Convergenza tra IT e OT per la sicurezza degli ambienti industriali

Convergenza tra IT e OT per la sicurezza degli ambienti industriali

Convergenza tra IT e OT per la sicurezza degli ambienti industriali

Il tema della sicurezza informatica per gli ambienti industriali è oggi tra i più “caldi”.  Siamo arrivati infatti al punto in cui gli attaccanti sono in grado, con strategie mirate, attacchi articolati in più fasi e strumenti sempre più avanzati, non solo di rubare Intellectual Property (come hanno fatto per anni) ma di bloccare per giorni o anche settimane la produzione delle industrie, come riportano spesso i media, e come è successo quest’anno a diverse realtà manifatturiere italiane.

Quali sono le problematiche che hanno reso la cybersecurity una priorità nel settore manifatturiero?

Gli imprenditori hanno cavalcato negli ultimi anni il paradigma dell’Industria 4.0, sposandone gli evidenti benefici in termini di incrementi di produttività, maggiore efficienza operativa, riduzione dei costi, migliore qualità dei prodotti e del servizio ai clienti. Questo ha portato a una più estesa connettività nelle fabbriche, in cui i sistemi di controllo (ICS, Industrial Control Systems, o sistemi OT, Operational technology per distinguerli da quelli IT, Information technology), deputati al monitoraggio e al comando di impianti industriali, sono stati connessi alle reti IT per trasmettere dati o essere gestiti da remoto.

Oggi i sistemi IT e OT hanno molte cose in comune, essendo entrambi collegati con reti IP e quindi in grado di comunicare scambiando dati critici del business. Si osserva una sempre maggiore convergenza dei due ambiti, spesso affidata in primis al dipartimento IT senza tenere in sufficiente considerazione il fatto che  permangono molte diversità tra i due ambiti. Come viene spesso ricordato, le Operational Technologies hanno caratteristiche che le distinguono fortemente dai computer. Va tenuto presente che:

  • i sistemi meccanici hanno un comportamento diverso (ad esempio, il traffico che generano è molto più prevedibile rispetto a quello analogo nel mondo IT, le comunicazioni avvengono tipicamente machine-to-machine, mentre nel mondo IT sono centrate sul componente umano) e richiedono una gestione specialistica, oltre che modelli di sicurezza ad hoc;
  • le competenze e il know how per la gestione dei sistemi OT non è normalmente presente nel settore IT.

ot

Figura 1. Caratteristiche divergenti per la gestione di device IT e OT (Fonte: https://optigo.net/blog/take-pain-away-it )

Dal punto di vista della sicurezza, la differenziazione tra i 2 mondi è ancora più spinta.

I sistemi OT hanno requisiti di “buon funzionamento” molto diversi rispetto a quelli IT: se per i secondi, le priorità in termini di sicurezza sono “Confidenzialità, Integrità, Disponibilità” (la gestione delle informazioni deve garantire questi aspetti), per l’OT la sicurezza di funzionamento c’è quando è garantito il “Controllo in realtime, Adattabilità, Disponibilità o continuità di funzionamento, Confidenzialità e integrità dei dati”.

Cambia l’ordine di importanza dei requisiti e al primo posto si posizionano caratteristiche strettamente legate alla continuità operativa. Inoltre, nel mondo industriale, parlare di sicurezza significa sempre mettere al primo posto la continuità e le performance di processi fisici, dare quindi priorità ad aspetti come: Safety delle persone, protezione della fabbrica e dell’ambiente circostante, continuità dei processi e compliance.

ot

Figura 2. Le priorità divergenti per la sicurezza nel mondo IT e OT (Fonte: Cyber-security of SCADA and Other Industrial Control Systems, Edward J. M. Colbert, Alexander Kott. Springer)

I sistemi di controllo industriale sono guidati da processi ingegnerizzati (ad esempio, l’apertura e la chiusura di valvole, il controllo di livelli energetici, e così via) che coinvolgono comandi e controlli che devono funzionare in modo deterministico: le misure di sicurezza devono essere allineate a questo funzionamento, non possono ostacolarlo, o se lo fanno, tutto deve essere predefinito in un framework complessivo.

Anche l’analisi del rischio differisce molto tra ambienti IT e OT: nel caso del mondo IT, la cybersecurity ha un approccio basato sulla conoscenza delle minacce, che puntano a monetizzare il furto di dati, mentre la superfice d’attacco da prendere in considerazione è in continua evoluzione e fa riferimento a diversi livelli tecnologici. Nel caso dell’OT, gli attaccanti possono essere anche grandi organizzazioni state-sponsored, con obiettivi come la disruption di infrastrutture critiche nazionali, e non va trascurato l’errore umano, quindi incidenti non intenzionali. Un’indagine condotta da Kaspersky (“State of Industrial Cybersecurity 2019”) ha messo in evidenza che circa il 50% degli incidenti informatici nelle reti industriali sarebbe causato da errori e azioni accidentali da parte dei dipendenti. Inoltre, la superfice d’attacco dell’Industrial Internet può essere estremamente vasta e difficile da controllare.

