Le Tecnologie Operative (OT) sono sistemi hardware e software impiegati per modificare, monitorare o controllare numerosi processi fisici, in ambito industriale e non solo: pensiamo a trasporti, reti di distribuzione elettrica, reti idriche e di telecomunicazione, dispositivi medici e impianti ospedalieri critici. A differenza dei sistemi IT, il cui obiettivo è elaborare dati e informazioni, le tecnologie OT controllano processi e possono influenzare direttamente il mondo fisico. Un esempio molto comune sono i sistemi di Controllo Industriale (ICS) / SCADA (Supervisory Control and Data Acquisition), utilizzati per acquisire e analizzare dati in tempo reale per il monitoraggio o il controllo delle apparecchiature di un impianto produttivo.
In passato, le tecnologie IT e OT operavano in compartimenti separati, ciascuno con i propri protocolli, standard e misure. Tuttavia, con l’avvento della connettività globale e dell’Internet Industriale degli oggetti (IIoT, Industrial Internet of Things), i due settori vanno via via convergendo sempre di più. Questa convergenza, oltre a una crescente connettività e dipendenza da reti e risorse elaborative distribuite, espongono i sistemi OT a numerosi rischi di cybersecurity.
Cosa significa sicurezza dell’OT rispetto alla sicurezza IT
Spesso si pensa che le soluzioni di mitigazione del rischio per il mondo IT siano applicabili anche all’OT, ma questo non è sempre vero. Le soluzioni per l’IT devono in realtà essere adattate all’ambito OT: la principale differenza tra le due tipologie di ambienti risiede nella diversa priorità data alla triade “RID”: Riservatezza (Confidentiality), Integrità (Integrity) e Disponibilità (Availability).
Nell’ambito OT va sempre ricordato che la continuità della produzione è essenziale; quindi, la priorità principale è la Disponibilità, insieme naturalmente alla sicurezza per le persone e alla tutela dell’ambiente circostante. Nell’IT, invece, è fondamentale la Confidenzialità delle informazioni. La disponibilità del sistema nel suo complesso è importante ma può essere negoziabile in alcuni casi: ad esempio, se la sicurezza richiede l’aggiornamento di un PC dell’ufficio con un riavvio, la disponibilità viene meno per un po’ di tempo ma questo potrebbe non essere un problema. Viceversa, il riavvio di una macchina di produzione può causare problemi significativi.
L’Integrità ha un’importanza eguale sia nell’IT che nell’OT, ma nell’OT è particolarmente importante quando i dati ottenuti sono utilizzati per effettuare misurazioni e apportare correzioni per migliorare il processo. Invece, la riservatezza / confidenzialità ha un’importanza limitata nell’OT, poiché i dati sono principalmente misurazioni che devono essere affidabili più che non segrete.
Quali sono le caratteristiche uniche di sicurezza dell’OT
I sistemi OT hanno caratteristiche che li distinguono decisamente dal mondo dell’IT, e che portano a dover pensare misure di difesa cyber completamente diverse: di seguito le caratteristiche uniche dell’OT che hanno impatto sulla soluzione di sicurezza secondo l’articolo “Considerations for Operational Technology Cybersecurity” di The Hacker News.
- Operatività in Real time. I sistemi OT spesso operano in tempo reale, non possono quindi permettersi ritardi. Qualsiasi ritardo può infatti causare problemi operativi significativi o addirittura mettere a rischio la sicurezza. Pertanto, una cybersecurity per l’OT che introduca ritardi, come potrebbe avvenire con soluzioni onerose come l’autenticazione multi-fattore o il monitoraggio dell’attività della sessione, potrebbe non essere adatta per questi ambienti.
- Sistemi e connessioni Legacy. Molti sistemi OT sono datati, hanno molti anni di esercizio alle spalle, e sono stati progettati per durare a lungo e resistere in condizioni difficili. Poiché la sicurezza informatica non era in passato sentita come priorità per molti sistemi legacy, questi sistemi potrebbero non prevedere alcuna gestione dei rischi odierni. Questo eleva la vulnerabilità dei sistemi OT legacy. Inoltre, potrebbero mancare di funzionalità di base di sicurezza come crittografia, autenticazione e autenticazione multi-fattore (MFA). La modernizzazione di questi sistemi presenta sfide significative in termini di costo, interruzioni operative e compatibilità. Inoltre, la loro integrazione crescente alle reti IT e, talvolta, a internet, li espone ulteriormente alle minacce informatiche, aumentandone la vulnerabilità.
- Hardware e software obsoleti. L’hardware e il software obsoleti sono fonte di significative sfide di sicurezza, principalmente a causa dell’incompatibilità con le moderne soluzioni di sicurezza commerciali e le best pratices/il ricorso a standard. Ciò espone i sistemi OT legacy a rischi come sorveglianza non autorizzata, violazioni dei dati, attacchi ransomware e manipolazioni.
- Difficoltà ad applicare la crittografia. La crittografia è essenziale per la protezione dei dati e delle comunicazioni sensibili. Tuttavia, i sistemi OT obsoleti potrebbero non avere la capacità di supportarla, con maggiore esposizione quindi a rischi che potrebbero compromettere la riservatezza e l’integrità dei dati.
