Nel mondo dei grandi impianti industriali chimici, petrolchimici e farmaceutici e in quello delle infrastrutture critiche, la cybersecurity è una componente imprescindibile.
Con la digitalizzazione, l’interconnessione dei sistemi industriali e la diffusione dell’Industrial Internet of Things, la superficie di potenziali attacchi di tipo informatico si è enormemente ampliata, al punto che oggi la cybersecurity sta diventando una priorità anche per le aziende industriali.
Una maggior consapevolezza dell’importanza strategica di proteggere i propri impianti OT (Operational Technology) sta, infatti, portando le aziende a implementare piani e strategie di OT security, vale a dire la messa in sicurezza di componenti hardware e software dedicati al monitoraggio e al controllo di processi e asset fisici.
Tra i principali player dell’automazione industriale, ABB ha una profonda esperienza nell'implementazione di soluzioni di sicurezza informatica in diversi settori applicativi.
Per questo abbiamo chiesto a Massimo Scanu, Portfolio Manager di ABB Energy Industries Cluster Italy, di parlarci dell’importanza della cybersecurity nel mondo dei grandi impianti industriali, degli standard che regolano il settore e degli step da seguire per attivare un piano di sicurezza informatica in un impianto industriale.
Il mondo OT e i suoi dati, un target per cybercriminali
“Gli attacchi hacker agli ambienti OT non sono una novità”, spiega Massimo Scanu. “Qualche anno fa erano più concentrati nell’area Est del mondo, ma poi si sono diffusi ovunque e sono costantemente in crescita”.
Massimo Scanu ha un’esperienza trentennale nell’area Industrial Automation di ABB. Tra le attività, ha seguito il Service Post-Vendita, dove ha supportato i clienti incrementando la cultura della cybersecurity nell’ambiente dell’automazione industriale, dove non c’era una grande sensibilità alla sicurezza informatica. Da circa tre anni opera principalmente a supporto dell’unità Vendite per lo sviluppo del portafoglio dei sistemi automazione coprendo il Sud Europa, con focus sullo sviluppo dell’Industrial cybersecurity di questa regione.
“Con la digitalizzazione il mondo OT, fino a una quindicina di anni fa separato dalla struttura di rete aziendale e da Internet, è ora collegato con l’IT aziendale, è aperto all’esterno e questo rende più facile l’intrusione dei cyber criminali. La convergenza tra OT e IT è finalizzata all’analisi dei dati raccolti dagli impianti per il miglioramento dei processi e dell’efficienza produttiva degli impianti, per la prevenzione e l’ottimizzazione dei processi manutentivi con l’ausilio anche dell’intelligenza artificiale e del machine learning al fine di ridurre anche i fermi impianti: per questo il mondo OT è diventato un target interessante, sia per i suoi dati ma principalmente per i disservizi e/o problemi che può creare alla comunità”, spiega Scanu.
E aggiunge: “Da quando nel 2017 gli effetti del ransomware Wanna-Cry riuscirono a raggiungere impianti e/o sistemi OT/IT mettendo in ginocchio diverse aziende e servizi in diversi Paesi Europei e del Mondo, la sicurezza informatica ha acquisito maggior importanza all’interno delle aziende”.
Gli effetti di cyberattacchi a infrastrutture e impianti critici
Nel mondo industriale, gli ambienti OT si dividono in due macrosettori: quello delle Utility, cioè le infrastrutture del Paese per la distribuzione dell’energia, del gas, dell’acqua, e quello degli impianti chimici, petrolchimici e farmaceutici. È evidente che attacchi cyber alle due aree hanno rilevanze diverse. In particolare, per le infrastrutture critiche è la Direttiva Europea Nis sulla cybersecurity a imporre nuove regole nel settore.
“Gli effetti di un attacco cyber alle infrastrutture critiche può creare enormi disservizi”, spiega Scanu. “In Italia, soprattutto nell’ambito della produzione di energia elettrica esistono diversi piccoli impianti - che sono una fonte rilevante di energia per il Paese - accanto a realtà di grandi dimensioni più strutturate sul fronte della cybersecurity, dove la cultura della sicurezza informatica è ancora scarsa”, racconta Scanu. “Una situazione che rende necessario intervenire sul fronte della sicurezza informatica poiché attacchi più semplici a tanti piccoli impianti potrebbero causare comunque gravi disservizi”.
Nel petrolchimico ci sono altre criticità. “Nel nostro Paese ci sono ancora molti impianti sottoposti alla Direttiva Seveso per la sicurezza ambientale per i quali un attacco cyber potrebbe invece creare gravi danni all’ambiente e alla popolazione”, prosegue Scanu. “E, in questo particolare periodo di Pandemia sono da ritenersi critici anche gli impianti farmaceutici, già presi di mira durante il Lockdown dagli hacker, ai quali indirizzano il loro obiettivo al fine di poter ricevere grossi guadagni vista la criticità del momento”.
Cybersecurity: le normative di riferimento
Con riferimento alle normative italiane ed europee, per i sistemi di automazione e controllo lo standard principale è la normativa ISA 99/IEC 62443, che considera le tre aree per la definizione di una corretta strategia di sicurezza informatica: la tecnologia da utilizzare, i processi da seguire e il personale che opera sui sistemi. “Questa normativa definisce il ciclo di mantenimento della cybersecurity da tre differenti punti di vista, considerando l’Utente finale, l’Integratore di sistemi di controllo e il Produttore di sistemi di controllo o sue parti”, precisa Scanu.
