Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Lunedì, 01 Marzo 2021
Proteggere i sistemi di controllo delle Infrastrutture Critiche, Operatori di Servizi Essenziali ed “Industrie Strategiche” in tempi di Covid19 - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Proteggere i sistemi di controllo delle Infrastrutture Critiche, Operatori di Servizi Essenziali ed “Industrie Strategiche” in tempi di Covid19 - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

GENNAIO 2021

Nei primi mesi del 2019, quando ancora non avevamo sospetto di cosa ci sarebbe capitato di lì a pochi mesi, era stato pubblicato un mio post (rif. https://bit.ly/3orqxXe) con riferimento ai sistemi di controllo utilizzati su impianti nell’Industria e Utility, con l’intento di commentare il report “ENISA Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends” (https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)
A metà 2018 erano anche entrati in vigore GDPR e soprattutto la direttiva NIS, che riguardava Operatori di Servizi Essenziali: proprio nei primi mesi del 2019 erano iniziate ad essere recapitate lettere a 465 di queste organizzazioni/aziende, identificate come “OSE” da parte di Ministeri ed Organi competenti.
I miei commenti, data la mia esperienza specifica, erano sulla parte relativa alla OT (Operational Technology) Cyber Security: ovvero cosa si poteva trovare nel report ETL2018 a proposito di rischi, minacce ed accadimenti relativi a problemi di security per sistemi e reti di automazione, controllo e telecontrollo a presidio di macchinari ed impianti nell’Industria e nelle Utility.
Nel report ETL2018 si evidenziava come la distribuzione indiscriminata di RAT (Remote Access Tool) sui sistemi ICS sia una pratica diffusa e che procura grosse preoccupazioni.
Lo strumento di amministrazione remota (o RAT) è un programma usato da operatori e da altre persone per connettersi ad un computer remoto attraverso Internet o attraverso un network locale, per svolgere determinate attività di manutenzione o anche gestione del sistema senza doversi recare di persona sull’impianto per avere fisicamente accesso al sistema stesso: uno strumento per l’amministrazione remota installato sul sistema ICS e che possa replicare video, tastiera e mouse su un altro PC collegato in rete. Il report ETL2018 a pagina 109 ci ricordava che “Le reti OT di imprese industriali sono un campo di gloria per gli attori di minacce di spionaggio”, e spesso questi attori utilizzano strumenti di amministrazione remota (RAT) che sono già installati sui sistemi di controllo industriale (ICS).
Dal report si evinceva che, nel campione riferito all’Italia, i RAT (che poi sono software come RDP, Remote Desktop, VNC, TeamViewer, ecc.) erano installati sul 40% dei sistemi ICS, e già questo è indicativo e sintomatico dell’usanza di metterlo dappertutto. In un dettaglio della ricerca Kaspersky richiamata nel report ETL2018 scopriamo anche che tali tool erano installati legittimamente solo su meno di un terzo dei sistemi ICS: in pratica su oltre due terzi dei sistemi ICS in oggetto tali RAT erano stati installati ed erano attivi senza che gli operatori ed i proprietari dei sistemi ne fossero a conoscenza!
Alla prova dei fatti, questa dichiarata “debolezza” dei sistemi ICS, in tempi di COVID19, si è rivelata una vera ancora di salvezza! Operatori e manutentori, forzatamente tenuti in regime di “lavoro da remoto”, hanno potuto intervenire sui sistemi di controllo per la gestione di impianti e macchinari che così hanno continuato a funzionare, per l’erogazione dei servizi essenziali e la produzione di prodotti indispensabili e di prima necessità.
Pensiamo agli impianti tecnologici negli ospedali con la possibilità di gestire e fare manutenzione e controllo da remoto dei sistemi HVAC (per il comfort, ricambio aria e gestione delta pressioni, essenziali nelle terapie intensive, per i reparti a contenimento biologico ed ai blocchi operatori), di vapore, del vuoto e di distribuzione di gas tecnici come ossigeno medicinale, protossido d’azoto medicinale, azoto, aria medicinale, gas e miscele di gas per cura e come dispositivi medici, gas di uso tecnico per funzionamento apparecchiature.

