La trasformazione digitale delle aziende industriali, per condurre alla realizzazione del paradigma Industria 4.0 (o Manufacturing 4.0), implica una convergenza sempre più estesa fra i sistemi che governano i dispositivi, gli impianti e le infrastrutture critiche industriali, e quelli della cosiddetta IT tradizionale o convenzionale. Di conseguenza, vengono a mancare molte delle barriere tecnologiche e organizzative che, fino a poco tempo fa, proteggevano gli Industrial Control Systems (ICS) dagli attacchi degli hacker.
Questo è l'articolo 3 del Focus On: Industrial Cybersecurity
- Clicca qui per leggere tutti gli articoli del Focus
Che cos’è l’industrial cyber security
L’IT convenzionale è sempre stata sotto la lente di ingrandimento dei responsabili della IT security delle aziende e dei produttori di sistemi e servizi di cybersecurity: non altrettanto si può dire per gli ICS, in quanto, come già sottolineato, è solo di recente che le aziende industriali hanno iniziato ad adottare modelli di business che prevedono l’accessibilità e la gestione, anche via cloud, di sensori, dispositivi, macchinari e infrastrutture critiche; un accesso che avviene utilizzando endpoint (fissi e mobili), applicazioni, data center e reti precedentemente utilizzati solo per attività IT tradizionali, soprattutto business.
Una rivoluzione che si inserisce in generale nel fenomeno dell’Internet of Things (IoT), che prevede la possibilità che Internet non sia più utilizzata solo per fare interagire persone, comunità e aziende, ma anche frigoriferi, centraline per il monitoraggio ambientale real time, scatole nere installate a bordo delle automobili, defibrillatori impiantabili, sottostazioni elettriche e così via. Per quanto riguarda le aziende industriali, in verità, ormai già da anni è avvenuta una convergenza fra i mondi ICS e IT in diversi punti e strati delle infrastrutture tecnologiche, ma la digital transformation implica un’integrazione ancora maggiore, al punto da diventare improcrastinabile investire in cybersecurity Industria 4.0.
Quali sono le vulnerabilità dei sistemi informativi industriali
Esistono molti tipi di oggetti IoT. Ci sono quelli consumer, progettati per essere collegati a Internet, di solito gestiti da software che impiegano pochi file binari per ricevere comandi e inviare informazioni, e la cui messa in sicurezza è opportuna ma non vitale. Ma poi esiste nelle industrie e nelle utility una miriade di sensori, dispositivi, robot e relativi sistemi di controllo, spesso operativi H24, con software di controllo non aggiornati (anche per non perdere il supporto del produttore) e le cui compromissioni possono causare cali di produttività, problemi nei prodotti o nei servizi venduti (molti sono sistemi di Product lifecycle management, PLM), perdite di fatturato, violazione di compliance alle normative (anche del GDPR), danni di immagine, vantaggio per la competition, danni a persone e cose (ambiente incluso).
I sistemi di controllo dei dispositivi (come, per esempio, i computer embedded Plc, Programmable logic controller) e le workstation con cui gli operatori li programmano e li monitorano (attraverso programmi chiamati Human Machine Interface, HMI) nella maggior parte dei casi non dispongono di security software in grado di identificare e impedire infezioni da malware o l’esecuzione di istruzioni non autorizzate. Spesso chi accede a questi sistemi utilizza password brevi o addirittura quelle di default fornite dai produttori delle tecnologie. Buona parte degli ICS, poi, sono integrati in architetture Scada (Supervisory Control And Data Acquisition) costituite da più tecnologie che comprendono il software integrato, l’hardware, i sistemi di controllo e i sistemi di monitoraggio. Di architetture Scada ne esistono di diversi tipi, alcuni sviluppati da grandi aziende (o consorzi di grandi aziende), altri concepiti da enti settoriali e/o internazionali. Ecco perché, quando si parla di industrial cyber security, si tende a utilizzare l’espressione ICS Scada Security, una disciplina destinata ad ovviare al fatto che quando queste tecnologie sono nate, non si prevedeva la possibilità di attacchi mirati e infrastrutture critiche.
Quali sono le principali minacce alle infrastrutture critiche
Gli Industrial control system oggi sono esposti a minacce generiche, minacce specifiche per gli ICS e attacchi mirati. Molti breach che hanno fatto danni negli ultimi anni in aziende e critical infrastructure sono avvenuti sfruttando tecniche utilizzate anche nei confronti dei sistemi IT tradizionali. Spesso le workstation HMI dei sistemi ICS sono collegate a Internet con il protocollo HTTP e sono facilmente rintracciabili utilizzando comuni motori di ricerca. Una volta penetrati in questi computer, gli hacker possono prendere il controllo di dispositivi o server che utilizzano password di default note o facili da “crackare”. Nei confronti degli ICS e dell’IoT in generale, gli esperti di threat intelligence hanno rilevato una crescita degli attacchi di tipo applicativo. La ragione è semplice: mentre le reti (fisse o Wi-fi) sono sempre più protette da intrusioni dall’esterno, i software dei dispositivi IoT (pensiamo, ad esempio, alle webcam dei portatili o ai microfoni degli smartphone) e degli ICS, non hanno password (o le hanno deboli), sono sempre attivi, hanno backdoor (brecce nel codice del software predisposte dagli sviluppatori per poter svolgere attività di manutenzione) e spesso possono essere facilmente sostituiti con copie simili all’originale, ma in grado di far fare ai dispositivi attività nuove, oltre quelle previste: per esempio funzionare come nodi di botnet da cui lanciare attacchi DDoS.
Sempre a proposito di minacce generiche utilizzate questa volta per attacchi mirati, non si possono dimenticare quelle che sfruttano gli errori umani. Con un po’ di social engineering (il tipo più comune di attacco e tra i più riusciti perché punta sul fattore umano: attraverso un raggiro psicologico l’attaccante riesce a ingannare la vittima convincendola a fare qualcosa che altrimenti non avrebbe fatto), per esempio, un gruppo di hacker al servizio di un’azienda concorrente o di uno stato-nazione può convincere un dipendente di un un’azienda a inserire memory stick USB o DVD infettati in una workstation di uno Scada node (una postazione di un’architettura Scada da cui si gestiscono determinati impianti). Fra i malware più temibili che possono essere contenuti in questi veicoli di infezione ecco che si segnalano soprattutto i ransomware, i quali, nel caso degli industrial control system non mirano tanto a crittografare dei dati (per ottenere in cambio di un riscatto la chiave di decriptazione) quanto a cancellare programmi e dati al fine di bloccare un processo produttivo o l’erogazione di un servizio critico. La storia recente è ricca di incidenti di questo tipo.
Industrial Cyber Security Certification
Gli esperti di threat intelligence hanno scoperto, fra altre cose, che molti dei team di hacker che minacciano le aziende industriali e le infrastrutture critiche sono composti da persone con una buona conoscenza di specifiche architetture Scada, dispositivi, sensori e macchina, nonché dei processi produttivi che li utilizzano e dell’organizzazione delle aziende scelte come vittime di attacchi mirati. In un contesto, quale quello dello cyber security, in cui la sicurezza è “forte come l’anello più debole della catena”, per ottenere una security omnicomprensiva e proattiva in un mondo così eterogeneo e complesso come quello degli ICS, è necessario che anche le aziende industriali e i gestori di infrastrutture critiche ricorrano a risorse formate, meglio ancora se certificate, in specifiche tecnologie industriali e infrastrutture critiche e in strategie e soluzioni di cyber security ad hoc per questi mondi.