di Andrea Padovani (Yara Italia) e Paolo Cocco (Yokogawa Italia)
1. L’INFORMATIZZAZIONE DELL’AUTOMAZIONE
L’introduzione delle tecnologie informatiche nel mondo dell’automazione è un processo avviato da tempo e che ha raggiunto un livello molto elevato. La maggior parte di produttori di dispositivi di interfaccia tipici dell’automazione (pannelli operatori, SCADA, HMI, dispositivi di configurazione …) hanno abbandonato l’approccio di realizzarli tramite un hardware e un software progettato specificatamente per tale funzione, abbracciando l’approccio della loro realizzazione come applicazioni software per comuni PC, appoggiandosi su sistemi operativi generici.
Il presentarsi sul mercato di un numero sempre maggiore di tecnologie tipiche del mondo informatico, o comunque su di esse basato, applicate alla comunicazione nel mondo dell’automazione (Modbus/TCP, OPC, porte di programmazione basate su Ethernet, …) ha spinto a realizzare anche una o più reti informatiche di interconnessioni di diversi sottosistemi, mettendo in comunicazione più PC dello stesso fornitore, e anche realizzando delle reti di interconnessioni di sistemi di terze parti: si è andata sviluppando una realtà simile a quella del mondo IT basata su PC con reti di telecomunicazioni, switch, router, software.
Nelle realtà produttive pre-esistenti all’informatizzazione dell’automazione l’introduzione di questa tecnologia è avvenuta gradualmente, spesso senza un piano generale sulla sua realizzazione, concretizzandosi con la sostituzione di dispositivi specifici con nuovi “modelli” realizzati tramite software per normali PC.
La spinta a questo passaggio proviene dai vantaggi tipici del mondo IT: facile reperibilità dell’hardware, bassi costi, semplice gestione degli aggiornamenti, versatilità, e non da ultimo, la facilità di integrazione con altre realtà IT che rende possibile un semplice ed automatico interfacciamento tra i dati produttivi raccolti dai sistemi tipicamente di automazione e gli strumenti di reportistica ed analisi presenti tipicamente sui sistemi di amministrazione.
Ma così come si sono ereditati i principali vantaggi IT, se ne sono ereditati anche i principali svantaggi. Il mondo IT è un mondo estremamente diffuso, utilizzato e conosciuto: questo semplifica e rende più interessante progettare, realizzare e diffondere minacce quali virus, worm, trojan, hacking e tutte le problematiche quotidiane che ormai gli utenti dei PC sono abituati ad affrontare.
Un’ulteriore problematica introdotta dall’informatizzazione è legata ai rapidissimi tempi di sviluppo della tecnologia IT, specialmente a confronto con quelli delle tecnologie di automazione dove i tempi di ammortizzamento dei costi sono di un ordine di grandezza superiore. Nuove minacce informatiche nascono letteralmente ogni giorno: un sistema ad elevatissima sicurezza può, in tempi brevissimi, ridursi ad un sistema debole ed aperto alle minacce esterne.
2. LE PRINCIPALI MINACCE INFORMATICHE PER L’AUTOMAZIONE
La realizzazione delle operazioni di automazione propriamente dette è in genere tutt’ora basata su hardware dedicato e software specificatamente progettato che non si appoggia su sistemi operativi standard, né utilizza codice di pubblica diffusione (se non in minima parte), e risulta estremamente robusta alle principali minacce IT. Al contrario i principali sistemi di interfaccia uomo macchina sono deboli da questo punto di vista. Le conseguenze possono essere comunque notevoli, a partire dal disagio di gestione del sistema per le ridotte funzionalità dell’interfaccia, dal tempo e costi per ripristinarlo, sino alle problematiche sulla registrazione dei dati per il sistema di qualità o imposti dalle autorità di controllo, e nei casi peggiori anche la possibilità di arrivare a condizioni di pericolo per la mancata possibilità di monitorare la situazione del sistema sotto controllo.
