Automazione Plus

Cybersecurity nell’OTERT

La cybersecurity nell’Operational Technology emerge come elemento cruciale per garantire la sicurezza, la continuità operativa e la protezione degli asset fisici e umani

Nel mondo sempre più connesso e digitalizzato in cui viviamo, la sicurezza informatica è diventata una preoccupazione sempre più pressante, specialmente nel contesto delle infrastrutture industriali. L’Operational Technology, che comprende sistemi di controllo industriale, sensori, reti di comunicazione e altre tecnologie utilizzate nelle industrie manifatturiere e di produzione, è diventata un bersaglio sempre più attraente per gli attacchi informatici. In questo contesto, la cybersecurity nell’OT emerge come un elemento cruciale per garantire la sicurezza, la continuità operativa e la protezione degli asset fisici e umani.

Le sfide della cybersecurity nell’OT

Le infrastrutture industriali sono esposte a una serie di minacce informatiche, che vanno dall’hacking industriale al sabotaggio dei sistemi di controllo, passando per il furto di dati sensibili e la manipolazione delle operazioni. Le conseguenze di un attacco informatico alle infrastrutture industriali possono essere devastanti, con potenziali danni materiali, interruzioni delle attività produttive e rischi per la sicurezza degli operatori e dell’ambiente circostante, come già avvenuto in casi passati: Triton (2017) e Colonial Pipeline (2021). Le sfide della cybersecurity nell’OT includono la protezione di sistemi legacy, la complessità delle reti industriali e la necessità di garantire la continuità operativa senza compromettere la sicurezza. In una realtà operante, ad esempio, nel mondo manifatturiero si possano trovare tre ecosistemi ben precisi:

• Un ambiente IT con hardware tra i 5 e i 10 anni, che utilizza protocolli ‘standard’ quali TCP/IP, Https e dove vengono applicati (o almeno dovrebbero essere applicati) concetti di protezione di base (Zero Trust approach) quali Multi Factor Authenthication (MFA), protezione della posta da spam/phishing, protezione da antimalware, ecc;

• Un ambiente OT, con hardware datato a piacere, che utilizza protocolli strettamente specifici e come logiche di sicurezza un criterio cosiddetto di ‘isolamento’;

• Un ambiente ‘esteso’, utilizzato sia per estendere la capacità del proprio datacenter on-premise sia per applicazioni/servizi che per motivi di scalabilità, tempo o banalmente di costi, è più efficiente avviare dal cloud. Focalizziamo l’attenzione di questo articolo sul secondo punto: gli ambienti OT.

Ambienti Operation Technology

In questi ambienti generalmente troviamo dispositivi legacy (datati) e IoT (di impronta più recente): questi ultimi controllano apparecchiature fisiche, quindi tecnologia comune quale i sistemi di riscaldamento, ventilazione e condizionamento dell’aria (Hvac), nonché le apparecchiature specifiche del settore per la produzione, come ad esempio gli impianti petroliferi e del gas, i servizi pubblici, i trasporti, le infrastrutture civili e altro ancora. Gli ambienti dove operano dispositivi OT sono, per molti aspetti, diversi rispetto ad ambienti IT:

• L’insieme di misure e strumenti atti a prevenire o ridurre gli eventi accidentali (OT Safety) è la principale voce di sicurezza, in netto contrasto con il mondo IT che si concentra sull’insieme delle azioni e degli strumenti in risposta a una minaccia in atto (IT Security) organizzata allo scopo di arrecare danni ai sistemi informatici. Questa differenza è dovuta al fatto che un guasto del sistema OT potrebbe causare direttamente danni fisici: ad esempio ai dipendenti che lavorano su, o vicino a, macchinari pesanti; clienti che utilizzano/consumano un prodotto/servizio, cittadini che vivono/lavorano vicino a una struttura fisica, ecc.

• Come anticipato l’hardware/software OT è molto più datato rispetto ai sistemi IT, perché le apparecchiature fisiche hanno cicli di vita operativi molto più lunghi (in molti casi fino a 10 volte più lunghi): non è raro trovare apparecchiature di 50 anni che sono state modernizzate ai sistemi di controllo elettronico.

• I sistemi OT non sono stati creati tenendo conto delle minacce e dei protocolli moderni. Molte best practice consolidate di sicurezza IT, come l’applicazione di patch software, non sono praticabili o sono completamente inefficaci in un ambiente OT; anche se fossero applicate selettivamente avrebbero un effetto sicurezza comunque limitato. Dal 1990, la Purdue Enterprise Reference Architecture (PERA), alias Purdue Model, è stato il modello standard per l’organizzazione e segregazione delle misure di sicurezza del sistema di controllo aziendale e industriale (ICS) e delle funzioni di rete, indicando i vari livelli operativi. Dalla definizione del Purdue Model, i livelli 0-3 (ambienti OT) sono cambiati poco rispetto alla restante architettura, cioè il livello 4, che riflette un approccio più moderno grazie ai principi di zero trust e l’avvento della tecnologia mobile e cloud. L’avvento della trasformazione digitale, la cosiddetta Industria 4.0, ha richiesto inoltre degli strumenti volti a efficientare gli aspetti analitici del business: aumentando la correlazione del volume sempre maggiore di dati di produzione con un mondo IT e un mondo cloud. Grazie alla raccolta dei dati provenienti dai dispositivi OT/IoT con servizi ad essi dedicati e la potenza di calcolo a disposizione, l’approccio cloud ha permesso l’applicazione di logiche di analisi predittiva e prescrittiva. Se gli attacchi alla sicurezza informatica si estendono sempre più agli ambienti IoT e OT è quindi richiesto che i processi di risposta agli incidenti (e le strategie di prevenzione) convergano verso un approccio unificato, che si estenda a tali ambienti pur dovendo adattarli alle capacità e ai limiti di ciascuno. A tal proposito buona parte delle soluzioni di protezione OT sono basate sul monitoraggio passivo della rete: un sensore di rete che rileva le attività anomale o non autorizzate utilizzando analisi comportamentali e informazioni sulle minacce specifiche per protocolli OT.

