1 116 Table of Contents 118 134

AO_407

GIUGNO-LUGLIO 2018 AUTOMAZIONE OGGI 407 117 rette a sistemi di controllo industriale: Stuxnet, responsabile della compromissione delle centrifughe per l’arricchimento dell’uranio negli impianti iraniani di Natanz (2010); BlackEnergy, che nel di- cembre 2015 ha disattivato una centrale elettrica ucraina, cau- sando un blackout di oltre sei ore (attacchi reiterati per mezzo di CrashOverride l’anno successivo, ma resi noti solo nel 2017); e Havex, il worm che nel giugno del 2016 ha creato una backdoor a scopo di spionaggio e/o disabilitazione della rete di distribuzione, nei sistemi di controllo delle centrali elettriche europee. Nel report intitolato ‘ Threat Landscape for Industrial Automation Systems ’, gli analisti di Kaspersky Lab riportano che quasi il 40% dei componenti di controllo industriale che erano stati monito- rati, hanno subito almeno un attacco nella prima metà del 2017. Le prospettive per il futuro sono destinate a peggiorare: negli ultimi mesi abbiamo avuto modo di osservare gli effetti dele- teri di ransomware come WannaCry, che ha costretto produttori del calibro di Honda e Renault a interrompere la produzione, e NotPetya, costato centinaia di milioni di dollari ad aziende come FedEx, Maersk e Reckitt Benckiser. Più di recente ha fatto notizia la scoperta del malware Trisis/Triton, che ha attaccato la piatta- forma di sicurezza Triconex di Schneider Electric. La serietà di quest’ultima minaccia è legata al fatto che ha come obiettivo i sistemi SIS (Safety Instrumented System), il cui scopo è mettere in sicurezza i sistemi industriali prima che causino danni a cose, persone o all’ambiente. Il coinvolgimento di Stati nazionali negli attacchi di più alto pro- filo è forse l’aspetto più inquietante della recente escalation di attacchi a obiettivi strategici, come gli impianti di produzione dell’energia. I produttori di sistemi di controllo si trovano così nella scomoda posizione di dover prevenire attacchi da parte di soggetti che possono dedicare risorse ingenti alla scoperta e allo sfruttamento delle vulnerabilità più nascoste. La sicurezza dei sistemi OT Ancorché convergenti, le tecnologie IT e OT conservano le pro- prie differenze e questo si traduce in una diversa prioritizzazione nella gestione della sicurezza. Per cominciare, i sistemi di con- trollo industriale sono caratterizzati da un’eterogeneità molto più spinta, rispetto alla tipica rete aziendale di computer. Per poter gestire l’ampio parco di sensori, attuatori e relativi control- lori, infatti, affiancano alle più tradizionali connessioni basate su Ethernet e Wi-Fi tutta una pletora di tecnologie di networking che spaziano dalle interfacce seriali ai bus di sicurezza, passando per una sterminata selezione di bus di campo. Ci si trova così a dover gestire centinaia o migliaia di nodi, estremamente diversi tra loro e in larga parte incompatibili con le metodologie e gli strumenti di cybersicurezza del mondo IT, con il risultato di dover difendere un ampio fronte, dotato di numerosi potenziali punti di ingresso per le minacce informatiche. Il concetto stesso di sicurezza cambia tra IT e OT: nei sistemi IT, orientati all’elaborazione, trasmissione e conservazione delle in- formazioni, l’accento è posto sulla confidenzialità e integrità dei dati, in quella che si può interpretare come una coniugazione in termini di ‘security’ della sicurezza; nei sistemi OT, invece, lo scopo principale è interagire con sistemi fisici, leggendone e mo- dificandone lo stato. Proteggere i dati in un sistema di quest’ul- timo tipo significa preservarne l’integrità e la disponibilità, al fine di garantire l’affidabilità e la sicurezza (qui intesa nell’accezione di ‘safety’) del sistema stesso. E se una rete aziendale compro- messa può comportare ingenti danni economici e di immagine, un sistema ICS manomesso può portare a incidenti industriali con conseguenze fatali per il personale, la popolazione e l’ambiente. Un’altra differenza rilevante tra le due tecnologie consiste nel fatto che una rete IT può essere arrestata senza particolari pro- blemi, per applicare patch di sicurezza (per esempio fuori dagli orari di ufficio), e la norma è quella di un aggiornamento continuo e puntuale di programmi e applicazioni; un sistema ICS, d’altro canto, è generalmente pensato per lavorare ininterrottamente 24 ore al giorno, 7 giorni la settimana, e anche la più piccola interru- zione può comportare una considerevole perdita di produttività, o l’impossibilità di far ripartire il sistema. Ne consegue che l’ap- plicazione periodica di patch di sicurezza non può essere effet- tuata seguendo le stesse linee guida di un sistema IT e molti ICS presentano aree che rimangono prive delle necessarie protezioni per molto tempo. Considerando inoltre che i prodotti industriali hanno per loro natura un ciclo di vita molto più lungo dei componenti informatici com- merciali, sono molti i sistemi di controllo e automazione che ri- mangono vulnerabili per lungo tempo. Un sistema di controllo industriale presenta una moltitudine eterogenea di nodi che richiedono una gestionemirata della sicurezza. I componenti ai livelli più bassi sono invisibili agli strumenti di sicurezza IT tradizionali, pur rappresentando l’80% circa della superficie esposta di un ICS

RkJQdWJsaXNoZXIy MTg0NzE=