Damiano Brega è un tecnico che lavora nel settore dell’automazione industriale da prima del 2000: un “tecnico di campo” come si definiscono coloro che per conto di una società di integrazione intervengono presso il cliente finale per gestire installazioni, upgrade e risolvere problematiche che possono accadere sia sugli impianti industriali. Dopo molti anni al servizio di una delle più grandi società di System Integrator in Italia (Loccioni) è entrato nel 2019 a far parte della famiglia di ServiTecno: dopo aver ricevuto adeguata formazione su prodotti (per la maggior parte già a lui noti in quanto utilizzati negli anni precedenti) e servizi da noi offerti, ha pensato di ampliare il suoi campi di conoscenza “tornando sui banchi di scuola” per studiare i fondamenti della Cyber Security Industriale.
Dopo 20 anni di esperienze tecniche nel settore dell’automazione ho avuto modo e soprattutto piacere di partecipare al Master organizzato da UNI ROMA TRE “La cybersecurity per la protezione dei sistemi di controllo nell’industria 4.0 e nelle infrastrutture critiche”: questo corso di studi ha come obiettivo quelli di formare i partecipanti su aspetti normativi e di Best Practice (ENISA, NIST, Infrastrutture Critiche, GDPR, ISO 27001/27002/27005:2015/31000:2018, IEC62443, etc…) e contemporaneamente approfondire concetti strategici quali il perimetro digitale, la strategia italiana per la Cyber Security, le tecniche di crittografia, l’analisi dei sistemi informativi e le indagini forensi.
In questi due decenni ho cercato di accogliere (e risolvere) tutte le necessità e le richieste dei clienti, ma l’esperienza mi insegna che alla base di ogni buona applicazione ci sono le comunicazioni tra dispositivi di campo e l’acquisizione dei dati dai sistemi di supervisione. L’approccio, solitamente in mancanza di specifiche dettagliate da parte del cliente finale, è stato sempre quello di utilizzare un trasporto ed un protocollo di comunicazione standard, il più semplice ed economico possibile (es.: Modbus su connessione SERIALE o TCP/IP).
Oggi (al termine del percorso formativo del Master) continuerei sicuramente a puntare sulla semplicità e la diffusione delle soluzioni basate su trasporto TCP/IP (a conferma della validità delle esperienze maturate in questi anni) ma approfondirei molto il delicato tema della segmentazione delle reti. Infatti, la separazione delle reti critiche (sistemi automatici con integrazione tra uomo/robot/macchine) da quelle meno critiche, garantisce accesso ad ognuna di esse con protezioni perimetrali adeguate:
- Dove necessaria la comunicazione bidirezionale suggerirei l’utilizzo di next generation firewall: firewall che uniscono alle già presenti funzioni di controllo su porte, indirizzi IP e protocolli anche il controllo a livello applicativo analizzando anche il pacchetto in transito.
- Dove fosse sufficiente una comunicazione unidirezionale “punterei tutto” sui diodi: dispositivi che permettono la comunicazione in un solo senso tra due reti dati attraverso un canale non TCP/IP ma proprietario del costruttore dell’apparato hardware.
Nell’eventualità non fosse possibile optare per una segmentazione e protezione delle reti, si potrebbe prevedere due strade alternative:
- La prima è quella di utilizzare per le comunicazioni un protocollo di tipo sicuro, tipo OPC UA che prevede l’utilizzo di crittografia e firma, strumenti che aumentano il livello di sicurezza e rendono più difficile un eventuale attacco
- Se non è possibile utilizzare protocolli sicuri ma bensì di quelli classici (es. MODBUS) inserire all’interno della rete dai un sistema IDS (Intrusion Detection System*) che, analizzando i pacchetti dei protocolli in transito, segnala le eventuali anomalie che vengono riscontrate.
Oltre a queste ed altre soluzioni implementabili (descritte molto dettagliatamente nella IEC 62443) è molto importante sensibilizzare il personale che andrà ad operare nell’impianto relativamente alle vulnerabilità perché le analisi dei casi successi ci dicono che, escludendo gli zero day exploit (percentuale molto bassa), gli attacchi hanno sfruttato le debolezze del fattore umano, come ad esempio:
- password utenti con complessità bassa
- mail Phishing (malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale)
- utilizzo di chiavi usb non sono sicure che potrebbero veicolare dei software malevoli Un altro punto molto importante da tenere presente nella realizzazione di nuovi impianti di produzione è sicuramente quello di accertarsi che i fornitori utilizzino gli standard di sicurezza adeguati al raggiungimento del livello richiesto dal progetto.
La sicurezza dei sistemi non termina mai dopo il commissioning dell’impianto ma deve essere vista esattamente alla pari come un canone di manutenzione annua: è importante sicuramente progettare bene la sicurezza dell’impianto ma è altrettanto fondamentale prevedere durante gli anni operazioni di verifica dei sistemi di sicurezza adottati nei nostri impianti per appurare che siano ancora adeguati e non presentino punti deboli, possibili cause di attacchi o incidenti informatici.
Nel piano di sicurezza dovranno essere previste soluzioni di backup dei dati e test di verifica dell’integrità dei backup effettuati per utilizzo in caso di ripristino dopo disaster recovery. Un consiglio? Non pensate mai che le vostre applicazioni siano al sicuro perché “poco appetibili” (non è così che ragionano gli attaccanti), pensate solo a quanto avete da perdere in termini di mancata produzione (e di immagine) in caso di downtime non programmato.
La proposta di ServiTecno per la cyber security industriale