • Tempo limitato: può essere effettuato solo al momento del periodo di fermo per manutenzione (1-2 volte all’anno)
  • Validazione della non-regressione a seguito di un aggiornamento
  • Patch virtuale in attesa della prossima interruzione

Fase #2: rilevare l’hacker e reagire

È necessario implementare un processo basato sull’IT che consenta di rilevare e analizzare comportamenti anomali e dannosi, che sfruttano le vulnerabilità non affrontate, attraverso:

  • uno strumento dedicato: sonde di rilevamento specializzate nell’OT che funzionano 24 ore su 24, 7 giorni su 7, molto meno intrusive e in grado di rilevare i protocolli più utilizzati nel settore industriale (bacnet, profinet, modbus, ecc.), analogamente ai prodotti offerti da Nozomi, Claroty, CyberMDX, Microsoft Defender for OT.
  • un processo e un’organizzazione SOC che rilevi, analizzi e ponga rimedio in caso di attacco.

I vincoli dell’ambiente industriale possono sembrare sfavorevoli all’adozione di una politica di cybersecurity. Ma l’interoperabilità delle apparecchiature industriali rende indispensabile proteggersi e prevenire gli attacchi a causa delle serie conseguenze che un attacco informatico potrebbe causare. Esistono soluzioni per prevenire queste minacce senza interrompere la linea di produzione (metodi di rilevamento meno invasivi, segmentazione, sensibilizzazione del personale).