AO_407

GIUGNO-LUGLIO 2018 AUTOMAZIONE OGGI 407 118 AO TUTORIAL Il perimetro espanso Gli obiettivi dei cyberattacchi sono tutte quelle macchine suf- ficientemente sofisticate da poter ospitare codice maligno. Questo include una vasta gamma di sistemi, che vanno dai com- puter industriali (IPC), ai sistemi di controllo distribuito (DCS), alle piattaforme Scada e giù fino ai controllori logici programmabili (PLC) e ai pannelli operatore, che realizzano le interfacce uomo- macchina (HMI). Con l’affermarsi dell’Industrial IoT il bacino dei nodi suscettibili di attacco si è ulteriormente espanso con l’in- clusione di sensori e attuatori intelligenti ai più bassi livelli di un impianto. Il crescente uso delle comunicazioni wireless, anche su dispositivi di basso livello, che non sono sufficientemente ‘smart’ da implementare protezioni adeguate, e la crescente contamina- zione delle applicazioni industriali con tecnologie commerciali e sistemi operativi mainstream altamente esposti a virus e altro malware, sono due delle principali cause dell’incremento del nu- mero di attacchi agli ICS negli ultimi anni. La moderna gestione della supply chain, poi, apre ulteriori varchi a potenziali malinten- zionati, estendendo il perimetro alle infrastrutture dei fornitori, che accedono al sistema di automazione per motivi di gestione e manutenzione remota. Con un perimetro così vasto, i punti di ingresso di una minaccia informatica sono ovviamente numerosi. La principale fonte di infezione sono i dispositivi connessi alla rete in maniera non sicura: computer portatili, tablet e smartphone, chiavette USB, CD e DVD, ma anche pannelli operatore e terminali remoti. La più ovvia strategia di difesa richiede di monitorare in continuazione tutte le porte Ethernet, tutti i punti di accesso wire- less, tutte le porte USB e tutti i flussi dati provenienti dall’esterno, instaurando un rigido controllo degli accessi. Un problema di visibilità Per quanto riguarda i nodi che fanno parte della rete industriale vera e propria, un’efficace misura preventiva consiste nell’identi- ficare tutte le vulnerabilità note e nell’applicare tempestivamente le necessarie contromisure. Ma non è così semplice farlo quando si tratta con sistemi di controllo industriale. Una prima difficoltà riguarda l’identificazione stessa delle vulne- rabilità: l’80% circa dei nodi di un ICS sono PLC, DCS, sensori e attuatori intelligenti, che risiedono ai livelli più bassi dell’archi- tettura di rete. Tutti questi componenti, che popolano il piano di fabbrica e sono i più vicini alla implementazione fisica dell’im- pianto, sono essenzialmente invisibili agli strumenti di sicurezza impiegati dalla tecnologia IT. Questi ultimi sono infatti al più in grado di riconoscere, analizzare e gestire i router, gli switch, le postazioni di lavoro e i PC industriali che risiedono al livello di su- pervisione e gestione e che, per loro natura, hanno molti tratti in comune con l’infrastruttura e i PC di una rete locale aziendale. Ap- poggiarsi alle soluzioni di cybersicurezza che si intersecano con il mondo IT, come antivirus, firewall, sistemi di rilevamento delle intrusioni (IDS) e scanner di vulnerabilità, non è più sufficiente. In- fatti, quand’anche queste misure siano in grado di rilevare i nodi da mettere in sicurezza, la loro applicazione può interagire con i sistemi critici a bassa latenza, originando dei falsi positivi dalle conseguenze intollerabili. I possibili punti di ingresso delle minacce informatiche in un sistema di controllo industriale includono PC e periferiche impiegate per la messa a punto, l’aggiornamento, la manutenzione dell’impianto