Ai vantaggi delle soluzioni cloud nell’ambito delle infrastrutture critiche, con particolare riferimento alle reti elettriche intelligenti, fanno da contraltare importanti sfide legate alla sicurezza di questi sistemi, sui quali un attacco potrebbe avere conseguenze economiche e sociali molto gravi. La necessità di proteggere le infrastrutture critiche da attacchi informatici è divenuta quindi una priorità assoluta – sia in Europa che negli Stati Uniti – e le Smart Grid risultano essere un dominio di particolare interesse. Soluzioni pratiche ai principali problemi di sicurezza del cloud sono fornite dal progetto SecureCloud, co-finanziato dalla Commissione europea, Brasile e Svizzera. Vediamo dunque quali sono le principali minacce alla sicurezza in ambito cloud e le soluzioni offerte dal progetto europeo in particolare nell’ambito applicativo delle reti elettriche intelligenti.
I requisiti di sicurezza delle infrastrutture critiche
Le infrastrutture critiche sono caratterizzate da requisiti di sicurezza più stringenti di qualsiasi altro settore, per le conseguenze devastanti che attacchi ben congegnati possono avere sull’operatività, sulla prosperità e sul benessere della società nel suo complesso. Il trojan “Havex”[1] del 2014 o il recente attacco “Black Energy”[2] lanciato in Ucraina nel 2015, focalizzati sulle tecnologie Supervisory Control And Data Acquisition (SCADA) e Industrial Control System (ICS), dimostrano quanto il rischio informatico sia una minaccia concreta anche nelle infrastrutture critiche. D’altra parte, il processo di informatizzazione delle infrastrutture critiche è inarrestabile e tecnologie informatiche emergenti, quali innanzitutto il cloud computing e le wireless sensor network, stanno trovando impiego anche in questo dominio applicativo.
Relativamente alle reti elettriche intelligenti (Smart Grid)[3], diversi autori hanno recentemente evidenziato i vantaggi che deriverebbero dall’impiego di soluzioni cloud ma al tempo stesso hanno sottolineato che queste sono particolarmente impegnative in termini di requisiti di sicurezza[4].
Le minacce alle infrastrutture critiche in ambiente Cloud
Tra i molteplici attori operanti all’interno del panorama industriale è in costante aumento la consapevolezza degli enormi vantaggi che derivano dall’utilizzo della tecnologia cloud, in termini di versatilità, di efficienza e di risparmio. Molti autori hanno analizzato l’impatto che avrebbe in particolare sulle Smart Grid una migrazione verso il cloud, evidenziando tuttavia che l’aspetto sicurezza rappresenterebbe un problema di rilievo, a causa della mancanza di meccanismi di protezione adeguati. Affinché la tecnologia cloud possa realmente affermarsi nel settore delle infrastrutture critiche in generale e delle Smart Grid in particolare, sono dunque necessarie soluzioni che soddisfino efficacemente gli stringenti requisiti di sicurezza di questo dominio applicativo particolarmente sensibile.
Secondo il NIST, il cloud-computing “presenta sfide di sicurezza uniche derivanti dall’altissimo livello di outsourcing, dalla dipendenza da reti anche esterne, dalla condivisione e dalla dimensione (delle infrastrutture, ndt)” [5].
I principali problemi di sicurezza delle Infrastrutture Critiche in generale e delle Smart Grid in particolare sono dunque:
- La violazione dei dati (Data Breach) – I dati delle infrastrutture critiche rappresentano il maggiore target di riferimento per gli attacchi. Il requisito più importante (ancora più della privacy) è l’integrità dei dati, dal momento che attacchi (ad esempio, la manipolazione di sensori) potrebbero avere effetti terribili sulla sicurezza delle persone, in quanto in grado di spingere gli operatori a prendere decisioni sbagliate. Basti pensare all’impatto che potrebbe avere sul sistema di distribuzione elettrica, la diffusione di informazioni false sullo stato della rete. È evidente la rilevanza della complessità dell’outsourcing dei dati con una migrazione al cloud.
- La sottrazione dell’account o del traffico – Tentare di assumere le vesti di un legittimo operatore è uno dei modi attraverso cui gli hacker tentano di attaccare le IC. L’intruso può entrare in aree critiche di un servizio di monitoraggio distribuito e compromettere la riservatezza, l’integrità e la disponibilità dei relativi servizi.