2.1. VIRUS
I Virus informatici sono in assoluto la minaccia che con maggior probabilità può riuscire ad interessare una rete informatica di sistemi di automazione. Lo stesso efficiente sistema di diffusione che li ha resi la principale minaccia nel mondo IT li rende efficienti anche nella diffusione sui sistemi di automazione.
Gli effetti indesiderati sono estremamente vari e spaziano da danni considerevoli a semplici effetti negativi. Anche nei casi meno dannosi si sperimenta almeno un rallentamento delle funzioni del PC e una occupazione di banda più pesante su eventuali reti di comunicazione. Entrambi questi svantaggi sono più gravi quando il PC è utilizzato nel mondo dell’automazione.
È fondamentale considerare che, sebbene esistano worm informatici espressamente progettati per colpire sistemi di automazione, la minaccia proviene principalmente dall’enorme quantità di virus e software dannoso progettato per i normali sistemi IT ma, ovviamente, capace anche di intaccare i sistemi informatici per l’automazione.
2.2. INTRUSIONI INFORMATICHE
Intrusioni non autorizzate in un sistema informatico dedicato all’automazione possono risultare estremamente pericolose. Il rischio principale in caso di queste intrusioni non è il furto di notizie o dati sensibili come nei tipici casi IT, ma il rischio di avere interferenze esterne su un sistema di monitoraggio ad un processo produttivo, generando condizioni di oggettivo pericolo, anche per l’incolumità delle persone.
Sebbene possa sembrare una eventualità remota è opportuno ricordare che si sono già presentati intrusioni specificatamente pianificate per colpire sistemi informatici di automazione, sia a scopo terroristico, sia di estorsione e anche per ripicca da parte di ex dipendenti.
2.3. CONNESSIONI CON ALTRI SISTEMI IT (RETE DI UFFICIO)
La stessa presenza di una connessione fisica tra un sistema IT generico e uno o più sistemi dedicati all’automazione è un pericolo. Appare evidente come questa connessione possa risultare un veicolo per diffondere e permettere le due precedenti minacce, mentre risulta meno palese un rischio non trascurabile di natura organizzativa. Tipicamente la responsabilità del sistema IT generico (“rete di ufficio”) è affidata a personale differente da quello a cui è affidata la responsabilità del sistema di automazione. Le possibilità che le operazioni eseguite per aumentare la sicurezza dei due sottosistemi e la loro interconnessione siano affette da errore umano aumentano, specialmente per possibili problemi di incomprensione tra i due team.
L’intera progettazione della cyber security di una delle due reti potrebbe basarsi su assunzioni errate riguardo il funzionamento dell’altra rete, risultando in un indebolimento delle azioni intraprese o nella apertura di nuove falle di sicurezza non prese in considerazione.
2.4. PERDITA DEI DATI
Il rischio della perdita dei dati nel mondo del process IT è ridimensionato rispetto al mondo IT tradizionale. Un primo motivo è basato sulla minore importanza dei dati stessi, in quanto compito fondamentale del sistema di automazione è il suo funzionamento più che la memorizzazione di dati storici e la loro disponibilità.
Un secondo fattore è dato dalla mentalità differente con cui si realizza un sistema di process IT, dove una corretta filosofia di parti di ricambio, installazioni ridondate, sostituzione di dispositivi obsoleti e manutenzione preventiva sono profondamente radicate.
3. SISTEMA ISOLATO
Le reti che maggiormente necessitano sicurezza sono realizzate senza connessione fisiche ad altre reti o macchine. L’unico modo di scambiare dati con queste reti si basa sull’interfaccia umana. Teoricamente questo determina il massimo livello di sicurezza, impedendo l’esposizione ai rischi precedentemente presentati.
Per una efficace realizzazione di questa separazione fisica anche i media rimovibili (dischetti, USB drive, CD, DVD …) dovrebbero non essere utilizzati, riducendo l’estrazione dei dati solo alla lettura a video o alla stampa, e l’inserimento dei dati all’attività di digitazione manuale.
