Introduzione alla Direttiva NIS
Durante questo mese di febbraio 2019, un totale di 465 organizzazioni italiane hanno ricevuto una “lettera speciale”: la comunicazione dell’inserimento del loro nome nella lista di OSE Nazionali “attenzionati”.
Infatti, il MISE, Ministero dello Sviluppo Economico, d’accordo con il Ministero delle infrastrutture e dei Trasporti, il Ministero dell’Economia e delle Finanze, il Ministero della Salute e il Ministero dell’Ambiente e della Tutela del Territorio e del Mare, in collaborazione con le Regioni e Province autonome di Trento e di Bolzano, ha identificato 465 OSE Nazionali ovvero Operatori di Servizi Essenziali.
Si tratta di organizzazioni, sia pubbliche che private, appartenenti ai settori previsti dalla Direttiva Europea nota come “NIS”, Network and Information Security, che per la prima volta a livello continentale affronta in modo organico e trasversale il tema della cybersecurity, e che dovrebbe contribuire ad incrementare il livello comune di sicurezza e resilienza nei 28 Paesi UE.
L’Italia, assieme a Germania e Gran Bretagna, è nel gruppo di testa degli Stati membri dell’Unione Europea che hanno subito dato seguito agli adempimenti della Direttiva NIS La nomina di questi 465 OSE nazionali è il primo passo ed è stata definita dai Ministeri coinvolti come uno step in avanti decisivo per aumentare il livello di resilienza rispetto a minacce che già oggi insidiano la sicurezza nazionale e la crescita del Paese: trasformazione digitale (Industria4.0 e Utility4.0) e panorama sociale possono infatti moltiplicare i rischi, minacce e danni causati da incidenti in ambito informatico.
I settori strategici chiamati oggi ad agire sono otto: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali.
Tralasciando i settori bancario, infrastruttura dei mercati finanziari, il sanitario e le infrastrutture tipicamente digitali, notiamo come nei rimanenti settori quali energia, trasporti ed acqua potabile siano da anni presenti ed operanti sistemi di controllo e telecontrollo (SCADA) per la gestione di impianti ed infrastrutture fisiche, che necessitano di attenzione particolare riguardo agli aspetti della continuità operativa e protezione da rischi informatici.
Come recita il MISE: “Gli obiettivi della NIS prevedono, in particolare, la promozione della cultura della prevenzione del rischio e le misure tecnico-organizzative per limitare l’impatto di incidenti informatici; il potenziamento delle capacità nazionali di cybersecurity; il rafforzamento della cooperazione – sia in ambito nazionale che europeo; e, ancora, la salvaguardia della business continuity per gli Operatori di servizi essenziali e i Fornitori di servizi digitali.”
Ed ancora: “Spetta a loro l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La notifica di incidenti con impatto rilevante sui servizi forniti andrà fatta al Computer Security Incident Response Team (CSIRT) e alle Autorità competenti NIS, ossia i vari Ministeri. A questi ultimi è assegnato il compito di vigilare sull’applicazione della direttiva a livello nazionale, ed irrogare sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.”
“SCADA tradizionale”, “SCADA ridondato” e “SCADA H.A.” SCADA H.A.
stà per Sistema SCADA High Availability, SCADA ad Alta Disponibilità. L’idea che sottende ad un sistema SCADA H.A. è che per gestire, monitorare e supervisionare un impianto che deve funzionare “senza interruzioni”, sia necessario un sistema che garantisca il massimo uptime e funzioni a sua volta “senza interruzioni”.
Utilizzato in numerose applicazioni realizzate in molti settori industriali, lo SCADA iFIX di GE Digital è utilizzato nei sistemi di controllo e telecontrollo, sia per applicazioni semplici, sia per applicazioni SCADA complesse e distribuite, come funzionalità di telecontrollo, con anche analytics con aggregazione di dati (Big Data) e filtrazione e gestione distribuita degli allarmi.
iFix soddisfa gli standard industriali di molteplici settori, sia nell’industria che nelle utility, ed è ideale se integrato con i sistemi di storicizzazione (come l’Historian integrato) e nell’ottica di una gestione estremamente informatizzata, secondo i canoni della Digitalizzazione4.0, industrial internet ed Industrial IoT (Internet of Things).
