Introduzione alla sicurezza in ambito Operational Technology

Secondo il report del SANS “The State of ICS/OT Cybersecurity in 2022 and Beyond”, gli attaccanti stanno dando prova di conoscere le componenti dei sistemi di controllo, i protocolli industriali e le operations ingegneristiche.

Il settore OT sta attualmente affrontando nuove sfide e gravi minacce. Le tecnologie di threat detection aiutano a prevenire gli incidenti (e i loro effetti), ma le aziende non devono dimenticare di implementare processi e misure di sicurezza adeguate.

Potremmo dire, per cominciare, che l’OT security si occupa della protezione dei sistemi industriali. Sarebbe però una definizione vaga, per non dire tautologica.

Per avere chiaro a cosa ci riferiamo quando utilizziamo il termine “OT security”, è quindi necessario fare un passo indietro.

Per “tecnologia operativa” si intendono hardware e software che monitorano e controllano le prestazioni dei dispositivi fisici.

Indipendentemente dal tipo di organizzazione, i sistemi più conosciuti sono PLC (Programmable Logic Controller), DCS (Distributed Control System), SCADA (Supervisory Control And Data Acquisition) e HMI (Human-Machine Interface), storicamente raggruppati sotto il nome di ICS (Industrial Control System).

Ai tradizionali sistemi citati, si aggiunge oggi l’IIoT (Industrial Internet of Things), alla base dell’industria 4.0 e dei concetti di digitalizzazione della fabbrica e dei sistemi di produzione.

Sebbene spesso si tenda, in maniera non del tutto corretta, a dare una definizione di OT contrapponendola a quella di IT, non bisogna commettere lo sbaglio di considerare l’OT security e l’IT security due “binari”, per così dire, distinti e paralleli.

L’OT security è in grado di avere ripercussioni sul mondo fisico ed impattare sia sulla security che sulla safety, coinvolgendo persone, tecnologie e processi. È un campo relativamente nuovo nella sicurezza informatica, per il fatto che i sistemi OT nascono, in prevalenza, disconnessi dalla rete.

L’adozione di nuovi software aziendali (si pensi in particolare agli analytics dei dati o all’introduzione di sistemi come il MES, Manufacturing Execution System, che consente di ottimizzare le operazioni e l'efficienza della produzione), così come l’adozione del cloud anche per il mondo OT, però, hanno spinto le organizzazioni a far convergere ulteriormente i sistemi IT e l'infrastruttura OT tradizionale.

La quantità di dati generati dalle nuove tecnologie permette di creare una maggiore efficienza, ma allo stesso tempo espone l’infrastruttura a maggiori rischi di sicurezza.

È quindi facile capire perché la security stia diventando una priorità anche in ambito OT, nonostante molte aziende non siano ancora consapevoli delle minacce che gli attacchi informatici rappresentano per le loro risorse.

A ciò si aggiunge il problema dell’OT legacy: se consideriamo infatti che molti sistemi OT sono stati progettati per durare decenni, è facile capire come alcune delle misure per la sicurezza informatica, mutuate dal mondo IT, generalmente non siano adatte a questi ambienti.

Ricapitolando:

1. Man mano che i sistemi industriali diventano più connessi, istantaneamente sono anche più esposti alle vulnerabilità. Per non generare impatti economici negativi o, in alcuni casi, sulla sicurezza delle persone, le apparecchiature industriali devono essere sempre attive e operare in maniera corretta.
2. I sistemi OT tradizionali portano con sé un lungo elenco di problemi di sicurezza informatica, tra cui apparecchiature con cicli di vita decennali, impossibilità di applicare patch ai sistemi a causa di problemi di stabilità, oltre che la mancanza di alcune funzionalità di sicurezza informatica, come l'autenticazione o la crittografia.
3. L'isolamento completo è diventato oggi quasi impossibile e, per mitigare i nuovi rischi OT, le organizzazioni dovranno implementare una combinazione di prodotti, servizi e processi di sicurezza informatica IT tradizionali con soluzioni di sicurezza personalizzate e specifiche per l’OT.

I sistemi OT hanno condizioni operative fondamentalmente diverse rispetto ai sistemi IT. I dispositivi che ne fanno parte, ad esempio, gestiscono apparecchiature che potrebbero essere esposte a condizioni estreme, in termini di temperatura e pressione, sostanze chimiche pericolose o tensioni elevate. Il guasto di un dispositivo OT potrebbe innescare l’arresto di un intero processo industriale, causando perdite ingenti.

Per questo motivo, la progettazione OT ha sempre dato priorità alla sicurezza personale e all’affidabilità dei processi (“uptime”), piuttosto che alla sicurezza dei dati, che rappresenta, invece, un’assoluta priorità dell’IT security.

Inoltre, come accennato, gli asset industriali hanno una lunga durata e i processi tendono a essere stabili nel tempo; quindi, i dispositivi hanno in genere una vita utile molto più lunga, spesso misurata in decenni, rispetto ai dispositivi IT.

Lo standard per la sicurezza informatica, come sappiamo, è composto da riservatezza, integrità e disponibilità (CIA, confidentiality, integrity and availability). I dati aziendali infatti, sono considerati proprietà intellettuale e mantenere le risorse digitali al sicuro è l'obiettivo principale delle strategie di sicurezza IT. Segue la necessità di garantire che i dati non vengano diffusi o danneggiati in alcun modo, intenzionalmente o meno. Infine, i dati devono essere sempre disponibili.