In una realtà industriale mantenere un isolamento totale ed efficace è difficile. Diverse attività possono richiedere uno scambio di dati: necessità di aggiornare il software per correggere un bug, o per poter interagire con versioni più aggiornate di prodotti, necessità di consultare una grande mole di dati, realizzare backup periodici o in vista di un rimpiazzo della macchina stessa… Inoltre si deve evitare la possibilità che l’isolamento sia “rotto” per errore o incuria umana, dotando il sistema di un controllo forzato per l’accesso fisico (sistema IT posto in locale chiuso a chiave, monitoraggio in continuo).
La realizzazione di un efficace isolamento è più oneroso di quanto possa apparire, sia da un punto di vista economico, sia da un punto di vista gestionale, ma soprattutto per quanto riguarda l’accessibilità e l’usabilità del sistema stesso. Le implementazioni di questo metodo sono generalmente riservate a situazioni specifiche e complesse (sistemi militari, sistemi medici salva vita), che si appoggiano ad ogni precauzione realizzando un controllo forzato che verifichi l’integrità dell’isolamento.
Realizzazioni più semplici di questa soluzione, dove il mantenimento dell’isolamento si basa semplicemente su una procedura di uso del sistema, sono aperte a molte falle di sicurezza, sia per incuria, sia per dolo, sia per errore umano, e possono generare un falso senso di sicurezza.
Non va inoltre scordato che l’implementazione dell’isolamento totale prevede di rinunciare ad uno dei principali vantaggi che ha spinto l’informatizzazione dell’automazione: l’integrabilità con sistemi IT. Basarsi sulla separazione come sistema di protezione significa rinunciare in via definitiva (a meno di realizzare in un secondo tempo altri sistemi di protezione) alla interconnessione del sistema con sistemi gestionali, od amministrativi, o sistemi di automazione di terze parti.
4. LA COMPONENTE IT NEL SISTEMA DCS/ESD
I principali fornitori di sistemi DCS/ESD propongono una architettura di sistema basata su connessioni ethernet ridondate che permette la comunicazione tra i controllori e le stazioni HMI (realizzate con PC dotati di sistema operativo non dedicato), a cui d’ora in avanti ci riferiremo come “control network”.
A fianco di questa rete di processo è possibile trovare connessioni ethernet con sistemi di terze parti, connessi tramite PC dedicati all’uso di Gateway o tramite stazioni HMI. In casi di minor cura nella progettazione dell’architettura sistemi di terze parti potrebbero essere inseriti direttamente nella rete di controllo. Gli specifici protocolli di comunicazione utilizzati possono essere disparati (Modbus/TCP, OPC, il servizio standard di file sharing …) e non determinano differenze nei successivi ragionamenti.
Non da ultimo è possibile avere una interconnessione con la rete IT tradizionale (d’ora in avanti “office network”) a scopo di monitoraggio dei dati di processo correnti, risultati storici, reportistica o altro.
L’articolata rete che se ne determina è naturalmente soggetta ai rischi presentati e di conseguenza è opportuno implementare una serie di sistemi di cyber security.
5. IMPLEMENTAZIONE DI CYBER SECURITY IN UN SISTEMA DCS/ESD
Il fondamento di tutta l’implementazione della cyber security consiste in una chiara e definita suddivisione tra la office network (tipicamente sotto la responsabilità del dipartimento IT) e la control network (tipicamente sotto la responsabilità del dipartimento strumentale/automazione). A completamento dell’aspetto organizzativo si realizza una modifica ovvia dell’architettura, introducendo l’office firewall che permette una separazione tra le due reti, controllando il traffico tra di esse e permettendone la regolamentazione. Il firewall deve essere configurato consentendo il traffico necessario (tipicamente i servizi di Plant Information Management) e bloccando in via precauzionale tutto il restante traffico.
Poiché il ruolo dell’office firewall è proteggere una rete dalle minacce presenti nell’altra rete è difficile assegnare la responsabilità della sua gestione ben definita tra i due gruppi coinvolti (IT e automazione). Inoltre a prescindere da quale dei due gruppi si occuperà della sua gestione l’altra disciplina rimane priva di ogni strumento di controllo per proteggere la propria rete, e può solamente contare sul lavoro dell’altro gruppo.
