1 41 Table of Contents 43 100

AS_03_2019

Aprile 2019 Automazione e Strumentazione CYBER-SECURITY approfondimenti 42 Quindi ora si preferisce adottare contromisure adeguate alla criticità e importanza del sistema ICS, e al contempo avere la massima visibi- lità su quanto succede in rete e sul sistema per accorgersi prima possibile di eventuali anomalie di comportamento che possano dare indizi su eventuali compromissioni in atto e incidenti incombenti. Nel report viene riportato che nel febbraio 2018 è stato segnalato il primo episodio di malware di cryptomining (un server utiliz- zato per svolgere catene di cryptovalute) tro- vato nei sistemi Scada di una utility idrica , collegato a Internet. Si noti, per inciso, che questo incidente non è stato l’unico. Questo lascia spazio a due considerazioni: in primis, che un sistema collegato a internet, con scarsa protezione perimetrale , è facilmente compromissibile. In secondo luogo, che è indi- spensabile avere visibilità su quanto avviene nei sistemi ICS per accorgersi all’istante se ci sia in corso qualche attività non prevista e potenzialmente malevola. Proteggere il perimetro, ma anche segmentare e segregare Da sempre suggeriamo di segmentare la rete e segregare in modo adeguato i componenti più critici del sistema di controllo. A questo riguardo lo standard IEC 62443, riprendendo il cosiddetto modello Pera (Purdue Enterprise Reference Architecture), approfon- dito anche in ISA-95 e ISA99, definisce come la suddivisione in Zone deve essere seguita e come limitare al massimo i Conduit che per- mettano comunicazioni di informazioni tra una zona e l’altra, che dovranno poi essere presi- diati adeguatamente. Nel report si spiega che “Il 64% dei prin- cipali incidenti che riguardavano sistemi o reti di controllo industriale sono stati ran- somware ” (nel 2018). Nella stragrande maggioranza di tali incidenti, il ransomware arriva sulla rete del sistema OT/ICS che gestisce l’impianto o la macchina in fabbrica, come ‘danno collaterale’ di un allegato di email o di una navigazione su un sito infetto aperto improvvidamente da un PC negli uffici di sede. Quasi sempre, una volta arrivato sulla rete di stabilimento il ransomware ha vita facile a propagarsi, infettare altri PC, bloccare il fun- zionamento criptando i dischi e rendendo inu- tilizzabile il sistema, e di conseguenza bloccare i sistemi di automazione e controllo, fermando la produzione o l’erogazione del servizio. Ora, a nostro modo di vedere qui si evidenziano tre ordini di problemi: - Le policy di awareness/training di security delle Aziende coinvolte non sono così effi- caci e qualcuno ancora apre allegati di posta infetti o naviga su siti poco raccomandabili. - Le contromisure tecnologiche di security adottate non sono adeguate a bloccare queste campagne di ransomware. - Il fatto che un ransomware che colpisce la rete di ufficio venga a propagarsi nella rete di fabbrica evidenzia il fatto che non ci sia una protezione perimetrale nè una corretta segmentazione della rete nè una segrega- zione adeguata dei computer più critici nei reparti di produzione. E molto probabilmente risulta lacunosa anche la pratica di effettuare correttamente i backup di tutti i sistemi utilizzati in fabbrica (PC, PLC, Scada ecc.): questo, anche in caso di incidente, potrebbe limitare i danni a poche ore di fermo, con ripartenze veloci, senza causare giorni e giorni di mancata produzione o erogazione del servizio come purtroppo è successo in molte realtà industriali sia nel 2017 che nel 2018 (come ancora riportato in diverse parti del report ETL2018). Limitare l’accesso da remoto ai sistemi industriali Nel report ETL2018 di Enisa si evidenzia come la distribuzione indiscriminata di RAT (Remote Access Tool) sui sistemi ICS sia una pratica diffusa e che procura grosse preoccu- pazioni. Uno strumento di amministrazione remota (o RAT) è un programma usato da operatori e da altre persone per connettersi a un com- puter remoto attraverso Internet o attraverso un network locale, per svolgere poi determi- nate attività di manutenzione o anche gestione del sistema senza doversi recare di persona sull’impianto per avere fisicamente accesso al sistema stesso: uno strumento per l’ammi- nistrazione remota installato sul sistema ICS e che possa replicare video, tastiera e mouse su un altro PC collegato in rete. Il report ETL2018 ci ricorda che “Le reti OT di imprese industriali sono un campo di gloria per gli attori di minacce di spionaggio”. Questi attori utilizzano strumenti di ammini- strazione remota (RAT) che sono già instal- lati sui sistemi di controllo industriale (ICS). La figura 2 è tratta da un recente rapporto che

RkJQdWJsaXNoZXIy MTg0NzE=