Windows XP e le infrastrutture critiche

Pubblicato il 26 luglio 2014

Un seminario dell’AIIC, l’Associazione Italiana esperti in Infrastrutture Critiche, ha recentemente affrontato la questione dell’informatizzazione nelle Infrastrutture Critiche e la fine assistenza di Windows XP e di altri sistemi operativi.

Il seminario, intitolato “Pillole di Security – Cosa c’entra Windows XP con le Infrastrutture Critiche?” ha riunito sul palco esperti del settore informatico, dell’industria ed end user; hanno partecipato Raul Chiesa (Security Brokers), Pierluigi Paganini (Bit4id), Giorgio Basanini (Spike Replay), Andrea Carcano (Nozomi), Angelo Luca Barba (Selex ES), Andrea Guarino (Acea).

Il quadro che è stato dipinto ha evidenziato che le infrastrutture critiche hanno sistemi eterogenei che vanno dal più datato DOS al più moderno Windows 7 ed in particolare circa il 17% ha ancora installato sistemi con Windows XP (ancora oggi venduto per gli ATM ed i sistemi di vendita dei biglietti), come mostrato da Raul Chiesa, e che le minacce più diffuse in questo scenario sono date dal ATP al Data Breach fino ai malware; in particolare Pierluigi Paganini ha evidenziato come nessuno abbia voluto modificare e replicare stuxnet, che ha agito proprio su macchine con XP e dotate di sistemi Scada molto vecchi. Tali minacce hanno detto i due speakers sono possibili anche al fatto che non si è fino ad oggi pensato ad una “security by Design”.

Alcune soluzioni per ridurre gli impatti come la segmentazione della rete efficace e l’analisi del traffico, come evidenziato da Giorgio Basanini, sono alcune soluzioni applicabili nel breve periodo.

Andrea Carcano ha dato invece enfasi a come le similitudini tra sistemi operativi, permetta di creare in laboratorio vettori sempre più aggressivi e distruttivi, facendo riferimento anche alle vulnerabilità di XP.

Il punto della “Security by Design” è stato ripreso da Angelo Luca Barba che ha evidenziato come la mancanza di un piano di upgrade in fase progettuale porta poi anche a problemi di reperibilità delle parti che devono essere sostituite o riparate, non dimenticando che stiamo alle soglie dell’internet of things.

Il seminario si è chiuso con l’esperienza di Andrea Guarino che come operatore ha ripreso la contraddizione detta all’inizio, percui non tutti i sistemi di controllo devono essere raggiungibili da internet, contrariamente a quanto succede oggi; quindi per molti di essi non serve una politica di upgrade.

Le infrastrutture critiche necessitano di un giusto bilanciamento tra sicurezza fisica e sicurezza logica perché la prima controlla gli accessi a tutto ciò che non è su internet, mentre la seconda agisce sui sistemi, spesso tramite operatore.

Alcuni spunti di come rendere i sistemi più sicuri per il patch management gratuito, applicati in ACEA, ha permesso di dare un esempio delle possibilità della rete e delle esperienze che un security manager deve mettere in campo.

Piergiorgio Foti, Vice President, AIIC



Contenuti correlati

Scopri le novità scelte per te x