La business continuity è un tema tanto fondamentale quanto sfaccettato. Soprattutto perché incide direttamente sui costi. Questo è un fatto chiaro e universale, ma in che modo le interruzioni possono impattare, a livello economico, su un’azienda? Si tratta di un tema centrale, soprattutto quando si esce dal contesto strettamente IT per entrare in quello dell’Operation Technology. Se una interruzione a livello IT, infatti, ha quasi sempre ricadute facilmente recuperabili, le operazioni di campo seguono un paradigma diverso. Non trasmettere i giusti dati anche per pochi secondi può voler dire compromettere una intera partita di prodotto o di materiale, come vedremo.
Per questo motivo, chi si occupa di OT approccia la business continuity con un’attenzione particolare, che conduce anche a soluzioni inusuali e apparentemente controintuitive, che però alla prova sul campo si dimostrano più efficaci di quelle da manuale. Per spiegare questo approccio che consente di garantire la business continuity nell’OT, abbiamo interpellato Mario Testino, direttore operativo di ServiTecno.
Un caso da studiare
Questa intervista nasce da un caso presentato al Security Summit 2023, in cui, raccontando la sicurezza OT, Mario Testino e Gilberto Rossi hanno mostrato un recente caso studio in cui, per ottenere continuità di servizio in un’azienda di preparazioni farmaceutiche, si è scelto di costruire e cablare una seconda rete funzionale esclusivamente all’OT. Una scelta che, in un momento storico in cui convergenza è una delle parole più usate (e abusate), a un’analisi superficiale può sembrare poco comprensibile ma che in realtà ha più di una valida ragione d’essere. Che Testino ci racconta, dopo una breve premessa.
“Il nostro non è un approccio disruptive a prescindere: nel scegliere le soluzioni per i nostri clienti guardiamo, naturalmente, prima di tutto alle buone pratiche”. Senza dimenticare, però, che lo scopo finale è fare in modo di garantire il funzionamento continuo delle linee produttive.
“Oggi l’IT è ancora molto autoreferenziale” continua Testino. “Finance, gestionale, servizi Web e così via spesso sono gli obiettivi che hanno la maggiore attenzione. Ma se l’azienda è di produzione esistono sistemi che funzionano in maniera diversa. Bisogna capire profondamente le dinamiche.” E, soprattutto, prendere atto che l’Information Technology ha sfaccettature diverse: l’IT che si occupa di software, PC e in generale della connotazione più tipica, mentre l’OT, che si occupa della parte produttiva, ha competenze più orizzontali, spesso che vanno dal networking all’elettrotecnica.
Paradigmi differenti
Nella teoria, è possibile integrare questi due aspetti dell’informatica e farli convivere, a patto che l’IT (termine con il quale, per il resto di questo articolo, intenderemo la declinazione più tipica) comprenda e condivida le esigenze dell’OT.
Testino ci ricorda le principali differenze: “Per quanto riguarda la sicurezza, in produzione devo proteggere i processi a ogni costo. Questo perché, nella peggiore delle ipotesi gli errori possono compromettere direttamente la vita umana: un malfunzionamento in uno SCADA può causare problemi fatali all’attivazione o disattivazione di macchinari”. Con una ulteriore precisazione, che rende il tutto ancora più interessante dal punto di vista tecnico: il fine non è la tutela del dispositivo per sé, ma la tutela del processo. Oltre che per ragioni di sicurezza, anche per ragioni economiche. Testino, infatti, spiega che “prendendo come esempio i batch farmaceutici che caratterizzano il nostro ultimo lavoro, perdere il controllo per 20 secondi significa ‘perdere’, cioè, compromettere, l’intero batch: una partita di materie prime che può arrivare a valere diversi milioni di euro”.
Il concetto di disponibilità del dato, insomma, assume una valenza completamente nuova. Non sempre, per esempio, le reti IT utilizzate per la parte informatica sono in grado di garantire le prestazioni necessarie in termini di latenza, affidabilità e continuità.
