Esploriamo le strategie emergenti e le tendenze nel campo della sicurezza delle infrastrutture OT, Scada e ICS, focalizzandoci sull’automazione dei sistemi di monitoraggio e sull’uso dell’intelligenza artificiale
Le infrastrutture operative (OT), i sistemi di controllo industriale (ICS) e i sistemi di acquisizione dati e controllo (Scada) rappresentano la spina dorsale di molte industrie critiche, tra cui energia, produzione, trasporti e molto altro. Proteggere questi sistemi è diventato cruciale nell’era digitale, dove la minaccia di attacchi informatici è sempre in agguato. Negli ultimi anni, la minaccia cibernetica alle infrastrutture critiche è cresciuta in modo esponenziale. Gli attacchi mirati ai sistemi OT, Scada e ICS possono avere conseguenze disastrose, inclusi black-out energetici, malfunzionamenti industriali e perdite finanziarie significative. La crescente interconnessione di questi sistemi con le reti informatiche ha reso le infrastrutture critiche vulnerabili ad attacchi provenienti da cyber criminali, hacker statali e persino terroristi. Come si vede anche dall’ultimo rapporto stilato da Clusit (Associazione Italiana per la Sicurezza Informatica – https://clusit.it), nel corso degli ultimi anni gli attacchi al mondo dell’automazione sono in aumento significativo e stanno assumendo un ruolo critico e soprattutto i numeri e le conseguenze non possono essere più trascurabili. In questo scenario, l’argomento è diventato sempre più ‘caldo’ anche a livello legislativo europeo e di normazione tecnica, e ci sono nuovi scenari e framework applicativi rivolti all’implementazione di strategie di security anche in ambito OT. In questo caso è necessario che venga implementato l’intero processo che coinvolge i sistemi di gestione, le persone e le tecnologie. Ma, come è possibile implementare strategie che consentano di garantire la sicurezza dei dati contro gli attacchi cyber? E quali sono le soluzioni da intraprendere?
Normative e strategie di security
Dal punto di vista normativo ci troviamo di fronte alla pubblicazione del nuovo Regolamento Macchine, che impone una verifica di cybersecurity per tutte le funzioni legate alla safety, inclusi i software venduti come stand-alone, e contemporaneamente all’approvazione della Direttiva NIS2 e del Cyber Resilience Act. Quali sono i contenuti dei nuovi regolamenti in ambito cybersecurity? Il Cyber Resilience Act determina e indica i requisiti minimi di cybersecurity per i prodotti digitali e prevede l’obbligo di produrre una valutazione di conformità che ne attesti il rispetto. Nell’articolo 2 viene specificato che i prodotti digitali sono “tutti i prodotti con elementi digitali il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”. D’altro canto, la Direttiva NIS2 stabilisce delle norme minime che tutti gli Stati membri della UE devono rispettare per avere una maggiore armonizzazione a livello europeo di legislazioni e procedure di cybersicurezza. Per stabilire quali aziende debbano rispettare gli obblighi previsti, la NIS2 indica tre criteri: settore di appartenenza, dimensione e ruolo che le aziende hanno nel rispettivo ambito. In particolare, si applica ai settori ‘critici e ad alta criticità’ e per aziende di medie dimensioni. Il fil rouge, comunque, del panorama legislativo europeo sta puntando soprattutto sull’aumento della consapevolezza e sull’implementazione di nuove strategie per aumentare la resilienza di tutti i comparti, con particolare attenzione a quelli critici e produttivi industriali. Per poter soddisfare quanto richiesto dalla legislazione il primo passo da fare rimane sempre quello relativo alla valutazione del rischio di attacco, oltre che alla parte relativa ai sistemi di gestione (definizione di un security program) e alla consapevolezza e formazione delle persone. Solo identificando e quantificando il rischio, infatti, è poi possibile trovare contromisure adeguate che possano effettivamente mitigarlo e renderlo accettabile. La strategia da intraprendere, quindi, consiste nella ‘defense in depth’, che prevede un approccio a tutto tondo per poter garantire la sicurezza dei dati; si tratta di un approccio alla sicurezza informatica che si basa sulla creazione di diversi livelli di protezione per mitigare e contrastare le minacce cibernetiche, con l’obiettivo di creare una serie di barriere difensive in modo che, nel caso in cui una fallisca, altre siano ancora in grado di proteggere l’ambiente. I principali livelli da considerare sono: − prolicy e procedure: definizione delle prolicy aziendali per poter garantire la sicurezza dei dati e una serie di procedure operative che consentano di regolamentare i comportamenti e i processi collegati alla sicurezza e che diano riscontro nell’attuazione delle policy aziendali; − sicurezza fisica: interporre delle barriere fisiche che impediscano l’accesso fisico agli asset oggetto della protezione; − protezione della rete: rendere i punti di accesso alla rete protetti e monitorati in modo da consentire solo il traffico autorizzato, sia in termini di dati e protocolli, sia di utenti umani e utenti software; − protezione del dispositivo: fare in modo che non sia in alcun modo possibile manomettere il dispositivo e i dati in esso contenuti; − protezione dei dati: fare in modo che solo gli utenti autorizzati possano accedere, modificare e gestire i dati. Per ciascuno dei livelli di protezione previsti è necessario, come sempre, agire su più fronti: da un lato, selezionare tecnologiche efficaci al fine di ridurre il rischio associato agli eventi ritenuti critici, dall’altro formare il personale al fine di saper utilizzare le tecnologie e interagire con esse, nonché al contempo tenere comportamenti che non siano pericolosi per la sicurezza dei dati.