La Nis è invece la Direttiva emanata dal Consiglio Europeo nel 2016, e recepita in Italia nel 2018, con lo scopo di migliorare le capacità di cybersecurity dei singoli Stati dell’Unione, mediante adozione di specifiche misure di sicurezza a carico di settori sensibili.
La Nis si applica agli Ose, cioè gli Operatori di Servizi Essenziali tra i quali figurano proprio le infrastrutture critiche e ai Fornitori di Servizi Digitali, che erogano servizi di e-commerce, cloud computing o motori di ricerca, sulle minime politiche in temi di sicurezza informatica da applicare ai loro sistemi informativi tra cui anche i Sistemi di Automazione e Controllo di infrastrutture critiche.
Cinque step per una strategia di sicurezza informatica in un impianto industriale
ABB è specialista in cybersecurity per l’ambito OT sui propri sistemi. “Solo chi produce e integra il sistema di controllo di impianto, il DCS (Distributed Control System), è in grado di fornire un adeguato livello di sicurezza informatica poiché conosce perfettamente la struttura dell’applicativo software nei minimi dettagli”, afferma Scanu.
Il DCS, cuore dell’impianto, è spesso un sistema proprietario e sicuro, ma l’interazione con l’operatore avviene nella maggior parte dei casi con pc industriali e oggi sempre di più con strumenti mobile quali tablet e smartphone, esponendo il sistema all’attacco di ransomware.
Il ciclo di implementazione di un corretto sistema di cybersecurity è composto da una sequenza di cinque fasi.
Inizia con l’identificazione del rischio al quale il sistema è esposto, seguendo le verifiche di seguito riportate che possono essere erogate come servizio da personale ABB certificato.
Parliamo di due ambiti: Cybersecurity Risk Assessment, che è l’analisi della probabilità e delle conseguenze di un eventuale attacco informatico, necessario al fine di poter valutare un adeguato livello di protezione da applicare al sistema, e di Cybersecurity Assessment e Cybersecurity Fingerprint, che sono invece un’analisi approfondita delle protezioni attive nel sistema sia dal punto di vista di configurazione sia tecnologico e procedurale.
Segue l’implementazione dei vari livelli di protezione per raggiungere il livello di protezione definito in fase di Risk Assessment, partendo dal semplice utilizzo di un Antivirus continuamente aggiornato e da un aggiornamento continuo delle patch Microsoft, per poi passare all’Hardening del sistema, a una revisione ciclica degli utenti che hanno accesso al sistema, all’applicazione di un sistema di Whitelisting (che ha funzionalità simile ma opposta dell’Antivirus), all’applicazione di un adeguato sistema di backup e restore (necessario come strumento di disaster recovery in caso di attacchi cryptolocker), per arrivare anche a una reingegnerizzazione della rete del sistema di controllo, applicando segmentazione e zone DMZ (Demilitarizzate) ove necessario come anche richiesto dalla normativa IEC 62443.
L’implementazione di sistemi di monitoraggio ha invece l’obiettivo di verificare che le protezioni non abbiano falle, qualora se ne verifichino, che vengano immediatamente segnalate con l’ausilio di sistemi quali ad esempio il Cybersecurity Workplace (sistema di monitoraggio e supervisione della corretta implementazione degli aggiornamenti Antivirus, Microsoft patch e backup). Seguono il Network Monitoring (sistema per l’analisi del traffico dati più noto come Network Intrusion Detection System), l’Asset Inventory (sistema automatico per la gestione dell’elenco degli asset collegati all’infrastruttura di rete) e l’Event Forwarder (per invio log a sistema SIEM).
La quarta fase è il Pronto intervento in caso di incidente o intrusione nel sistema. Sempre tramite personale ABB certificato, questa fase prevede: la Supervisione h24/365 dei sistemi di monitoraggio tramite SIEM o collegamenti remoti sicuri all’impianto; il Supporto per il ripristino del sistema in caso di attacco che abbia messo fuori servizio i sistemi o parte di essi; il Supporto per analisi e disinfezione da eventuali intrusioni da virus informatici.
Quinta, ma non per minor importanza, è la Consulenza. Fondamentale e sempre erogata da esperti ABB, si sviluppa su tre punti: Training su cybersecurity a vari livelli; Test di vulnerabilità o di penetrazione informatica sui sistemi di controllo; Consulenza per redigere procedure e protocolli aziendali.
Il giusto approccio alla cybersecurity
In coda alle tecnologie, alle strategie e all’expertise indispensabili per mettere in sicurezza impianti e sistemi industriali, c’è, tuttavia, un aspetto da non sottovalutare: l’approccio culturale.
“Fare cybersecurity è una questione di approccio: il sistema e le azioni adottate diventano un modo di agire, un ciclo continuo che segue la vita dell’impianto e che lo mantiene aggiornato, dalla fase di prima installazione alle varie modifiche di sistema dovute ad aggiornamenti ed espansioni durante tutta l’evoluzione dell’impianto”, così conclude Massimo Scanu.