Il pacchetto software HMI/SCADA iFix di GE Digital, distribuito e supportato in Italia da ServiTecno (https://www.servitecno.it/prodotti/ge-ifix-hmi-scada/) è da sempre sinonimo di grande affidabilità ed è universalmente utilizzato in sistemi SCADA e applicazioni critiche sia nel mondo industriale che in quello delle utility.
La Versione 6.0, innovativa per le eccellenti capacità di visualizzazione dei processi e di acquisizione dati, analisi, SUPERVISIONE e CONTROLLO aggiunge nuove ed avanzate prestazioni grafiche in ottica UX (User Experience, anche utilizzabili da dispositivi mobile), scalabilità e migliore manutenibilità, oltre alle più che testate e riconosciute affidabilità e sicurezza.
Nel caso in cui sia richiesto, lo SCADA iFix prevede e supporta configurazioni SCADA ridondate, master/slave, con opzioni/funzioni di Fail-Over: abbiamo allora una coppia di server in configurazione ridondata, denominati uno Master ed il secondo Slave di back-up, collegati direttamente tra loro, per essere mantenuti allineati nei dati, eventi ed allarmi rilevati dal campo, oltre naturalmente a tutti i comandi dell’operatore.
In caso di anomalie ed eventuale caduta del server Master, il server slave di back-up subentra a tutti gli effetti nella funzione di controllo e supervisione, in modo da garantire la continuità di funzionamento ed operatività sul sistema SCADA. Lo switch-over, il subentro da un sistema all’altro è configurabile con un watch-dog e può avvenire anche in termini di qualche secondo. Ma questa soluzione sviluppata solo con le funzionalità insite in iFix, prescinde da eventuali problemi hardware e/o di sistema operativo che si potrebbero verificare e che potrebbero eventualmente inficiare la corretta funzionalità dello SCADA.
SCADA H.A. pensato per il 99,999% di Uptime
La soluzione SCADA H.A. che abbiamo sperimentato con successo e che ora proponiamo per la supervisione di impianti nell’industria e nelle utility, e quindi anche a OSE soggetti alla NIS, prevede l’installazione congiunta su una coppia di server di un’applicazione SCADA con il pacchetto software iFix di GE Digital con alla base il software everRun Enterprise di STRATUS TECHNOLOGIES.
EverRun Enterprise, la soluzione software per High Availability di Stratus, previene il downtime: diversamente da altre soluzioni non si ferma a un semplice recovery.
Questa differenza ha un grande impatto sulla funzionalità SCADA, e grandi benefici in termini di costi, continuità operativa, obiettivi di customer satisfaction e i valori di efficienza. everRun Enterprise è di facile uso: non potrebbe essere più semplice, grazie ad installazione “click and go” e a strumenti di gestione centralizzati, che danno allo staff IT/OT un set completo di comando e controllo. Le funzioni di monitoring e notifica sono alcune delle ragioni per cui è denominato “worry-free computing”.
Con everRun Enterprise, si possono usare server standard Wintel/x86 e di conseguenza le esistenti competenze in Azienda, senza necessità di particolari approvvigionamenti di hardware speciale e rare specializzazioni IT.
Oltre alla alta disponibilità, everRun Enterprise consente anche l’uso fault-tolerant di applicazioni in Windows e Linux, singole e multi-threaded, senza che si debbano introdurre variazioni di configurazione hardware e software. E non sono necessarie complesse e costose strutture di NAS.
OT CyberSecurity a prova di NIS
Uno dei punti cardini della NIS è quello di incentivare l’attenzione nei confronti del rischio cyber, che potrebbe portare ad interruzioni del servizio da parte dell’ESO. Poiché, come abbiamo detto, nei settori quali energia, trasporti ed acqua potabile sono da anni presenti ed operanti sistemi di controllo e telecontrollo (SCADA) per la gestione di impianti ed infrastrutture fisiche, è necessario da parte dei gestori porre attenzione particolare riguardo agli aspetti della continuità operativa e protezione da rischi informatici proprio in ambito sistemi OT (Operation Technology).
