Cyber security. Proteggere i dati. Sempre

La Digital Trasformation che porta all'Industria 4.0 richiede un'attenta analisi delle piattaforme e delle infrastrutture per garantire i requisiti di sicurezza fondamentali della Cyber Security: disponibilità, integrità e riservatezza del dato. Perché prevenire è meglio….

Risale al novembre 2008 il primo episodio di attacco informatico a impianti industriali e infrastrutture critiche, quando fece la sua comparsa Stuxnet, un virus che aveva come bersaglio i sistemi Scada, tecnologia dedicata al monitoraggio di gasdotti, oleodotti e reti di erogazione dell’acqua o dell’energia elettrica così come centrali elettriche e nucleari. Molti passi avanti sono stati fatti dall’epoca per arginare questi attacchi e oggi che Scada è anche lo standard adottato dalla gran parte dell’automazione industriale, anche nel manufacturing la sicurezza del dato è diventata il leitmotiv più importante e verso cui si sta sviluppando il maggior business. Industria 4.0 – che si fonda sul concetto di smart factory nel quale il modello organizzativo innovativo e modulare è coadiuvato da una grande digitalizzazione a supporto e integrazione delle attività umane e di quelle automatizzate per aumentare la catena del valore anche all’esterno dell’azienda – risente ancora una volta di più del fenomeno della cyber security proprio per il fatto di immagazzinare, condividere e trasmettere dati su molteplici piattaforme, interfacciando così macchine di produzione con sistemi contabili (che, a volte, risiedono all’esterno dell’azienda, magari nel cloud di un fornitore di servizi) dovendo così garantire accessi riservati ai sistemi nonché integrità e genuinità dei dati. Non è quindi un caso che proprio nel Piano Industria 4.0 si pensi a incentivare le aziende circa l’adozione di idonei sistemi di protezione e corretti processi di trattamento del dato (qui interviene anche il GDPR che entrerà in vigore il prossimo 25 maggio 2018 e per, il quale, sono previste sanzioni elevatissime per gli inadempienti).

Un nuovo approccio alla cyber security
Normalmente siamo abituati a sentire parlare di IT, Information Technology. Ma quando si parla di “industria” la parola chiave è OT, Operational Technology, che rappresenta l’insieme di tutti i “sistemi intelligenti” che gestiscono informazioni sull’impianto. Pensare di affrontare la questione della security dei sistemi industriali con lo stesso approccio finora impiegato nelle soluzioni di business sarebbe quindi un errore; infatti l’ordine dei tre criteri RID (Riservatezza, Integrità e Disponibilità), cardini della sicurezza informatica, vanno declinati esattamente al contrario: “DIR”, dove Disponibilità e Integrità sono parametri essenziali, mentre la Riservatezza è quasi un parametro accessorio. Ecco dunque lo svilupparsi di soluzioni di sicurezza espressamente pensate in ambito industriale, che soppiantano i classici firewall perimetrali e diventano macchine dotate d’intelligenza con funzioni integrate di IPS/IDS, Firewall, Antimalware e dotate nel contempo di avanzate funzioni di filtraggio, application/protocol/datapackage White-Listing e Anomaly Detection. Macchine denominate quindi UTM (Unified Threath Management) in grado, da un’unica console, di consentire il monitoraggio e la gestione di tutte le minacce di sicurezza a cui la rete informatica aziendale è sottoposta.

Vari tipi di minacce
L’incidente o il danno, possono essere molto vicini. Un’analisi di SANS (SANS 2016 – State of ICS Security Survey) sullo stato della security dei sistemi di controllo industriale (ICS, Industrial Control Systems) indica infatti che il 42% delle minacce ai sistemi arrivano dall’interno delle organizzazioni. In questa cifra rientrano quelle intenzionali che rappresentano oltre il 10% del totale e quelle non volute (errori degli operatori dovuti a scarsa competenza, oppure a sistemi di interfacciamento non chiari), che pesano per oltre il 15% e, in ultimo, i problemi derivanti da malfunzionamenti o da non accurata integrazione IT/OT (circa il 10%). Il metodo migliore di procedere sarebbe quindi quello di adottare i dettami previsti dal modello della “security by design”: progettando cioè il sistema, l’impianto e l’infrastruttura tenendo presenti le questioni rilevanti per la cyber security, mettendo al primo posto un’attenta analisi e valutazione del rischio. Ciò consente di concentrare gli sforzi nei punti in cui si riterranno le contromisure e gli interventi più efficaci e urgenti. Sarà poi necessario rivisitare periodicamente le scelte fatte per verificare se le contromisure adottate siano ancora adeguate ai rischi correnti. Prendendo come riferimento quanto espresso sopra e adottando il modello di “security by design” sarà quindi necessario valutare in fase di progettazione del sistema (inteso come sistema informativo industriale e non come singolo sistema informatico) quale sia la miglior soluzione di protezione e di gestione delle minacce in relazione all’azienda e al modello di business in questa implementato.