In aggiunta, ulteriori aspetti hanno giocato in passato a sfavore della sicurezza dell’OT: questi sistemi hanno una vita media molto lunga, oltre che un costo elevato. Si tratta per lo più di sistemi proprietari, in cui sono stati progressivamente integrati sviluppi IT, ma la chiusura dei vendor ne rende difficile l’aggiornamento tecnologico. Spesso avviene che siano basati su sistemi operativi obsoleti (ad esempio quelli Windows) per cui non sono neanche più disponibili aggiornamenti. Oggi sempre più spesso i sistemi OT sono collegati a internet (secondo il paradigma dell’Industrial IoT), per abilitare applicazioni analitiche, di manutenzione predittiva, o per ottimizzare la supply chain con informazioni in real time provenienti dalla fabbrica: questo incremento di connettività, se non gestito con le dovute cautele, può però incrementare di molto la superfice d’attacco.

Le risposte tecniche e organizzative per la cybersecurity nel mondo OT

Il percorso per la cybersecurity nel mondo industriale è oggi stato avviato in molte realtà italiane. Gli obiettivi devono essere molteplici: puntare a miglioramenti dal punto di vista tecnico e organizzativo, ma anche far crescere una cultura interna per la cybersecurity in chi si occupa di OT.

In termini di protezione specifica per l’Industrial IoT, considerando l’elevato tasso di connessione all’esterno raggiunto oggi, emergono alcune risposte dall’indagine effettuata da The Innovation Group a gennaio 2020 (“Cyber Risk Management 2020 Survey”), che sarà presentata nel corso dello SMART MANUFACTURING SUMMIT LIVE del prossimo 16 settembre, in un Tavolo di Lavoro pomeridiano sui temi della Security industriale. Secondo le risposte di aziende del Made-in-Italy e di settori che gestiscono infrastrutture critiche (Energia, Utilities), i controlli di sicurezza più diffusi sono quelli legati alla segmentazione di rete (con firewall e IT/OT gateways), utilizzati dall’84% dei rispondenti, la separazione del network a livello fisico e logico (76% ) e le restrizioni a livello di accessi (64%), che regolano le autorizzazioni sui singoli componenti al fine di impedire l’accesso da parte di dispositivi o utenti non autorizzati e potenzialmente compromessi. L’inventario dei sistemi connessi è svolto solo da un 60% dei rispondenti, e per le altre misure di sicurezza si registrano percentuali molto basse.

Il monitoraggio dei device IIoT con l’identificazione di anomalie avviene nel 36% dei casi; sistemi di autenticazione e protezione degli endpoint IoT nel 32%; aggiornamento delle patches a livello di device sempre 32%; test di sicurezza preliminari per l’IoT solo nel 24% dei casi. Anche la formazione del personale su questi temi ha oggi un’attenzione troppo bassa (20%).

ot

Su chi ricade la responsabilità del rischio informatico nel mondo OT

Secondo la ricerca svolta da The Innovation Group, le aziende stanno cercando di migliorare il livello di protezione delle proprie reti industriali: questo obiettivo, però, può essere raggiunto solo se si affronta in modo adeguato il tema di come impostare una corretta cybersecurity governance nel mondo industriale. Serve infatti definire in modo chiaro obiettivi e priorità, un disegno organizzativo il più possibile efficace per la gestione della sicurezza IT di questi ambienti, una corretta assegnazione di ruoli e una continua verifica delle competenze. Va anche tenuto presente che non può esistere una soluzione univoca per tutte le realtà: da un lato, la giusta struttura di governance deriva dalla cultura e dai processi esistenti in tutta l’organizzazione. Dall’altro lato, una corretta impostazione del cyber risk management deve discendere – anche nel mondo dei rischi IT industriali – da un approccio risk-based, ossia da una preliminare analisi degli scenari di rischio che la singola impresa corre, e da una valutazione precisa dei potenziali impatti che potrebbero derivare dal verificarsi di un incidente.

ot

Come emerge dalla survey, il presidio dell’OT Security all’interno delle aziende industriali italiane vede tuttora un ruolo dominante della funzione IT (58% delle risposte), e solo in seconda battuta dell’area OT (38% dei casi). Inoltre, si osservano numerose situazioni in cui le responsabilità fanno capo a più dipartimenti, andando quindi a coinvolgere anche le funzioni di assistenza e manutenzione (19%) o il team per la sicurezza fisica (8% dei casi). Senza escludere da questo coinvolgimento i fornitori esterni, come system integrato (12%), produttori (4%) e fornitori di servizi di sicurezza (4%).

In ultima analisi, quello che sarebbe auspicabile, sarebbe una più stretta collaborazione dei team IT e OT, con il fine di incrementare la cultura e diffondere le competenze di cybersecurity, oltre che accrescere la visibilità comune su questi ambienti nell’ottica di mitigarne i rischi cyber. Oggi serve colmare il divario che si è creato tra IT e OT, in quanto le rispettive persone hanno il compito comune di accrescere la capacità complessiva di difesa di questi ambienti.

Durante lo SMART MANUFACTURING SUMMIT LIVE del prossimo 16 settembre 2020, in un Tavolo di Lavoro pomeridiano sui temi della Security (SICUREZZA: COSA E COME L’OT IMPARERÀ DALL’IT PER GESTIRE I RISCHI CYBER? dalle 15.30 alle 16.30), saranno discusse, con le testimonianze dirette di esperti del settore, le problematiche dell’OT Security, indicando raccomandazioni e linee guida per affrontare con successo questi temi.

Puoi registrarti all’evento sul sito dedicato. Smart Manufacturing