Le reti industriali, un tempo considerate sicure perché fisicamente separate dal “resto del mondo” e costruite su protocolli proprietari, sono diventate uno dei punti deboli sui quali le aziende devono intervenire.
Un primo step, per esempio, dovrebbe essere il monitoraggio delle attività della rete. Un’anomalia del traffico potrebbe infatti essere indice di un malfunzionamento o anche di un sabotaggio indotto da un’intrusione non autorizzata nei sistemi aziendali.
I sistemi di monitoraggio dell’infrastruttura di rete e dei sistemi OT, come quello sviluppato da Nozomi Networks, oltre a dare visibilità su quanto avviene, forniscono funzioni di Anomaly Detection, e possono rappresentare un buon livello di “early warning” a protezione di reti e sistemi di controllo e a tutela dell’impianto controllato.
Si tratta soluzioni che fanno una mappatura completa dell’infrastruttura, identificando esattamente ogni singolo componente, che tipo, marca e modello sia, la versione del firmware e del software utilizzato, le regole di comunicazione, analizzano le relazioni tra i vari device, terminali ed altri dispositivi (PLC, RTU, switch, router, ecc.) partecipanti alla rete e i volumi di traffico, aiutando a definire le regole di una comunicazione “normale” , protocolli ammessi, porte e “conduit” da monitorare con attenzione, e, di conseguenza, a riconoscere eventuali comunicazioni e comportamenti illegittimi, connessioni non previste, dispositivi non aggiornati, regole di firewalling dubbie, mancanti o inutili, e molto altro. In pratica permettono di avere sotto controllo tutta l’infrastruttura, ed in modo assolutamente passivo, accorgersi se ci siano in atto attacchi o malfunzionamenti sia dell’infrastruttura che nei dispositivi collegati.
La visibility sugli asset e controllo configurazione Un tema critico per i sistemi SCADA H.A. è poi quello legato alla gestione di asset (per esempio PLC, HMI-SCADA, robot, ICS, DCS, PC, server, switch, firewall, ma non solo) sempre più numerosi e distribuiti, spesso governati da firmware e software da aggiornare periodicamente o sporadicamente, con team di manutenzione a volte di terze parti ed operatori specializzati che si devono occupare di un parco installato molto variegato che richiede molte competenze diverse e costante attenzione per essere mantenuto con documentazione aggiornata ed attività controllata.
Per non parlare di regolamentazione e relativa compliance, come ad esempio alla NIS.
Per avere un’effettiva capacità di gestione di questi asset è importante dotarsi di tool che tengano traccia di tutte le variazioni e conservano copia di backup di tutte le versioni degli applicativi installati. In questo modo, in caso si renda necessario un ripristino a seguito di un guasto, incidente o di un attacco informatico, sarà possibile ripristinare il sistema in pochissimo tempo, guadagnando preziose ore (se non giorni) in produzione e/o continuità nell’erogazione di servizio.
Un sistema come MDT AutoSave Software, permette inoltre anche di rilevare eventuali differenze tra il runtime in esecuzione su un controllore e quello che “dovrebbe” esserci, permettendo così di prevenire eventuali alterazioni del codice macchina ad opera di sabotatori, come già in passato si è verificato (ad esempio con Stuxnet nel 2010 ed in seguito in altri episodi, anche recenti, riportati su stampa e web).
Visibilità sull’impianto oltre lo SCADA H.A.
Ci sono alcuni altre funzionalità che possiamo considerare “ancillari” in uno SCADA H.A. ma che possono dare grandi benefici in termini di visibilità sull’impianto ed essere di grande aiuto ad operatori e manager nella gestione ottimale degli impianti controllati sempre nella direzione di garantire il livello più elevato di Continuità Operativa nell’erogazione del servizio.