- Il Denial of Service (DoS) – Dato che l’elevata disponibilità di sistemi SCADA rappresenta un requisito fondamentale, gli hacker possono mirare ad un’interruzione dei servizi della CI attraverso un attacco DoS o Distributed DoS (DDoS). Questi attacchi possono persino essere più pericolosi se realizzati in un ambiente cloud, poiché quando il carico di lavoro aumenta rispetto a un servizio specifico, l’ambiente cloud fornisce ulteriore potenza di calcolo per quel servizio. Ciò significa che da un lato il sistema cloud neutralizza gli effetti dell’attacco, ma dall’altro sostiene l’attaccante nella sua attività dolosa, fornendogli sempre più risorse.
Il progetto SecureCloud
È evidente che sfide come quelle sopra discusse possano essere vinte solo se affrontate a livello globale. Per questo motivo la Commissione Europea, nell’ambito di Horizon 2020, il più grande programma di finanziamento della ricerca e dell’innovazione in Europa, sta mettendo a disposizione ingenti fondi sulle tematiche della sicurezza informatica e del cloud computing. Il progetto SecureCloud (Secure Big Data Processing in Untrusted Clouds), è co-finanziato dalla Commissione Europea (nell’ambito della call H2020-ICT-2015, Grant Agreement n. 690111), dal governo Brasiliano e da quello Svizzero. Il progetto è lo sforzo congiunto di sei partner europei (Technische Universität Dresden (Germany), Imperial College (United Kingdom), University of Neuchâtel (Switzerland), Chocolate Cloud ApS (Denmark), Synclab S.r.l. (Italy), CloudSigma AG (Switzerland)), di sette partner brasiliani (Instituto de Tecnologia para o Desenvolvimento, Federal University of Campina Grande, Federal Technical University of Paranà, Federal University of Itajuba, Copel Distribuição SA, CAS Tecnologia S/A, Intituto Nacional de Metrologia, Qualidade e Tecnologia) e di un partner israeliano (Israel Electric Corporation Ltd (Israel)).
SecureCloud fornisce soluzioni concrete ai principali problemi di sicurezza del cloud, con particolare riferimento al dominio applicativo delle Smart Grid e precisamente:
- Vulnerabilità delle tecnologie condivise – La funzionalità multi-tenancy delle tecnologie cloud è estremamente rischiosa in termini di sicurezza se l’hypervisor non è adeguatamente protetto. Un attacco che mira all’integrità e alla riservatezza dei dati delle CI può, infatti, essere ottenuto violando le macchine virtuali (VM) che risiedono sullo stesso hypervisor.
- Utenti malintenzionati – Amministratori malintenzionati del fornitore di servizi cloud (Cloud Provider) o qualsiasi altro utente dotato di accesso privilegiato alle risorse rappresentano una minaccia costante, a cui i tradizionali meccanismi di sicurezza difficilmente riescono a far fronte.