Pensiamo anche, come esempio, alla possibilità di agire da remoto su reti di distribuzione delle acque ed alle reti delle fognature per le utility del ciclo integrato dell’acqua, al fine di garantire sia erogazione regolare dei fluidi ma anche alla qualità dell’acqua secondo quanto prescritto dai Water Safety Plan in via di implementazione da parte degli acquedotti secondo i dettami comunitari e dell’Istituto superiore di Sanità. (rif. https://bit.ly/3pU3tR5). Ed ancora, in Aziende del Life Science (Farmaceutiche, Biotecnologie, dispositivi medici, Integratori, ecc.) impianti e macchinari hanno continuato a funzionare e garantire produzioni, grazie anche alla possibilità di accesso dall’esterno direttamente sui sistemi di automazione e controllo da parte di manutentori autorizzati ed integratori di sistemi che hanno potuto intervenire da remoto.
Proprio per questa necessità di accedere da remoto ai sistemi che gestiscono impianti critici è necessario adottare contromisure adeguate alla criticità e importanza del sistema ICS, ed al contempo avere la massima visibilità su quanto succede in rete e sul sistema per accorgersi prima possibile di eventuali anomalie di comportamento che possano dare indizi su eventuali compromissioni in atto e incidenti incombenti.
E tutti questi interventi sono stati spesso consentiti grazie ad “ambienti protetti” che sono stati implementati proprio allo scopo di garantire una “connessione sicura” con tool e dispositivi appositamente pensati per il mondo industriale ed installati allo scopo di impedire manomissioni e compromissioni nelle connessioni.
Personalmente rimango comunque dell’idea che incidenti che colpiscono reti e sistemi che gestiscono impianti nell’industria e nelle utility, solo in piccola percentuale sono determinati da attacchi mirati a queste infrastrutture, mentre nella maggior parte dei casi sono “danni collaterali” derivanti da attacchi all’infrastruttura web ed IT dell’organizzazione target (industriale o utility), che non hanno messo in campo adeguate contromisure per impedire che il danno si propaghi anche all’infrastruttura OT delle Operation.
Come riporta il rapporto Clusit 2020, pubblicato a ottobre (https://clusit.it/rapporto-clusit/), si è visto un incremento di attacchi ed incidenti informatici malevoli durante il periodo di lockdown nel primo semestre del 2020.
Ecco allora alcuni criteri da non dimenticare, anche e soprattutto in tempi di pandemia, come quella che stiamo vivendo:
- Un sistema OT/ICS collegato a Internet, con scarsa protezione perimetrale, può essere compromissibile: è necessario quindi adottare adeguate contromisure per preservarne l’integrità
- È necessario avere visibilità su quanto avviene nei sistemi OT/ICS, per accorgersi all’istante se ci sia incorso qualche attività non prevista e potenzialmente malevola
In conclusione desidero ricordare che la cyber security OT è per alcuni versi differente da quella ICT: la protezione da rischi in formatici di reti e sistemi di automazione e controllo di fabbrica richiede skill e tecnologie specifiche, in quanto una perdita di dati sensibili riferibili al GDPR può comportare danni sensibili per l’azienda, ma l’interruzione di un servizio essenziale come l’erogazione di elettricità, gas o acqua può avere conseguenze dirette sul benessere di individui/cittadini ed impatti su impianti, persone, ambiente.
P.S.: proprio sul tema Industrial Cyber Security, l’università di RomaTre con anche il patrocinio di AIIC, ha deciso di promuovere un Master dal titolo “La cybersecurity per la protezione dei sistemi di controllo nell’industria 4.0 e nelle infrastrutture critiche” (Info su www.industrialsecurity.it).

Enzo Maria Tieghi

(Newletter AIIC n. 01 (2021))