Gli incidenti informatici sono attuali e dovrebbero essere considerati tra i rischi che si possano verificare e che possano avere impatti anche considerevoli per tutte le aziende, soprattutto quelle con attività industriali. Badate bene che stiamo parlando di “incidenti informatici” e non solo “attacchi informatici”.
Nell’ultimo decennio abbiamo assistito a un aumento significativo del numero di incidenti informatici nell’industria: a partire dal 2010 con l’avvento di Stuxnet, che colpì sistemi di controllo negli impianti nucleari iraniani e che poi immobilizzò alcune centinaia di impianti produttivi in giro per il mondo, anche in Italia.
Studi e report ci dicono che i cyber incidenti hanno subito un’accelerazione durante la pandemia.
La superficie di attacco per le minacce informatiche è aumentata a causa della connettività da remoto, dell’integrazione con le reti aziendali (convergenza IT/OT) e dell’avvento dell’Internet of Things (IoT).
Tutte le Aziende con sistemi di controllo sia nell’industria che nelle utility, sono quindi costrette a pensare alla sicurezza informatica nei loro processi decisionali strategici e nella gestione del rischio.
Sempre secondo recenti analisi degli incidenti ICS (Industrial Control Systems), oltre due terzi di tutti gli incidenti sono “involontari”, attribuibili principalmente alla poca attenzione prestata durante lavori di routine eseguiti dal personale IT/OT delle Aziende, a malware (soprattutto ransomware!) ed a configurazioni errate dei dispositivi di rete, quali switch, router e firewall.
Affrontando questi problemi, le organizzazioni possono però ridurre in modo significativo la probabilità di un incidente di sicurezza informatica e il rischio complessivo.
Lo standard ISA/IEC 62443 suggerisce agli utilizzatori di sistemi di fabbrica di adottare un approccio basato sul ciclo di vita per implementare la sicurezza informatica nei loro sistemi, dalla fase di progettazione concettuale all’installazione e messa in servizio, nell’operatività quotidiana, alla manutenzione ed infine alla disattivazione/obsolescenza. Ciò garantisce una protezione completa per tutto il ciclo di vita dell’asset.
Sebbene non esista un’unica ricetta per implementare la sicurezza informatica, qui di seguito riportiamo alcune delle linee guida per la cyber security che i manager ed utenti possono seguire per porre rimedio ad alcuni dei loro possibili problemi.
Valutazione del rischio cyber OT
Il principio di base che vale anche per le applicazioni ICS è “non puoi controllare ciò che non sai misurare”. Sebbene i passi sopra menzionati aiutino a migliorare la sicurezza informatica, non possono essere considerati una soluzione esaustiva.
Ogni Azienda/Organizzazione presenta impianti con rischi, condizioni e sfide diversi e ciò richiede di condurre un assessment per identificare le vulnerabilità Cyber e una valutazione del rischio per identificare le aree più a rischio e quindi ideare strategie (contromisure) per affrontare tali rischi.
E qui si dovrebbero pianificare di condurre queste valutazioni del rischio secondo lo standard ISA / IEC 62443, in modo che vengano valutate le garanzie richieste che coprono tutti e tre gli aspetti: persone, processi e tecnologia. Ciò porterà gli utenti a non disperdere gli sforzi (anche quelli economici) ed investire su metodologie e soluzioni tecnologiche adeguate al mondo OT, che possano dare protezione necessaria contro le minacce informatiche specifiche OT.
Formazione e consapevolezza
Con l’aumento degli incidenti di sicurezza informatica, le persone sono l’anello debole e devono essere messe al centro della strategia di qualsiasi programma di sicurezza informatica. Ne consegue che i primi passi riguardano proprio programmi di formazione ed awareness sul campo.
Sappiamo che molti incidenti sono attribuibili a phishing e social engineering, ove tecnici sul campo e operatori della sala di controllo diventano vittime anche solo collegando una chiavetta USB infetta, o fornendo inconsciamente accesso ad aree riservate e così via. Per creare una migliore consapevolezza, tutti i collaboratori dell’Azienda devono capire cosa può andare storto e cosa possono fare per prevenire tali incidenti. Il già citato standard ISA / IEC 62443-2-1 ci dice che al personale qualificato sono assegnati ruoli e responsabilità specifici per la sicurezza informatica.
