La gestione della cyber security dei sistemi industriali nasce al momento della progettazione del sistema stesso, più precisamente nel momento in cui i protocolli di comunicazione vengono scelti e i livelli di criticità del sistema vengono individuati.
Allo stesso tempo, i classici strumenti che garantiscono la cyber security nei sistemi IT restano attori importanti ma costretti a rispettare regole decisamente più stringenti di quelle normalmente dettate dai sistemi IT (si veda l’impossibilità di sospendere le attività di supervisione e controllo del sistema OT). Vediamo perché in questa analisi dettagliata delle problematiche e delle peculiarità dei sistemi OT (Operational Tecnology) con particolare riferimento agli aspetti di cyber security e ad alcune possibili soluzioni.
Tecnologie OT e sistemi industriali
Con la sigla OT (in qualche modo in contrapposizione con la sigla IT) si identifica quell’insieme di tecnologie, software e hardware, direttamente connesse con la produzione, il trasporto e la trasformazione di beni. Dunque, oltre agli elementi fisici che costituiscono il sistema di produzione, fanno parte di questo insieme di tecnologie anche strumenti intangibili come protocolli di rete e di comunicazione necessari a garantire la sicurezza del flusso di informazioni che regola e controlla l’impianto. Esiste dunque una forte relazione tra tali tecnologie e tutto ciò che riguarda i sistemi di monitoraggio e controllo dei sistemi produttivi.
I sistemi industriali che prendiamo in esame vengono spesso anche indicati con la sigla ICS (Industrial Control System) ed includono sistemi noti come SCADA (Supervisor Control and Data Acquisition) introdotti a partire dagli anni ’60 per il monitoraggio delle linee di produzione nelle aziende manifatturiere ed oggi spesso associati a grandi infrastrutture. Anche i DCS (Distributed Control System) sono largamente impiegati nell’industria di processo, ed in particolar modo in quella petrolchimica, per la gestione di impianti, raffinerei e condutture. Questi ultimi si differenziano dai sistemi SCADA per numerose caratteristiche: tecniche di controllo, aree di applicazione, dimensioni del sistema, interazione con l’operatore, etc…
Nei sistemi di controllo precedentemente menzionati, il compito di supervisionare i processi è affidato a dispositivi come i PLC (Programmable Logic Controller) e i Microcontrollori il cui compito è quello di gestire le attività di acquisizione delle misure dai diversi impianti, elaborare una strategia di controllo del processo e di attuarla (ovvero modificarne il comportamento in modo voluto). Sebbene PLC e Microcontrollori trovino sempre più spazio anche nella vita quotidiana di ciascuno di noi, essendo gli elementi costitutivi dei sistemi Domotici e di Building Automation, la loro conoscenza non è così diffusa come gli altri elementi costituenti i sistemi IT, inoltre le loro caratteristiche hanno profonde differenze rispetto ai dispositivi che normalmente sono associati al mondo IT.
Le caratteristiche dei sistemi OT
Queste differenze sono legate al fatto che, a differenza dei sistemi IT che nascono per interfacciarsi con un operatore umano, i sistemi OT devono essere in grado di interfacciarsi con sistemi e processi “fisici” quali una reazione chimica, il flusso di un liquido, un processo di riscaldamento/raffreddamento, il moto di un oggetto ecc. Ne consegue che i tempi e le modalità di interazione tra processo e sistema di controllo non possono essere “dettati” dal sistema OT, come avviene invece nei sistemi IT in cui è l’operatore umano che (essendo l’elemento maggiormente smart) comprende ed impara come utilizzare lo strumento informatico e le sue interfacce, ma questi deve adattarsi ed operare con tempi e modalità che sono indotti dal processo sotteso. Nello specifico questo implica che, anche per garantire i livelli di qualità di processo, i sistemi OT si caratterizzano per un elevato livello di determinismo sia per quel che riguarda i dati di ingresso che per i tempi di esecuzione dei singoli task. In altri termini i sistemi OT devono essere tali in presenza di una determinata sequenza di ingressi, l’uscita sia sempre la stessa e sempre dopo un determinato intervallo di tempo (requisito di hard-real time), aspetto questo che non è previsto né richiesto nei normali sistemi IT.