Soluzioni di cyber security
Le soluzioni sono molteplici, ma i fornitori di soluzioni tecnologiche oggi leader (almeno nell’interpretazione di Gartner) si richiudono nei “vecchi” grandi nomi della sicurezza informatica: Fortinet, Cisco, CheckPoint, Sophos, PaloAlto… Alcuni di loro hanno poi stretto alleanze con aziende specializzate nella gestione di sicurezza di ambienti Scada fornendo soluzioni quanto più possibile calate nel mondo industriale, ma con la facilità di gestione tipica del sistema di sicurezza informatica. Un esempio in questo senso è l’alleanza Fortinet/Nozomi.

Un sistema integrato
Proprio l’alleanza Fortinet/Nozomi permette di fornire una soluzione di sicurezza specifica per i sistemi di controllo industriale (ICS, Industrial Control System) grazie alla quale è possibile implementare in modo integrato il sistema Scadaguardian di Nozomi e il Security Fabric di Fortinet. Questa integrazione fa sì che Scadaguardian identifichi in modo non invasivo anomalie e comportamenti sospetti della rete ICS e lanci un alert ai firewall enterprise Fortigate di Fortinet in modo da poter bloccare il traffico sospetto, ottimizzando l’efficienza operativa ed evitando il downtime del sistema e la perdita dei dati. La Security Fabric di Fortinet è un’architettura adattiva, pensata per offrire protezione e sicurezza distribuite dalle minacce, dall’Internet of Things (IoT) e dai device mobili, passando per il core dell’infrastruttura fino al cloud; consente anche l’implementazione di una segmentazione end-to-end per una protezione completa dalle minacce. Il framework Advanced Threat Protection (Atp) di Fortinet consente di generare in modo dinamico le informazioni sulle minacce locali e le risposte automatiche, in abbinamento ai servizi FortiGuard per una protezione efficace dalle minacce globali. Nozomi Scadaguardian integra funzionalità di discovery e learning, semplifica la creazione di profili personalizzati di sicurezza e identifica automaticamente anomalie critiche; i processi industriali sottostanti sono regolarmente monitorati in modo preciso grazie a una tecnologia di Industrial Virtual Image.

La Cisco Factory Network
La visione di Cisco invece è quella della Cisco Factory Network in cui tutti gli apparati di infrastruttura cablata (gli switch industriali Cisco IE2000) aggiunti alla componente di Factory Wireless che porta la connettività onair in tutti i punti degli stabilimenti (essenziale laddove vi siano per esempio navette AGV, Automated Guided Vehicle) dialogano direttamente con gli apparati di sicurezza controllando non solo il traffico dati in rete, ma anche i device connessi in termini di profiling, posturing e accesso al network. In questo modo la rete industriale può dialogare direttamente con la rete office/ business nella quale vengono eseguiti gli stessi controlli sia sul traffico sia sui device (siano essi wired o wireless). Inoltre, con gli stessi device di sicurezza sarà possibile segregare logicamente reti in cui accogliere ospiti occasionali o comunque device non-trusted. Interessante qui è il coinvolgimento dell’infrastruttura ISE (Identity Service Engine) che permette, se integrata, in una rete switched fully-cisco e 802.1x capable, la creazione di segregazioni logiche di rete per utenti o per unità organizzative senza dover configurare staticamente le relative vlan sugli apparati di rete, ma semplicemente basandosi sui profili degli utenti e sulle compliance dei loro device. Uno sviluppo interessante di questa infrastruttura si rileva nel case study presentato da Cisco Italia nella realizzazione della rete di un grande gruppo manifatturiero siderurgico Italiano in cui la cyber security aziendale è stata affrontata proprio utilizzando il modello della “Connected Factory” e della “Cisco Factory Network” interamente integrata con i paradigmi della “Cisco Security Factory” di cui sopra.

Le soluzioni UTM
Le visioni degli altri costruttori sono invece più legate all’utilizzo di apparati UTM, che dovranno essere connessi alla rete esistente e interfacciati agli impianti industriali, anche se non sempre i protocolli di comunicazione consentono una piena compatibilità. È in questo panorama che si pone per esempio Sophos, che con le soluzioni UTM presentate permette la segregazione di reti, come il controllo accessi (su reti 802.1x compatibili), la gestione dei malware e il filtraggio del traffico con controllo delle minacce e relativo isolamento di file o dati sospetti.