“Inoltre i protocolli industriali non sono progettati per essere sicuri, principalmente per ragioni storiche” sottolinea Testino. PLC e SCADA, per esempio, sono nati pensando principalmente alle prestazioni, per le ragioni di cui sopra, anche perché, tipicamente, utilizzavano reti diverse, anche a livello fisico e di networking. Con la convergenza verso Ethernet, il rischio che un attaccante arrivi ai macchinari è aumentato considerevolmente. E in molti casi è sufficiente un attacco DDOS per creare problemi ai dispositivi industriali”.
Due ragioni più che sufficienti per affrontare il tema con tutte le cautele del caso. Ma perché scegliere di costruire una seconda rete dedicata invece di potenziare quella esistente?
Nuova rete, problemi tradizionali
“Di solito, nella realizzazione di un progetto di rete, si cerca di analizzare i vari requisiti, cercando di integrare i bisogni in una soluzione ideale che veda coinvolti tutti gli stakeholder. In questo caso, problemi tecnologici, prestazionali e organizzativi hanno reso la scelta di creare una nuova rete con caratteristiche peculiari come l’unica possibile” spiega Testino.
E qui si evidenzia l’importanza delle competenze tecniche unite alla capacità di progettare e ragionare in modo autonomo. La seconda rete è stata cablata superando di fatto i problemi organizzativi che, altrimenti, avrebbero bloccato i lavori. Questa scelta è stata possibile anche facendo leva sul fattore economico: “la rete OT così realizzata ha richiesto un investimento pari a circa il 50% del revamping della soluzione IT presente” aggiunge. Di fronte a minori costi e maggiore rapidità di messa a terra, la scelta per il committente è stata semplice.
Diverse misurazioni delle prestazioni
L’idea di aggiungere una seconda rete a quella IT principale potrebbe indurre a pensare che la prima fosse particolarmente sovraccarica, a non è questo il caso. Il punto, come abbiamo accennato prima risiede nelle diverse esigenze di IT e OT.
Ecco come lo spiega Testino: “Mentre nell’IT tipico tempi di latenza anche al di sopra del secondo sono accettabili e spesso non vengono nemmeno percepiti dagli operatori, nell’OT prevale il real time, in cui un secondo può rappresentare già una latenza critica. Uno SCADA tipico lavora con latenze massime di 500 millisecondi, un PLC tipico intorno ai 100ms. Alcuni controlli sono anche sotto i 10ms. Come abbiamo visto poco fa, è un problema legato ai processi: non è possibile uscire da questi tempi”. Che invece dovrebbero essere all’ordine del giorno in una rete IT tradizionale per supportare le operazioni industriali.
“In una rete IT tipica c’è moltissimo traffico parassita. Gli utenti IT non se ne accorgono, ma i diversi broadcast, sia quelli per l’indirizzamento del traffico TCP/IP sia, per esempio, le chiamate DNS dei servizi Microsoft generano un overhead difficilmente controllabile e soprattutto non stabile nel tempo. Nell’OT non serve molta banda, ma latenze molto basse”.
Una soluzione tipica, anche dove la rete fisica è unificata, è la segmentazione. Dividendo la rete in questo modo, i broadcast saranno indirizzati solo al segmento specifico, riducendo di fatto i pacchetti “inquinanti”. Fare zone e controllare la comunicazione fra le zone è una pratica comune. La differenza sostanziale è che in questo caso si è scelto di segmentare anche a livello fisico oltre che logico.
Le prestazioni al centro
La segmentazione della rete risponde in modo efficace a due dei requisiti principali: le prestazioni, che, come abbiamo accennato, beneficiano di un traffico più specifico ed organizzato, ma anche la sicurezza, che in contesto industriale ha priorità addirittura superiore a quella delle prestazioni.
“Al di là di questo specifico caso, in generale la scelta di quando e come segmentare dipende largamente dalle esigenze aziendali e dalla tipologia di integrazione presente” spiega Testino. “Il primissimo presidio a cui pensare è la separazione attraverso un firewall, a cui affiancare la creazione di una zona trusted e una zona untrusted”. In questo contesto, per esempio, la parte Office è considerata untrusted. Successivamente si può pensare, per esempio, a un sistema di anomaly detection che permetta anche di creare un inventario dei dispositivi.