È quindi evidente che lo standard per la sicurezza informatica OT richiede un insieme di priorità più ampio e, in qualche modo, rivisto: a disponibilità, integrità e riservatezza è necessario aggiungere un ulteriore requisito, il controllo. Nell’universo OT, mantenere il controllo di tutte le risorse fisiche per garantire il loro funzionamento sicuro in ogni momento è l'obiettivo principale e prevale su tutte le altre preoccupazioni. Viene poi la disponibilità: l’OT è presente in tutte le infrastrutture, critiche e non, e le infrastrutture in genere devono essere sempre disponibili. Anche l'integrità è importante, in particolare nella misura in cui garantisce sicurezza e disponibilità, così come la riservatezza, anche se per i dati OT risulta molto meno preoccupante di quanto non lo sia per i dati IT.

Abbiamo detto che molti strumenti di sicurezza informatica IT tradizionali non possono essere utilizzati negli ambienti OT. Una semplice scansione dei dispositivi OT alla ricerca di vulnerabilità, ad esempio, potrebbe innescare interruzioni del processo. Allo stesso modo, gli aggiornamenti delle patch di sicurezza negli ambienti di produzione possono essere problematici, poiché i sistemi di backup per il test delle patch spesso non sono disponibili e c'è una comprensibile esitazione tra i team operativi nel consentire modifiche ai loro ambienti OT. Ciò è particolarmente preoccupante, perché le apparecchiature con vulnerabilità note possono essere operative per molti anni.

In aggiunta a queste tradizionali sfide di sicurezza informatica OT, i team operativi devono ora gestire anche il rischio dell'integrazione di nuove tecnologie come dispositivi IoT industriali, servizi cloud, dispositivi industriali mobili e reti wireless di nuova generazione.

A livello di architettura, le raccomandazioni più interessanti presenti negli standard internazionali (NIST e IEC 62443) sono:

• Garantire che i componenti critici siano ridondati e si trovino su reti ridondanti
• Fornire una separazione logica tra le reti aziendali e ICS
• Implementare una topologia di rete per l'ICS a più livelli, con le comunicazioni più critiche gestite nel livello più sicuro e affidabile
• Ove possibile, utilizzare protocolli e servizi di rete affidabili e sicuri
• Limitare l'accesso fisico alla rete e ai dispositivi ICS
• Dove praticabile, utilizzare meccanismi di autenticazione e credenziali separati per gli utenti della rete ICS e della rete aziendale
• Disabilitare le porte e i servizi inutilizzati sui dispositivi ICS
• Limitare i privilegi degli utenti ICS
• Distribuire rapidamente le patch di sicurezza dopo aver testato tutte le patch in condizioni sul campo su un sistema di test (dove non è possibile, introdurre delle soluzioni specifiche di virtual patching per la protezione degli endpoint ICS)
• Tracciare e monitorare le aree critiche dell'ICS
• Gestire gli accessi remoti con soluzioni sicure e protette

A livello organizzativo invece, un programma di sicurezza efficace dovrebbe prevedere almeno i seguenti aspetti:

• Valutazione del rischio: identificare e classificare i sistemi OT, individuare le minacce potenziali e le vulnerabilità, implementare i sistemi di rilevamento delle intrusioni per monitorare il traffico di rete e le anomalie, ricorrere all’analisi comportamentale per identificare attività sospette.
• Politiche e procedure: sviluppare politiche e procedure di sicurezza OT chiare e ben definite, definendo ruoli e responsabilità per il personale coinvolto.
• Formazione e sensibilizzazione: fornire formazione sulla sicurezza agli operatori OT e al personale coinvolto nella gestione dei sistemi, nonché sensibilizzare il personale sugli ultimi rischi e minacce in materia di cybersecurity.
• Risposta agli incidenti: creare un piano di risposta agli incidenti OT che dettagli le azioni da intraprendere in caso di violazione ed eseguire esercitazioni per verificare l'efficacia del piano.
• Conformità normativa: garantire che il programma di sicurezza OT sia conforme alle normative e agli standard di settore pertinenti.
• Monitoraggio e miglioramento continuo: monitorare costantemente la sicurezza dei sistemi OT e le minacce emergenti ed effettuare revisioni periodiche delle politiche e delle procedure, apportando continui miglioramenti.

La transizione da sistemi chiusi a sistemi aperti, nota anche come convergenza IT-OT, genera nuovi rischi per la sicurezza.

È impossibile gestire un sistema di controllo industriale senza un rigoroso approccio alla cybersecurity OT.

I sistemi industriali infatti sono sempre più connessi e, inevitabilmente, anche esposti a maggiori vulnerabilità. Ciò risulta particolarmente allarmante se si pensa al fatto che gli attacchi ICS/OT sono dirompenti e potenzialmente distruttivi, anche dal punto di vista fisico.

Tra le sfide che la sicurezza OT deve affrontare però, non figurano solo la crescente complessità dei sistemi e la proliferazione di dispositivi connessi, ma anche la carenza di professionisti qualificati.

L’adozione di sistemi di detection e di monitoraggio è fondamentale per garantire alle aziende una visibilità precoce delle minacce a cui sono esposti i propri sistemi. Ecco perché SOC e, soprattutto, Hybrid SOC devono essere considerati servizi cruciali anche dal punto di vista dell’OT security.

È importante ribadire che l’OT security, per essere affrontata correttamente, richiede un approccio proattivo, concentrato sulla gestione del rischio, sull'intelligence delle minacce e sulla consapevolezza, per dare priorità ai rischi, implementare controlli adeguati e coinvolgere le parti interessate, promuovendo una cultura della sicurezza.

Il Team Advisory di Lutech può fornirti consulenza professionale e aiutare la tua azienda a raggiungere i propri obiettivi di security.