AS_02_2021

tecnica Automazione e Strumentazione Marzo 2021 93 SICUREZZA semplice informazioni provenienti da sistemi diversi; - Industria 4.0 che tra i suoi vincoli richiede proprio una inter- connessione e integrazione tra la rete IT e la rete OT, oltre che richiedere connessioni in remoto per garantire la teleassistenza. Proprio a causa del mutare dello scenario tecnologico e della inter- connessione tra due mondi (OT ed IT) che hanno sempre vissuto in modo segregato, si è reso necessario anche a livello normativo introdurre uno standard di riferimento che definisse i concetti base da applicarsi alla security OT ed anche quelle che sono le regole per poter valutare i livelli di sicurezza raggiunti dai sistemi OT. Stiamo, quindi, parlando della normativa IEC 62443 . Ethernet è arrivato nel mondo industriale circa 15 anni fa e da allora ha sempre più preso campo in tutte le installazioni nuove ed in quasi tutti i settori dell’automazione. Ha avuto un così alto suc- cesso poiché i dispositivi e la loro manutenzione costavano deci- samente di meno rispetto ai fieldbus seriali, per via della grande adozione di Ethernet nel mondo office. Inoltre, la possibilità di avere un’ unica infrastruttura di rete ( υ Figura 1 ) ha decisamente aumentato la produttività degli impianti permettendo l’utilizzo sempre maggiore di tecniche di ottimizzazione della produzione basate sull’analisi dei dati. Un contro di questa soluzione è stato sicuramente quello di rendere la rete OT vulnerabile ad attacchi. Inoltre, con Industrial Ethernet è possibile utilizzare nella rete OT tutti i protocolli del mondo IT (HTTP, DHCP, SNMP, FTP ecc.) che sono sì comodi e altamente supportati, ma sono anche conosciuti da un numero assai maggiore di persone rispetto ai pro- tocolli OT. Ciò comporta che questi protocolli hanno numerose vulnerabilità che possono essere sfruttate dagli attaccanti per compiere i loro attacchi. Industria 4.0 ha fatto sì che queste interconnessioni aumentassero ancor di più, ed anche quelle da remoto che negli ultimi mesi sono ulteriormente aumentate per via dell’adozione del ‘remote wor- king’ causata da Covid-19. L’introduzione del problema della security viene evidenziato anche dall’introduzione dello standard IEC 62443, la cui prima pubblicazione risale al 2009. Lo standard è composto da 14 pub- blicazioni di cui ad oggi ne sono state diffuse 9. Le misure da adottare Lo standard IEC 62443 consiglia che il primo passo che qualsiasi azienda deve compiere per proteggere in maniera adeguata il pro- prio impianto è quello di andare ad effettuare un’ analisi dei rischi che corre il nostro impianto dal punto di vista della cyber security. Una volta calcolati i rischi, per ognuno di essi bisogna decidere se: - Accettare il rischio senza intraprendere nessuna contromisura; - Mitigare il rischio tramite opportune contromisure; - Trasferire il rischio tramite assicurazioni. Le contromisure che vengono indicate dallo standard si rifanno al concetto di ‘defense in depth’ ( υ Figura 2 ), che è stato introdotto dallo standard ISO 27001 , parente stretto della 62443 nel mondo IT. Questo concetto ci dice che per difenderci dagli attacchi infor- matici dobbiamo applicare più livelli di sicurezza che andranno nel loro insieme a richiedere maggiori sforzi ed abilità agli attac- canti per raggiungere i loro scopi. Il livello più esterno è quello formato dalle policy e dalle proce- dure a cui viene aggiunta anche la formazione dei propri dipen- denti. Un’azienda deve definire nelle sue policy linee guida di alto livello che vanno ad indicare la posizione dell’azienda nei con- fronti della cyber security. A questo si devono aggiungere anche le procedure che devono essere seguite dai dipendenti e dai visi- tatori esterni. In questa parte riveste un ruolo fondamentale anche la formazione e informazione del personale. Il ruolo dei com- portamenti del personale riveste un ruolo molto importante nella possibilità di creare un punto di accesso al sistema per possibili attacchi. Infatti, quasi la totalità degli attacchi informatici inizia per una dimenticanza o per l’inesperienza dei lavoratori che pos- sono essere tratti in inganno dai trucchi degli hacker. Il livello successivo consiste nell’intraprendere misure fisiche di sicurezza per impedire l’accesso all’impianto da parte di persone non autorizzate. Esempi di queste contromisure possono essere: armadietti con serratura nei quali inserire i dispositivi, controllo degli accessi tramite badge, telecamere di sicurezza e così via. Poi abbiamo il livello rete dove si deve partire da avere una buona architettura della nostra rete, in quanto non avrebbe molto senso difenderci da attaccanti esterni, se ci creassimo dei problemi con le nostre mani. Le reti OT sono decisamente più sensibili e fragili di quelle IT, ma le minacce arrivano per lo più dall’esterno e quindi è bene separare in maniera adeguata la rete OT da quella IT tramite router e firewall facendo passare solamente il traffico necessario. Le minacce potrebbero però arrivare anche direttamente dalla rete OT stessa, per cui è necessario dividere la nostra rete OT in zone che condividono determinati requisiti (sicurezza, funzione svolta, posizione ecc.). Questo viene fatto per limitare la superficie di attacco a disposizione degli hacker. Inoltre, bisogna anche difen- dere in maniera adeguata i punti di accesso a queste reti lasciando passare solamente il traffico necessario . Infine, è bene monito- rare in maniera continua la nostra rete, perché risulterebbe dif- ficile difendere qualcosa che non si conosce. Il monitoraggio della Figura 2 - Defense in depth