Il software SCADA iFIX è integrato con DreamReport di Ocean Data Systems e con WIN911, due soluzioni di fondamentale importanza in grado di aumentare la “visibility” nello SCADA H.A.
DreamReport infatti consente di creare report automatici e dinamici (con dati REAL-TIME e STORICI) sui parametri di produzione e gestione degli impianti con procedure semplici: infatti è il primo software di analyitical reporting che non richiede la scrittura di codice, è user friendly ed è appositamente pensato per le applicazioni di controllo e telecontrollo nell’Industria come nelle Utility.
È stato progettato per essere la soluzione più semplice per estrarre dati da qualsiasi sorgente (proprietaria o standard) automatizzando la creazione di report e distribuendoli a chiunque, ovunque e in qualsiasi momento. Fondamentalmente ci sono due motivazioni che spingono ad elaborare Reportistica e Dashboard di analisi in Real-Time: la prima è la Compliance, documentazione richiesta da regolamentazioni e enti specifici al fine di verificare il rispetto delle normative, la seconda è più strettamente legata al monitoraggio delle performance.
Parliamo anche degli allarmi generati dallo SCADA H.A. Dream Report è stato progettato per eseguire funzioni di reporting e analisi degli allarmi: è una soluzione ideale per le fasi di funzionamento, manutenzione e monitoraggio delle strategie secondo quanto detta la norma ISA 18.2 riguardo alla gestione degli allarmi di impianto e che vogliamo adottare per sua conduzione ottimale.
Legato agli allarmi c’è un ulteriore aspetto che più vedere di grande beneficio un tool come WIN911, che permette di portare gli allarmi agli operatori su qualsiasi tipo di dispositivo mobile (smartphone, tablet, ecc.) WIN-911® è una piattaforma di notifica allarmi real-time che funziona in congiunzione con il software SCADA per il monitoraggio impianto, con lo scopo di avvisare il personale in caso di condizioni che richiedano attenzione ed interventi diretti.
Conclusioni La Direttiva NIS impone una attenta valutazione del rischio Cyber a tutti gli Operatori di Servizi Essenziali (OSE). Per gli OSE che erogano servizi attraverso impianti distribuiti gestiti da sistemi OT (Operation Technology), sistemi di controllo e telecontrollo SCADA sarà necessario adottare un approccio alla OT Cyber Security specifica, che consenta di proteggere dal rischio cyber reti e sistemi di automazione per garantire continuità di funzionamento e quindi continuità operativa nella erogazione del servizio.
Per questo motivo, da tempo ServiTecno distribuisce e supporta una famiglia di prodotti nella traccia del cosiddetto SCADA H.A., ovvero SCADA High Availability, ad Alta Disponibilità. Industria4.0 declinato per gli ESO può essere Utility4.0, ed in questo momento economico ed di innovazione tecnologica che stiamo vivendo, definito da molti come quarta rivoluzione industriale, vediamo crescere a dismisura la complessità dei sistemi industriali legata da una parte all’aumento dei dispositivi “intelligenti”, e dall’altra alla progressiva interconnessione e integrazione sia tra le diverse aree dell’impianto, sia tra i sistemi produttivi e quelli gestionali, sia nell’industria che nelle utility.
LINK DI RIFERIMENTO
- https://www.sicurezzanazionale.gov.it/sisr.nsf/archivio-notizie/cyber-la-nis-entra-in-vigore-litalia-si-rafforza-e-fa-rete-con-lue.html
- https://www.key4biz.it/cybersecurity-e-direttiva-nis-litalia-individua-465-operatori-nazionali-di-servizi-essenziali/239011/
- https://www.assiteca.it/2019/02/nis-sicurezza-informatica/
ServiTecno, che dal 1979 è focalizzata sull’innovazione software-driven, è in grado di offrire una risposta a questa esigenza a diversi livelli, con la propria competenza e professionalità, oltre naturalmente ad una serie di prodotti software ed hardware specificamente disegnati e sviluppati per il mondo industriale.