Tutta la tecnologia di SecureCloud
SecureCloud utilizza Software Guard eXtension (SGX), la nuova estensione di Intel disponibile nei più recenti processori Skylake, che consente di creare un Trusted Execution Environment (TEE) gestito direttamente dal processore. Essendo tutto realizzato all’interno del processore principale (e non in un coprocessore esterno), la soluzione proposta da Intel con SGX risulta essere molto più sicura e molto più veloce di soluzioni precedenti (quali ad esempio i Trusted Platform Module). L’ambiente di esecuzione fornito da SecureCloud è quindi non solo una piattaforma cloud sicura, ma anche molto performante. Ciò ha consentito di sviluppare un’applicazione cloud per il monitoraggio in tempo reale di una Smart Grid reale, per la generazione e la distribuzione elettrica, messa a disposizione del progetto dalla Israel Electric Corporation (IEC), la società pubblica di proprietà del governo israeliano. Un’applicazione di monitoraggio in tempo reale basata su cloud è un risultato strategico importante per il management di IEC, in quanto consente di eliminare gli oneri (e ridurre i costi) della gestione dei sistemi IT e di interconnettere facilmente le risorse distribuite geograficamente. L’obiettivo era molto ambizioso, perché una rete elettrica è un’infrastruttura estremamente complessa, composta da asset come le linee di trasmissione e le stazioni di distribuzione che la rendono safety-critical (critica per la sicurezza dei cittadini). Le funzioni di monitoraggio che sono state implementate coprono tutte le funzioni vitali del ciclo produttivo: la generazione, la trasmissione, la trasformazione, la distribuzione, la fornitura e la vendita dell’energia elettrica. Un monitoraggio accurato consente all’azienda di fornire elettricità affidabile e di alta qualità, in conformità con i principali standard di servizio e mantenendo e rispettando i vincoli economici, commerciali e ambientali. Il software che effettua il monitoraggio, sviluppato dal partner Sync Lab, si chiama PoGriMon (Power Grid Monitor). PoGriMon protegge la riservatezza e l’integrità dei dati raccolti dai sensori SCADA della rete elettrica utilizzando SGX per proteggere lo stato dell’applicazione dall’hypervisor e persino dal sistema operativo. Poiché tutti i dati sono crittati in ambienti di esecuzione protetti chiamati Secure Enclave e solo la CPU ha accesso alle chiavi di crittografia, anche utenti privilegiati (come ad esempio il cloud provider stesso) non possono accedere ai dati protetti. Per consentire a PoGriMon di sfruttare al meglio le funzionalità di sicurezza avanzate fornite dalla piattaforma SecureCloud, l’applicazione è strutturata in una serie di micro-servizi, che vengono eseguiti in container. I cointainer rappresentano una soluzione conveniente, che sta guadagnando sempre più terreno. Rispetto alle macchine virtuali (VM), i container occupano meno memoria, hanno un avvio più veloce e in generale utilizzano meno risorse. La piattaforma SecureCloud combina l’efficienza dei cointainers con la sicurezza delle enclave Intel SGX, in un meccanismo chiamato Secure Container. I cointainers protetti forniscono un ambiente di esecuzione fidato, dove i micro-servizi di PoGriMon possono essere eseguiti in sicurezza. PoGriMon sarà commercializzato da Sync Lab, a partire dal primo trimestre del 2020.
________________________________________________________________
- Attack to ICS: Havex https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A ↑
- Attack to ICS: Black Energy https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-281-01B ↑
- S. Bera, S. Misra and J. J. P. C. Rodrigues, “Cloud Computing Applications for Smart Grid: A Survey,” in IEEE Transactions on Parallel and Distributed Systems, vol. 26, no. 5, pp. 1477-1494, May 1 2015. doi:10.1109/TPDS.2014.2321378K. Elissa, “Title of paper if known,” unpublished; T. Baker, M. Mackay, A. Shaheed and B. Aldawsari, “Security-Oriented Cloud Platform for SOA-Based SCADA”; Cluster, Cloud and Grid Computing (CCGrid), 2015 15th IEEE/ACM International Symposium on, Shenzhen, 2015, pp. 961-970. doi: 10.1109/CCGrid.2015.37; Coppolino, L., D’Antonio, S., Formicola, V., Romano, L. Integration of a system for critical infrastructure protection with the OSSIM SIEM platform: A dam case study (2011) Lecture Notes in Computer Science, 6894 LNCS, pp. 199-212; M. J. Sule, M. Li, G. A. Taylor and S. Furber, “Deploying trusted cloud computing for data intensive power system applications” Power Engineering Conference (UPEC), 2015 50th International Universities, Stoke on Trent, 2015, pp. 1-5. doi: 10.1109/UPEC.2015.7339864. ↑
- Coppolino, L., D’Antonio, S., Romano, L. Exposing vulnerabilities in electric power grids: An experimental approach (2014) International Journal of Ittai Anati, Shay Gueron, Simon P Johnson, Vincent R Scarlata. “Innovative Tech nology for CPU Based Attestation and Sealing”. In Proceedings of the 2nd International Workshop on Hardware and Architectural Support for Security and Privacy, HASP, volume 13, 2013.Critical Infrastructure Protection, 7 (1), pp. 51-60 ↑
- Timothy Grance; Wayne Jansen; “Guidelines on Security and Privacy in PublicCloud Computing”; NIST. ↑
