Nel corso di un recente evento organizzato da Assintel a Milano, esperti provenienti dal mondo dell’automazione e dell’IT hanno affrontato la tematica della sicurezza dei sistemi Scada nelle industrie e nelle infrastrutture critiche, un argomento sempre più al centro dell’attenzione delle imprese negli ultimi due anni, da quando cioè sono considerevolmente aumentate le violazioni della sicurezza delle reti aziendali (basti pensare ai casi Stuxnet e DuQu).
Enzo M. Tieghi, Ceo di Servitecno e consigliere dell’associazione AIIC, ricorda, senza andare troppo indietro nel tempo, che è possibile seguire vari “decaloghi” disponibili sui siti delle associazioni di settore, ma la priorità, in un ambito come questo, è innanzitutto dotarsi di una policy di sicurezza. Dal punto di vista operativo, è fondamentale implementare la segmentazione/segregazione delle reti (secondo i dettami della normativa ISA99 / IEC62443), utilizzando firewall industriali che individuino zone caratterizzate da diverso livello di rischio. Altra strategia importante consiste nell’implementare un sistema di performance monitoring di rete che permetta di individuare potenziali problemi a partire dalle anomalie di traffico che si possono riscontrare. Da ultimo, occorre avere dei backup sicuri e verificare che siano funzionanti, oltre a tener traccia degli interventi di manutenzione/miglioramento effettuati sull’impianto.
Andrea Manzoni Zapparoli, CEO iDialoghi, General Manager Security Brokers e consigliere Assintel, ricorda che il costo degli incidenti informatici in Italia è stimato nell’ordine di qualche miliardo di euro all’anno. E si sofferma sull’importanza di tenere sotto stretto controllo sistemi wireless, smartphone, tablet e dispositivi privati che vengono impiegati in produzione: smartphone e tablet sono infatti sistemi “immaturi” e molto vulnerabili. Il 44% degli smartphone sono stati attaccati e infettati. Utilizzarli per la gestione degli impianti industriali espone quindi a evidenti rischi. Cosa fare? Occorre implementare una strategia basata su monitoraggio e analisi del cyber-rischio e prepararsi alla gestione di una possibile crisi; essere consapevoli dell’importanza del tema security; implementare una governance efficace tramite adeguamenti organizzativi e tecnologici; cambiare infine l’atteggiamento di base da un’ingiustificata fiducia cieca a una più prudente sfiducia.
Corrado Giussani, Business Development Manager GE Intelligent Platforms, ha portato all’attenzione della platea il punto di vista di un vendor di automazione. Secondo il suo punto di vista i vendor devono saper tener conto dei nuovi scenari resi possibili dall’avvento delle nuove tecnologie, ma avendo bene in mente anche le specificità del mondo industriale, anche quando si parla di security: e così il modello caro all’IT che vede primeggiare la riservatezza dei dati sull’integrità e sulla disponibilità, (CIA – confidentiality, integrity, availabiliy) si inverte nel mondo industriale, dove conta in primo luogo la disponibilità del dato (availabiliy, integrity, confidentiality). GE Intelligent Platforms rilascia continui suggerimenti e patch su un sito dedicato e sta implementando una serie di caratteristiche avanzate tra cui la possibilità di limitare le funzionalità abilitate a seconda del livello aziendale, di sezionare le reti di impianto, di gestire la firma elettronica, di implementare la comunicazione crittografata tra client e server. La strategia da seguire, dal lato dell’utente, inizia con l’applicare le patch rilasciate dai vendor e passa per il rafforzamento del sistema (disabilitando porte e utenze non necessarie) e l’impostazione di una protezione host-based e la configurazione corretta dell’HMI/Scada. GE Intelligent Platforms offre una app per iPad “sicura” (solo in visualizzazione) con l’obiettivo di permettere all’operatore di ricevere le informazioni che gli interessano.
L’ultimo intervento della giornata è stato di Mauro Salvau, Country Manager Norman ASA, che ha portato una proposta commerciale su come proteggere la rete di fabbrica da malware ed intrusioni (Norman Scada Security). Il prodotto si basa su un NSP trasparente alla rete che “ripulisce” il segmento di rete in cui opera lo Scada e in grado anche di bloccare gli inserimenti di dati da chiavette USB (statisticamente la principale fonte di infezione) tranne a file verificati dall’appliance Norman Scada Protection Driver.