Per risolvere questo problema organizzativo, e fornire ad ogni gruppo strumenti per difendere le proprie aree di interesse, si prevede l’installazione di un secondo firewall (control network firewall). In questo modo l’office firewall può essere sotto la completa responsabilità del dipartimento IT, che può così garantire la protezione della office network, mentre il control network firewall può essere sotto la totale responsabilità del dipartimento di automazione, che può garantire la protezione della control network.
Perché la comunicazione possa funzionare i due dipartimenti devono lavorare a stretto contatto e con un notevole scambio di informazioni. La presenza dei due firewall diminuisce la possibilità di errori umani in quanto le configurazioni dei due dispositivi devono essere armonizzate per permettere le necessarie e lecite comunicazioni tra le due reti. Questo significa che la maggior parte di errori di configurazione possono essere rilevati all’atto della messa in servizio dei due dispositivi.
Queste basilari modifiche permettono di identificare con precisione le due reti, ne assegnano chiaramente la responsabilità e instaurano un primo baluardo di difesa della control network dalle minacce esterne.
Un secondo passo fondamentale consiste nel cosiddetto “hardening” dei dispositivi, che consiste nella modifica della configurazione di base di ogni dispositivo (ad esempio password di default, facilmente reperibili tramite i manuali forniti dai costruttori stessi) e dalla rimozione di ogni servizio non necessario per il funzionamento del sistema di controllo (ad esempio l’inibizione delle porte USB nei PC che realizzano la funzionalità HMI, la disattivazione di servizi standard del sistema operativo non necessari per il funzionamento HMI, …). Tale procedura se prevista all’atto dell’installazione di un elemento dell’architettura è semplice e veloce, mentre richiede qualche cautela in più in caso di realizzazione su una architettura funzionante.
5.1. PROTEZIONE CONTRO I VIRUS
L’esperienza quotidiana mostra come il firewall non sia sufficiente a garantire la protezione da infezioni di virus informatici. Questo dipende sia dalla possibilità che nuovi virus possano passare attraverso traffico apparentemente lecito, sia dal fatto che i virus si riescono a diffondere da ben prima dell’affermazione delle reti di calcolatore tramite i media rimovibili. Negli anni ’80 il principale mezzo di diffusione dei virus informatici era il floppy disk: oggi non è da trascurare il ruolo degli USB drive.
Il mezzo più efficace per proteggersi contro i virus consiste nell’installazione di un sistema antivirus, che deve essere preventivamente approvato dal fornitore del DCS, comprese i suoi specifici settaggi per non interferire con le sue normali funzionalità, e mantenerlo aggiornato.
La diffusione dei virus è facilitata da ogni falla di sicurezza del sistema operativo, di conseguenza risulta determinante garantirne costanti aggiornamenti, sempre previa consenso del fornitore del sistema DCS.
Questa soluzione, seppure tecnicamente semplice, si scontra con una mentalità diffusa nel mondo dell’automazione: quella di “lasciar il sistema in esecuzione”, che prevede una assenza di azione. L’approccio verso la cyber security richiede fortemente di sposare la mentalità verso un approccio di “mantenere il sistema in esecuzione”, che richiede una azione attiva sul sistema, con tutti i rischi ad essa connessi.
È fondamentale prevedere una sorta di test prima di eseguire ogni aggiornamento, anche se autorizzati dal fornitore del sistema DCS, su macchine esplicitamente identificate la cui mancata funzionalità non crea danni significativi, o a cui si può far rimedio con una installazione ridondata. In caso non esistano queste condizioni è opportuno prevedere di installare appositamente una (o più) macchine aggiuntive per poterle utilizzare come “cavie” durante le fasi di aggiornamento, e mantenere così il livello di rischio sotto una soglia tollerabile.