La norma IEC62443
Dal punto di vista tecnico, però, com’è possibile soddisfare quanto viene richiesto sottoforma di linea guida dai Regolamenti e, quindi, implementare la defense in depth? Da questo punto di vista esiste un unico riferimento normativo per implementare la security in ambito OT: la norma IEC62443. Tale norma è strutturata secondo diversi livelli: − parte 1: generalità, definizione e ambito di applicazione. Viene definito l’ambito di applicazione della norma facendo riferimento al ‘purdue model’: si deduce quindi che la IEC62443 si applica alla security nell’ambito che va dallo Scada fino ai sensori/attuatori di campo; − parte 2: definizione delle procedure e dei contenuti minimi del security program. In questo caso, a seconda del ruolo, vengono definite le linee guida delle procedure che è necessario implementare al fine di coprire tutte le possibili casistiche che si possono incontrare nel manutenere, installare, collaudare, costruire ed esercire un sistema OT; − parte 3: prestazioni e valutazione in termini di cybersecurity di un sistema. Con ‘sistema’ la IEC62443 considera qualunque installazione che sia di proprietà del cliente finale; la prospettiva, pertanto, è quella del proprietario della soluzione. Questa parte intende definire quali siano le soluzioni tecnologiche da implementare per poter garantire un certo livello di sicurezza sull’intero sistema. In questo caso rientra anche la parte di valutazione del rischio di un attacco cyber, che è il punto di partenza per tutte le valutazioni e implementazioni successive. − parte 4: prestazioni e valutazioni in termini di cybersecurity di un componente. In questo caso l’accezione di ‘componente’ è piuttosto ampia, in quanto la norma prevede di classificare come componente: un dispositivo embedded (PLC, remote I/O, trasmettitore), un host (qualunque cosa basata su PC), un componente di rete (switch, router ecc.), un software e un insieme complesso di tutti gli elementi precedenti, quale per esempio una macchina. I device rimangono tali e soggetti alla parte 4 della normativa fintantoché rimangono all’interno della fabbrica del costruttore. La norma, poi, definisce tre ruoli che concorrono alla security dei sistemi/ dispositivi e sono: − assett owner: cliente finale o utente, ovvero il proprietario dell’asset oggetto di valutazione e di protezione da attacchi di tipo cyber; − manufacturer: il costruttore di ogni dispositivo inteso nelle accezioni precedentemente definite; − service provider: il fornitore di servizi responsabile per l’installazione, la messa in servizio e la manutenzione di un asset, ovvero colui il quale offre servizi su uno specifico asset, che siano svincolati dal normale funzionamento del bene stesso. Per ciascuno di questi ruoli deve essere definito un security program che racchiude tutte le procedure necessarie per valutare, ridurre e gestire il rischio cyber collegato alle azioni intraprese da ognuno degli attori nella catena del ciclo di vita (lifecycle) di un prodotto/bene. La norma definisce anche una metrica per valutare il grado di attuazione delle misure di sicurezza e la maturità del processo di gestione della sicurezza all’interno di un’organizzazione. Si tratta del Maturity Level (ML), che ha un valore compreso tra 1 e 4: − Maturity