- Protocolli di comunicazione insicuri. I sistemi OT legacy possono utilizzare protocolli di comunicazione insicuri, come ad esempio Modbus, che non includono autenticazione o crittografia, rendendoli quindi vulnerabili agli attacchi.
- Capacità limitate di adottare controlli di sicurezza informatica. I sistemi OT tradizionali spesso hanno una capacità limitata di applicare le misure di sicurezza informatica. Questo può essere dovuto al fatto che sono stati progettati prima che l’importanza della sicurezza informatica fosse riconosciuta e gestita dai produttori OEM, complicando così la loro sicurezza.
- Connessioni remote di terze parti. I vecchi sistemi OT potrebbero supportare connessioni remote da terze parti per gestire dispositivi OT collegandoli a una rete interna (ad esempio, per aspetti di manutenzione ordinaria). Questo può essere sfruttato dagli intrusi per compromettere altri dispositivi nella rete.
- Mancanza di consapevolezza sulla sicurezza. Gli operatori e i tecnici che gestiscono i sistemi OT legacy potrebbero mancare di consapevolezza e formazione sulla sicurezza, rendendoli vulnerabili agli attacchi di social engineering.
- Credenziali incorporate o facili da indovinare. Determinati dispositivi OT potrebbero avere password predefinite o prevedibili, oltre ad altri potenziali difetti di progettazione.
NIS2 e sicurezza OT
La Direttiva NIS2, pubblicata in GU dell’Unione Europea il 27 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, è stata introdotta in tutta l’Europa per affrontare in modo unitario la crescente minaccia della cybersecurity. Essa sostituisce la precedente Direttiva NIS 2016/1148, recepita in Italia mediante il Decreto Legislativo n. 65 del 18/05/2018. Gli Stati membri sono tenuti a adottare la NIS2 entro il 17 ottobre 2024.
La direttiva si concentra sulle infrastrutture critiche dei Paesi membri, allargando il perimetro di sicurezza nazionale e identificando settori essenziali come Energia, Trasporti, Banche, Mercati finanziari, Sanità, Acqua potabile, Acque reflue, Telecomunicazioni, Pubblica amministrazione e Spazio, oltre a settori importanti come Servizi postali, Gestione dei rifiuti, Produzione e gestione di sostanze chimiche e alimentari, Manifatturiero e Digital provider. La NIS2 richiede anche che tutte le organizzazioni coinvolte nella catena di approvvigionamento delle infrastrutture critiche adottino misure di sicurezza informatica.
Ciò implica che tutte le organizzazioni coinvolte nel mercato nazionale devono conformarsi ai livelli di sicurezza richiesti dalla NIS2. La direttiva NIS2 avrà un impatto significativo sull’OT, poiché obbligherà i responsabili della sicurezza a essere allineati con i nuovi standard, riferimento a standard internazionali, tra cui due documenti ampiamente riconosciuti: il NIST 800.82 e lo standard ISO/IEC 62443.
Come riporta l’articolo “OT Cybersecurity: la direttiva NIS 2 e gli standard internazionali di riferimento”
- La NIST SP 800-82 Rev. 2 (“Guide to Industrial Control Systems (ICS) Security”) si focalizza prettamente sulla protezione dei sistemi di controllo industriale, espandendo i concetti già menzionati nel NIST 800-53, adattandoli al settore delle industrie. Le linee guida definiscono uno standard per la gestione e la protezione dei Sistemi di Controllo Industriale (ICS), compresi i sistemi Supervisory Control and Data Acquisition (SCADA), i sistemi Distributed Control Systems (DCS) e altre configurazioni di sistemi di controllo come i Programmable Logic Controllers (PLC).
- La famiglia di standard ISA/IEC 62443 nasce proprio con l’obiettivo di creare delle linee guida ad hoc per portare le best practice della cybersecurity nell’OT. IEC 62443 è una serie di standard internazionale sviluppata dalla Commissione Elettrotecnica Internazionale (IEC) che si concentra sulla sicurezza dei sistemi di automazione e controllo industriali (IACS). Il suo scopo è fornire un quadro completo per stabilire e mantenere la sicurezza informatica di questi sistemi utilizzati in vari settori, come la produzione, l’energia, i trasporti e altro ancora.
La direttiva NIS2 rappresenta un’opportunità per migliorare la sicurezza nel settore OT, ma richiede un impegno concreto e una visione a lungo termine per garantire la protezione delle infrastrutture critiche e la sostenibilità economica delle aziende industriali.
In conclusione
Le strategie di cybersecurity specifiche per gli ambienti OT devono essere progettate attentamente in modo da bilanciare la necessità di sicurezza e affidabilità con la necessità di riservatezza e integrità dei dati. Questo richiede spesso un approccio diverso rispetto alla sicurezza informatica tradizionale, concentrato sulla minimizzazione delle interruzioni ai processi fisici e sulla comprensione delle potenziali minacce informatiche: significa in sostanza arrivare a proteggere questi sistemi e i relativi dati senza comprometterne il funzionamento. Con la continua convergenza tra Tecnologia dell’Informazione (IT) e Tecnologia Operativa (OT), l’importanza della sicurezza informatica per l’OT può solo aumentare.