Cosa prospetta il futuro
Abbiamo parlato di interconnessione di molteplici device, il che ci fa pensare che le attuali reti wired o wireless (su frequenze tradizionali 2,4-5 Ghz) potranno essere presto soppiantate da reti che permettano l’accesso anche in mobilità e consentano un elevato flusso di dati (paragonabile alla fibra ottica) di qualche decina di Gbit. Sulla base di questo paradigma si fonda quindi l’IoT. Ma quale sarà il futuro di queste comunicazioni? L’approccio sembra essere quello del tanto nominato 5G, ovvero il sistema di comunicazione basato su radio frequenza e tecnologia cellulare che consente il collegamento di numerosi device con un’alta velocità di comunicazione (paragonabile, appunto, alla velocità oggi ottenibile solamente con la fibra ottica). Il 5G permetterà di costruire reti open-air in cui connettere molteplici device e fornendo l’alta connettività anche laddove oggi non sia possibile portare la fibra (per esempio nei comuni montani o nelle aree depresse), permettendo quindi anche una riqualificazione del territorio. In quest’ambito possiamo immaginare in un prossimo futuro (probabilmente non così lontano) che anche una piccola azienda di stampaggio delle materie plastiche possa connettere in modo veloce ed economico le proprie macchine industriali a servizi forniti in cloud da aziende di assistenza, monitoraggio o altro che sia utile al business dell’azienda. Proprio nell’ambito del 5G si stanno svolgendo molte sperimentazioni in questi tempi e, tra queste, possiamo citare per esempio l’accordo siglato tra Comau ed Ericsson per lo sviluppo di una rete ICS basata su tecnologia 5G.

La sicurezza in ambito 5G
Migliaia di sensori interconnessi, che forniranno ad altrettanti server (dedicati o in cloud) informazioni in real time, determineranno una mole di informazioni così grande che dovranno comunque essere trattate garantendo i fondamentali paradigmi della sicurezza. Ovvero: Disponibilità, Integrità e Riservatezza. L’evoluzione degli LTE è la parte vitale dell’innovazione 5G e include l’evoluzione di tutte le parti della rete quali il core e i sistemi di management, ma soprattutto i protocolli di comunicazione partendo dalla trasmissione radio fino al livello applicativo. Il risultato è quindi che in qualsiasi di questi elementi una carenza di sicurezza potrebbe determinare un grave problema. Sarebbe troppo semplice, infatti, pensare che il passaggio dalla rete 4G alla rete 5G sia simile alle transizioni precedenti, come un semplice adattamento del bitrate e una diminuzione della latenza. In realtà la sicurezza per la rete 5G dovrà essere anche un salto di qualità per soddisfare le esigenze di una “Società Connessa”. La sfida quindi non è semplice e tutti i concetti utilizzati fino a questo momento nelle normali best practice di sicurezza dovranno essere modificati in favore della nuova tecnologia, dei nuovi utilizzi (si pensi per esempio alle autovetture con guida assistita) e dei nuovi device terminali (un esempio sono i sistemi medicali real-time di assistenza remota). I fondamenti qui si baseranno sicuramente su norme quali i Common Criteria o su standard quali il NIS e il NIST, senza dimenticare la cooperazione di tutti gli attori: dalle telco ai costruttori di device e apparati per garantire una completa sicurezza e affidabilità del dato end-to-end. Possiamo perciò concludere che, in un’ottica odierna di completa digitalizzazione industriale, è necessario che la cyber security venga trattata come pilastro fondamentale del processo su cui le aziende dovranno investire e questo determinerà non solo la scelta della soluzione più appropriata, ma anche il coinvolgimento delle figure professionali con adeguate competenze in quest’ambito, come i Cyber-Security Engineer o Cyber-Security Consultant. Questi, a fianco degli ICT e Industrial (o meglio Operation) Management, possono aiutare l’azienda nel passaggio alle nuove piattaforme utilizzando l’approccio migliore e il rispetto delle normative di sicurezza, evitando eccessivo dispendio di denaro ed eccessiva complicazione nella realizzazione tecnico/operativa.

Condividi quest’articolo
Invia il tuo commento

Per favore inserisci il tuo nome

Inserisci il tuo nome

Per favore inserisci un indirizzo e-mail valido

Inserisci un indirizzo e-mail

Per favore inserisci il tuo messaggio

Tecnologie del Filo © 2018 Tutti i diritti riservati