Level 1 – iniziale: le procedure sono state solo definite in modo verbale e non sono organizzate o scritte in modo completo; − Maturity level 2 – ripetibile: le procedure sono state definite e scritte in modo organizzato ma non sono ancora state implementate o attuate; − Maturity level 3 – definito: le procedure sono state applicate e vi sono le evidenze dell’applicazione delle stesse; − Maturity level 4 – ottimizzato: non solo vi sono le evidenze dell’applicazione delle procedure, ma sono anche state definite delle metriche per misurare in modo quantitativo l’efficacia e la bontà delle procedure intraprese. La definizione del security program, quindi, si rifà al primo livello della defense in depth; per passare ai successivi livelli della defense in depth è necessario fare riferimento alle parti 3 e 4 della norma, che si occupano rispettivamente del sistema e del device. Il primo approccio che deve essere implementato, a questo punto, è la valutazione del rischio, che è espresso come la probabilità di accadimento di un evento moltiplicato per l’impatto dello stesso; in ambito cyber la probabilità di accadimento dell’evento, a sua volta, è espresso come la presenza di una vulnerabilità moltiplicata per la minaccia, cioè chi è il possibile attaccante che vuole sfruttare la vulnerabilità dell’asset. Per questo è necessario definire, come primo step, la valutazione del rischio prendendo in considerazione le vulnerabilità sia fisiche (porte e punti di accesso all’asset), sia software che sono enumerate all’interno di database pubblici, come Cvss. A livello normativo, poi, i possibili attaccanti sono classificati nel seguente modo: − Livello 1: guasti accidentali; − Livello 2: hacker amatoriali; − Livello 3: hacker professionisti o impiegati scontenti; − Livello 4: terroristi. Una volta valutato il rischio è possibile definire il livello di contromisure che si vogliono mettere in atto per ridurlo; per valutare e definire quali siano le prestazioni che si vogliono ottenere dalle contromisure è stato definito a livello normativo un indicatore chiamato Security Level (SL), espresso con un numero da 1 a 4; il riferimento è quello relativo alla minaccia contro cui si è protetti. Il SL è espresso per ciascuno dei Requisiti Fondamentali (FR) che caratterizzano la sicurezza: 1. Identification and Authentication (IA): identificazione e autenticazione degli utenti e dei dispositivi nel sistema; 2. Authorisation (A): controllo degli accessi e assegnazione dei privilegi agli utenti e ai dispositivi; 3. Data Integrity (DI): assicurare l’integrità dei dati all’interno del sistema; 4. Data Confidentiality (DC): garantire la confidenzialità dei dati nel sistema; 5. Resilience to Attacks (RA): garantire che il sistema sia resiliente agli attacchi e in grado di recuperarsi; 6. Security Monitoring (SM): monitorare costantemente le attività di sicurezza e rispondere a eventuali minacce; 7. Incident Response (IR): rispondere in modo efficace agli incidenti di sicurezza, comprendendo l’analisi forense e il miglioramento continuo. In questo modo a livello di implementazione per ciascuno degli FR viene definito l’elenco delle funzioni di sicurezza che devono essere implementate per garantire la resilienza a una specifica minaccia (espressa da 1 a 4).