5.2. PROTEZIONE CONTRO INTRUSIONI INFORMATICHE
La modifica dell’architettura del sistema, introducendo due firewall, garantisce già un margine di sicurezza contro eventuali intrusioni informatiche. Esso non è però sufficiente: non può prevenire una intrusione (dolosa o dovuta ad errore umano) che nasce all’interno della stessa control network.
Il sistema più semplice per proteggersi contro queste minacce è dotarsi di un Network Management Server, PC dedicato all’esecuzione di software NMS (network management system). Progettando opportunamente l’architettura della rete, e utilizzando managed switch (switch programmabili e configurabili) è possibile sia mantenere controllo sul traffico esistente sulla rete, potendo identificare eventuali tentativi di intrusione, sia gestire la configurazione degli switch di rete, decidendo ad esempio di mantenere inattive tutte le porte che il progetto prevede di essere inutilizzate annullando la possibilità di intrusione da errore umano, e rendendo più difficoltosa l’intrusione dolosa.
6. IMPATTO DELLA CYBER SECURITY NELL’ARCHITETTURA DI UN SISTEMA DCS/ESD
Le soluzioni presentate sono efficienti, ma è chiaro che la loro gestione può essere estremamente gravosa, in funzione della dimensione del sistema da mantenere, e in funzione degli intervalli di aggiornamento che si decide di rispettare. Già per sistemi di medie dimensioni il carico di lavoro può risultare non ragionevole.
La soluzione ricalca esattamente quella implementata già da diversi anni nei sistemi IT: l’implementazione di un sistema di gestione centralizzato tramite la funzionalità Active Directory (AD) di Microsoft Windows® (Domain Controller) affiancato da un sistema centralizzato di aggiornamento anti virus (Anti Virus Server) ed a un servizio WSUS (Windows Service Update Services, servizio di aggiornamento del sistema operativo). Per poter introdurre questi aggiuntivi PC è opportuno prevedere una modifica ulteriore della architettura, introducendo una rete ad essa dedicata, d’ora in poi chiamata process control network.
Poiché la funzionalità del domain controller e dell’antivirus server è fornire servizi e gestire i PC in maniera centralizzata ognuna delle macchine presenti nella control network deve avere un’ulteriore indipendente connessione alla process control network. Tramite questa connessione indipendente le macchine possono ricevere patch per il sistema operativo, nuove definizioni per il database dell’antivirus ed essere in generale gestite remotamente dal domain controller. Le principali azioni di sicurezza finora descritte sono realizzabili e gestibili centralmente, con una maggiore efficienza ed un ridotto carico di lavoro.
Specificatamente le operazioni di hardening dei PC possono essere eseguite in maniera centralizzata, riducendo drasticamente la possibilità di errori umani nel ripetere la configurazione su più e più macchine.
L’introduzione della process control network permette di collegare ai PC della control network sia le macchine di terze parti sia le macchine di servizio del DCS stesso, in maniera più razionale ed organizzata, potendo comunque raggiungere i servizi forniti dal DCS senza ricorrere a connessioni punto punto. Inoltre sfruttando la presenza del domain controller e del server antivirus è possibile utilizzare una soluzione unica per tutte le macchine incluse nella stessa process control network, a prescindere dal loro fornitore. A seconda delle dimensioni della process control network può risultare vantaggioso per ottimizzare l’occupazione della banda organizzarla in più sottoreti, collegate tra di loro tramite uno switch di livello 3 (router) secondo le normali buone norme di progettazione di una rete ethernet.
Naturale evoluzione di questa architettura è introdurre la possibilità di aggiornare il WSUS e il server antivirus in maniera automatica. Pur potendo gestire gli aggiornamenti tramite la scherzosamente detta “sneakernet” (una rete basata sul livello fisico delle scarpe dell’operatore che trasporta tramite media rimovibili gli aggiornamenti) si ottiene una maggiore efficienza introducendo un’ulteriore ramo nell’architettura ad elevata sicurezza la DeMilitarized Zone o DMZ.