Approcci alla cybersecurity nell’OT

Per affrontare le sfide della cybersecurity nell’OT, quindi, le aziende devono adottare un approccio olistico che integri tecnologie avanzate, pratiche di gestione dei rischi e collaborazione tra diversi attori. Alcune delle strategie chiave includono: Visibilità delle risorse: con l’obiettivo di ottenere una visibilità più approfondita sui dispositivi IoT/OT e assegnare loro una priorità in base alla valutazione del rischio che permetterà di valutare l’impatto potenziale degli attacchi informatici sulle operazioni e sulla sicurezza. Implementazione di pratiche di sicurezza: implementare controlli di accesso, crittografia dei dati, monitoraggio delle reti e altre pratiche di sicurezza per proteggere i sistemi OT dagli attacchi informatici. Ad esempio, utilizzando la segmentazione reti per limitare il movimento laterale e isolare i dispositivi IoT e le reti OT dalle reti IT aziendali utilizzando firewall ad-hoc, eliminando le connessioni Internet non necessarie e limitando l’accesso remoto o le porte di rete di accesso. Aggiornamento tecnologico: aggiornare regolarmente i sistemi OT con le ultime patch di sicurezza e soluzioni tecnologiche per mitigare le vulnerabilità e ridurre il rischio di compromissione. Ad esempio, utilizzando gli strumenti di scansione del firmware per identificare e mitigare potenziali punti deboli della sicurezza nei dispositivi ad alto rischio. Investigazione sulle minacce: eseguire delle simulazioni di incidenti negli ambienti OT (simulazioni del vettore di attacco) implementando un solido monitoraggio della rete all’interno degli ambienti OT, prestando attenzione ai comportamenti anomali che potrebbero indicare attività dannose. Gestione punti di accesso: proteggere i dispositivi da cui vengono gestiti gli ambienti citati implementando soluzioni di protezione sugli endpoint (EDR) ove possibile, e dove non è possibile, prevedere delle misure di protezione attiva dei dispositivi legacy. Formazione e consapevolezza: formare il personale su pratiche di sicurezza informatica, consapevolezza dei rischi e procedure di risposta agli incidenti per garantire una cultura della sicurezza diffusa all’interno dell’organizzazione. Collaborazione industriale: collaborare con altre aziende, fornitori, organismi di regolamentazione e organizzazioni di settore per condividere informazioni, best practice e risorse per migliorare la cybersecurity nell’OT. La cybersecurity nell’Operational Technology è essenziale per garantire la sicurezza e la resilienza delle infrastrutture industriali nell’era digitale in cui la convergenza tra tecnologie dell’informazione (IT) e tecnologie operative (OT) ha rivoluzionato l’industria, portando a una maggiore efficienza e innovazione. Tuttavia, questa interconnessione ha anche introdotto nuove sfide in termini di sicurezza, con le infrastrutture critiche che diventano sempre più vulnerabili agli attacchi informatici. In questo contesto, la Direttiva NIS2 dell’Unione Europea (UE) emerge come un importante strumento normativo per proteggere le Operational Technology e garantire la sicurezza delle infrastrutture critiche.

La NIS2 e le Operational Technology

La Direttiva NIS2, o Network and Information Security Directive 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) è stata progettata per affrontare le sfide emergenti nel campo della sicurezza cibernetica, concentrandosi sulla protezione delle infrastrutture critiche nell’UE. La NIS2 fornisce un quadro normativo per migliorare la sicurezza delle Operational Technology, promuovendo la collaborazione tra aziende, autorità pubbliche e altri attori nel settore della sicurezza cibernetica. Gli Stati membri dell’UE sono tenuti a identificare e designare le infrastrutture industriali critiche nel loro territorio e ad adottare misure per proteggerle dalle minacce informatiche. Inoltre, la NIS2 incoraggia le aziende a implementare pratiche di sicurezza cibernetica avanzate, tra cui la crittografia dei dati, l’accesso controllato ai sistemi OT e il monitoraggio costante delle reti industriali per rilevare e rispondere agli incidenti di sicurezza. La collaborazione tra settore pubblico e privato è essenziale per affrontare le sfide della sicurezza informatica nelle Operational Technology e garantire la resilienza delle infrastrutture critiche nell’era digitale.

Conclusioni

La Direttiva NIS2 rappresenta un importante passo avanti nella protezione delle Operational Technology e nella sicurezza delle infrastrutture critiche nell’UE. Affrontare le minacce informatiche alle infrastrutture industriali richiede un approccio integrato che coinvolga aziende, governi e altre parti interessate nella definizione di politiche di sicurezza cibernetica efficaci e nell’implementazione di misure di protezione avanzate. Solo attraverso la collaborazione e l’impegno condiviso sarà possibile garantire la sicurezza e la resilienza delle Operational Technology nell’era digitale.

Anie Automazione – https://anieautomazione.anie.it

Scarica il pdf