La security in 10 punti
In estrema sintesi, possiamo riassumere quello che viene chiesto di implementare per garantire la security in 10 punti fondamentali da prendere in considerazione e valutare: 1. politiche di sicurezza: stabilire e applicare politiche di sicurezza che coprano aspetti come l’accesso, l’uso delle risorse, la gestione delle password e altre pratiche di sicurezza, compresa la conformità alle normative di settore; 2. formazione e consapevolezza: fornire formazione regolare ai dipendenti per sensibilizzarli sui rischi legati alla sicurezza informatica; insegnare loro pratiche sicure e ridurre la probabilità di errori umani; 3. gestione degli accessi: implementare controlli rigorosi sugli accessi, come l’identificazione in due fattori (2FA) e la gestione dei privilegi minimi, per limitare l’accesso solo a chi ne abbia effettivamente bisogno; 4. aggiornamenti regolari e patching: assicurarsi che tutti i sistemi, software e dispositivi siano aggiornati regolarmente con le patch di sicurezza più recenti per correggere le vulnerabilità note; 5. monitoraggio e rilevamento delle minacce: implementare sistemi di monitoraggio delle attività di rete e dei sistemi per identificare comportamenti sospetti o intrusioni; utilizzare strumenti di rilevamento delle minacce per individuare e rispondere tempestivamente agli incidenti di sicurezza; 6. crittografia: utilizzare la crittografia per proteggere i dati sensibili durante la trasmissione e durante l’archiviazione; questo aiuta a garantire la confidenzialità delle informazioni; 7. gestione dei dispositivi mobili: implementare politiche di sicurezza per dispositivi mobili aziendali, compresi smartphone e tablet, per proteggere i dati aziendali e prevenire la perdita di informazioni sensibili; 8. back-up e ripristino: eseguire regolarmente il back-up dei dati importanti e verificare che i processi di ripristino funzionino correttamente; ciò è essenziale per la continuità aziendale e per affrontare situazioni di ransomware o perdita di dati; 9. gestione dei fornitori: valutare e monitorare attentamente la sicurezza dei fornitori di servizi e delle aziende partner, poiché possono costituire un potenziale punto debole nella catena di sicurezza; 10.Risk Assessment e gestione del rischio: condurre valutazioni periodiche del rischio per identificare e mitigare le minacce in evoluzione; implementare un processo di gestione del rischio che si adatti alle mutevoli condizioni del panorama della sicurezza. Una volta che l’impianto di cybersecurity è stato creato, deve essere manutenuto, aggiornato e valutato per essere sempre conforme con gli avanzamenti tecnologici che sono a disposizione dei possibili attaccanti; in questo può essere anche importante impiegare nuove tecnologie non solo per l’attacco ma anche per la difesa. In quest’ottica le ultime tendenze nel campo della cybersecurity prevedono l’impiego dell’intelligenza artificiale (AI) per analizzare e creare correlazioni tra dati ed eventi. In particolare, l’AI può trovare impiego nei seguenti ambiti: − rilevamento delle anomalie – Gli algoritmi di machine learning possono analizzare il normale comportamento del sistema e rilevare eventuali anomalie che potrebbero indicare attività sospette; − analisi dei comportamenti – L’AI può essere utilizzata per analizzare i modelli di comportamento degli utenti e dei sistemi, contribuendo a identificare comportamenti non tipici o attività potenzialmente dannose; − sistemi di rilevamento delle minacce avanzate (ATD) – L’AI può migliorare i sistemi di rilevamento delle minacce avanzate identificando modelli complessi e non noti, tipici di attacchi sofisticati come quelli basati su zero-day exploit; − automazione della risposta agli incidenti – L’AI può automatizzare la risposta agli incidenti, consentendo un intervento più rapido ed efficiente nel contenere e mitigare gli effetti di un attacco; − filtraggio e analisi dei log – L’AI può analizzare grandi quantità di dati di log per individuare modelli e segnalare attività sospette o anomale, facilitando l’identificazione di potenziali violazioni della sicurezza; − sicurezza delle applicazioni – L’AI può essere impiegata per identificare vulnerabilità nelle applicazioni e nei sistemi, migliorando la sicurezza del software attraverso analisi statiche e dinamiche del codice. In conclusione, la crescente interconnessione delle infrastrutture operative (OT), dei sistemi di controllo industriale (ICS) e dei sistemi di acquisizione dati e controllo (Scada) con le reti informatiche ha reso imperativa l’adozione di strategie avanzate di sicurezza informatica. L’evoluzione del quadro normativo, con l’introduzione del Regolamento Macchine, della Direttiva NIS2 e del Cyber Resilience Act riflette l’urgenza di affrontare le sfide emergenti nel campo della sicurezza informatica. L’approccio defense in depth è stato sottolineato come fondamentale, indicando la necessità di implementare una combinazione di misure di sicurezza per proteggere gli asset critici. La sicurezza delle infrastrutture critiche, dunque, richiede un impegno costante, un approccio olistico e l’adozione di soluzioni all’avanguardia. La consapevolezza, la formazione e l’adattamento continuo alle nuove sfide sono fondamentali per garantire la protezione di settori cruciali che sostengono le nostre società: la sicurezza informatica non è solo una necessità, ma un investimento strategico per preservare la resilienza e la continuità delle operazioni critiche.