Una macchina all’interno di questa rete può essere raggiunta dall’esterno, ma non può iniziare comunicazioni all’esterno della propria rete. In caso che i PC all’interno della DMZ vengano violati questi non possono intaccare nessuna macchina all’esterno della DMZ, garantendo un elevato grado di sicurezza alla process control network. All’interno della DMZ si installano un anti virus server e un WSUS di appoggio, che ricevono gli aggiornamenti dall’esterno (un server IT sulla rete di ufficio, o da server su internet raggiunti sempre tramite la rete di ufficio). A loro volta verranno interrogati dal WSUS e antivirus server all’interno della process control network che possono mantenersi aggiornati, senza incappare in una connessione diretta con la rete esterna e con tutti i pericoli associati a questa operazione.
Un ultimo sviluppo all’architettura si ottiene introducendo eventuali reti di terze parti, che non necessitano nessun contatto diretto con la control network, inserendola tra l’office firewall e il control network firewall. In questo modo si evita di appesantire inutilmente il numero di PC all’interno della process control network, ma con una opportuna configurazione del control network firewall anche queste reti e le macchine al loro interno possono essere gestite tramite i servizi fondamentali di Network management, AD, WSUS, Antivirus Server.
7. PRINCIPALI PROBLEMATICHE NELLA IMPLEMENTAZIONE DELLA CYBER SECURITY
L’implementazione della cyber security come presentata fino ad ora è meno problematica di quanto possa apparire. Per sua natura la soluzione può essere realizzata in maniera modulare, implementando le soluzioni per fasi successive, distribuendo i costi e le tempistiche di configurazione. Anche un sistema DCS in uso può essere sottoposto alla realizzazione della cyber security con poche attenzioni aggiuntive. Andando principalmente a lavorare sulla componente HMI i rischi sono contenuti, e con una buona pianificazione si possono sostanzialmente eliminare.
Inoltre va considerato che le azioni più determinanti a contenere i rischi hanno un costo di realizzazione minimo. Considerando che la probabilità di una infezione da parte di un virus informatico è svariati ordini di grandezza maggiore della probabilità di subire un tentativo di intrusione va da sé che uno degli aspetti fondamentali della cyber security è avere un sistema antivirus aggiornato. Le più semplici implementazioni richiedono una licenza software per ogni macchina, con costo dell’ordine di decine di euro.
La principale problematica risiede nelle competenze professionali tipicamente diffuse nel mondo dell’automazione, che differiscono sensibilmente dalle competenze professionali IT. Una mancata o parziale conoscenza dell’argomento può rendere vano un sistema teoricamente ben progettato. Una mancata fase del processo di hardening, dimenticanza tra le più comuni in caso di carenza di conoscenza, può aprire falle di sicurezza notevoli.
Purtroppo anche nel mondo dei professionisti IT manca la sensibilità e la conoscenza delle tipiche richieste nel mondo dell’automazione, rendendo arduo trovare figure professionali adeguate all’implementazione della cyber security in una rete di automazioni.
La sfida nella cyber security in un sistema DCS si fonda nella necessità di avere figure professionali competenti sia nel mondo dell’automazione, sia nel mondo IT, rispettando le richieste di affidabilità e robustezza tipiche dell’automazione, con la mentalità proattiva necessaria per agire sui sistemi esistenti mantenendoli sicuri tipica del mondo IT.
8. BIBLIOGRAFIA
[1] ANSI/ISA-99.00.01-2007 Security for Industrial Automation and Control Systems Part 1: Terminology, Concepts, and Models
[2] https://www.tofinosecurity.com/blog/scada-air-gaps-%E2%80%93-technology-or-philosophy
[3] Jeffrey Hahn, Donna Post Guillen, Thomas Anderson: “Process Control Systems in the Chemical Industry: Safety vs. Security” Idaho National Laboratory, Control Systems Security and Test Center. Idaho Falls, Idaho (http://www.inl.gov/technicalpublications/Documents/3169874.pdf)
[4] YARA Generic IT Security Design Project – IT Security Design Specification Rev 0.2 Yokogawa Italia