Qui di seguito un elenco che include alcuni modi pratici per aumentare la consapevolezza del rischio informatico:
- Spiegare a tutti i collaboratori i modi in cui le lacune di sicurezza informatica possono portare a incidenti di sicurezza (anche di safety!), danni a impianti e perdita di produzione
- Insegnate a tecnici e operatori a riconoscere le “anomalie” ovvero eventi o attività che possono portare a un incidente ICS: nel recente attacco all’acquedotto della Florida (del quali si è parlato diffusamente in rete), l’operatore dell’impianto ha svolto un ruolo fondamentale, prevenendo un aumento potenzialmente pericoloso della concentrazione di Cloro ed altre sostanze chimiche
- Stilare elenco di cosa da fare ed altre assolutamente da non fare
- Organizza incontri tra il personale IT e OT per far capire loro le differenze dei sistemi e come ciascuno può trarre vantaggio l’uno dall’altro
- Organizzare corsi di formazione “ad hoc”
- Avviare una campagna di sensibilizzazione interna, anche via email, su temi specifici come l’importanza di proteggere password, l’utilizzo corretto di supporti USB e così via
Controllo degli Accessi e protezioni durante l’utilizzo
Accesso fisico
Tutte le strutture dovrebbero dotarsi di misure di controllo dell’accesso fisico in atto per evitare l’ingresso di personale non autorizzato alle sale di controllo, agli uffici di ingegneria e dove si trovano gli armadi contenenti componenti dei sistemi di controllo. Le aree dovrebbero essere etichettate come riservate e tutti gli ingressi dovrebbero essere registrati. Ulteriori miglioramenti comunemente impiegati includono l’installazione di telecamere a circuito chiuso in queste stanze e l’ingresso con badge o controlli biometrici.
Accesso logico e controllo dell’utilizzo
Tutti gli utenti con accesso ai sistemi di controllo, SCADA, PLC e ai dispositivi di rete dovrebbero essere identificabili e autenticati in modo univoco. I profili utente con i relativi diritti per ogni ruolo dovrebbero essere definiti chiaramente e un log degli accessi basato su ruoli dovrebbe essere esteso a tutti gli utenti. Ciò include ovviamente una revisione e l’aggiornamento continuo dell’elenco: il personale trasferito all’interno dell’azienda e coloro che se ne vanno devono essere rimossi da questa lista di chi ha accesso al sistema. Va notato che gli utenti dovrebbero avere accesso limitato, solo per azioni che devono eseguire.
Un altro problema riscontrato frequentemente è che i dispositivi di rete, SCADA, PLC e sistemi di controllo in genere continuano a mantenere gli account predefiniti e con privilegi di amministratore (è comodo per non avere user/password diverse…). Ciò a volte fornisce un accesso non autorizzato agli utenti, e consente a un utente con un livello di abilità basso di apportare modifiche che potrebbero potenzialmente mettere fuori uso l’intera rete con gravi conseguenze. È importante che tutti le credenziali predefiniti vengano perciò modificati e tutti gli account inutilizzati vengano rimossi.
Come d’altronde un’altra best practice prevede il blocco di tutte le porte inutilizzate nel sistema.
Gli amministratori di sistema degli ICS dovrebbero assicurarsi di adottare una politica sulle password sicura ed efficace: la lunghezza e la complessità minime dovrebbero essere definite e le password dovrebbero essere cambiate frequentemente. Se risulta non conveniente utilizzare password, ipotizziamo l’utilizzo di altri tool, come token, biometria ecc.
Per impedire l’accesso non autorizzato, è anche bene impostare il log-out automatico dopo un periodo di inattività, impostando però un accesso minimo che consenta l’operatività completa per la gestione di anomalie ed allarmi.
Accesso da remoto
A volte è necessario permettere a fornitori e manutentori esterni l’accesso da remoto. Per policy, l’accesso da remoto dovrebbe essere limitato ai soli requisiti essenziali e abilitato solo quando necessario.
I controlli potrebbero includere autenticazione a più fattori, accessi con password una tantum per un periodo di tempo limitato ed ovviamente la crittografia del canale di comunicazione. Il software per accesso da remoto dovrebbe essere installato solo dopo essersi assicurati che le vulnerabilità esistenti nel sistema siano state aggiornate e sanate, oltre a impostare differenti porte predefinite ed utilizzare credenziali complesse.
In conclusione
In sintesi, chi ha impianti di produzione, nell’industria come nelle utility, dovrebbe concentrarsi sui processi e persone per migliorare la propria cyber security. La formazione e la consapevolezza di tutto il personale, nonché il rafforzamento dei controlli sull’accesso e sull’uso, sono passaggi chiave verso un programma di sicurezza informatica di successo. Inoltre, questi passaggi preparano i team coinvolti a compiere i passi successivi verso un approccio globale, effettuando una valutazione della sicurezza informatica e apportando miglioramenti alla loro tecnologia di protezione cyber esistente.