La difficoltosa protezione dei sistemi OT dalle minacce cyber
Una diretta implicazione è l’estrema complessità connessa all’introduzione di strumenti classici di cyber security, come anti-virus e firewall, in sistemi industriali poiché il funzionamento di questi strumenti mal si coniuga con le caratteristiche di SCADA ed ICS poiché inibisce, per un periodo di tempo non determinabile, il normale funzionamento del sistema e quindi viola il requisito fondamentale sulla durata del singolo task (cosa che potrebbe avere ripercussioni anche drammatiche su un processo produttivo, si pensi ad esempio ad un sistema OT che controlla una reazione chimica esotermica). Nella maggior parte dei sistemi industriali, la precisione con cui vengono eseguite le operazioni necessarie al corretto funzionamento dell’impianto è un requisito fondamentale. Per questo motivo i sistemi operativi dedicati a sistemi OT si differenziano dai classici sistemi operativi specialmente nella gestione della priorità dei task. L’inclusione di classiche tecniche di identificazione delle minacce cyber va ad inserire routine di controllo che modificano il regolare svolgimento delle attività generando ritardi che per quanto possano essere quantitativamente trascurabili rendono il sistema di controllo meno pronto e lontano dalla precisione per cui era stato progettato.
L’altro aspetto fondamentale da considerare nell’analizzare i sistemi OT è che esso deve operare ininterrottamente finché è attivo il processo fisico sotteso (ovvero finché non è sostituito con un altro sistema di monitoraggio e controllo). Il periodo di attività di questi sistemi può andare dalle poche ore fino anche a diverse decine di anni, come ad esempio nel caso di un altoforno. Questo elemento fa emergere due conseguenze significative. In primo luogo, il tempo di vita di questi sistemi è decisamente superiore al tempo di vita medio di un sistema IT, il che implica l’utilizzo in genere di hardware software “legacy”, che spesso si traduce in un sistema necessariamente “out-of-date” e quindi con possibili difficoltà nel reperire aggiornamenti e potenziali incompatibilità con strumenti di ultima generazione. La motivazione ricade nell’impossibilità di sospendere il monitoraggio ed il controllo di questo tipo di sistemi, anche per orizzonti temporali limitati, con lo scopo di effettuare aggiornamenti. Di conseguenza, l’altro aspetto è l’estrema difficoltà, ed in alcuni casi l’impossibilità, di sospendere l’operatività del sistema OT per procedere all’istallazione di aggiornamenti del software. Il tutto si traduce, come illustrato da una ricerca della Red Tiger Security, in tempo di latenza per l’istallazione di patch di sicurezza di circa un anno (con punte che arrivano anche a 3 anni).
Questo ritardo, che può sembrare anomalo, deriva non tanto da un disinteresse da parte degli operatori che si occupano di rilevare bugs relativi alla cyber security, il cui livello di consapevolezza è cresciuto molto negli ultimi anni, ma dalla necessità di evitare che gli interventi di installazione di patch possano creare problemi al processo produttivo sotteso. Occorre considerare, infatti, che questi sistemi nascono in primo luogo per garantire adeguati livelli di safety e, di conseguenza, qualunque intervento (incluso gli aggiornamenti software) deve essere realizzato ed attuato solo in condizioni di sicurezza del processo che non sempre può essere garantito in assenza, anche solo per poche frazioni di secondo, del sistema OT di monitoraggio e controllo.
Come deve essere impostata, pertanto la cyber security di un sistema OT ? Sicuramente la strategia del security by obscurity basata sull’utilizzo di protocolli e sistemi proprietari (detti anche legacy) che ha perdurato per oltre venti anni non sembra più ragionevole soprattutto in considerazione dell’ampio utilizzo di soluzioni off-the-shelf.
La strategia di difesa “a cipolla”
La strada migliore è quella di adottare una strategia di defence in depth (ovvero con un approccio a “cipolla”) in grado di riconoscere la presenza di una gerarchia di rilevanza delle minacce nei vari sistemi OT andando a introdurre barriere e filtri che rendano estremante difficoltoso per un attaccante (ma anche per prevenire la diffusione di virus e malware) l’accesso ai livelli critici, ovvero quei livelli del sistema che supervisionano e gestiscono le funzioni che garantiscono direttamente la safety del processo.
Questa strategia, come illustrato anche nel manuale pubblicato dal Industrial Control Systems Cyber Emergency Response Team degli USA, riprendendo lo standard ANIS/ISA 99, invita a segmentare la rete OT in zone, ovvero raggruppando le risorse logiche o fisiche che condividono requisiti di sicurezza comuni in base a fattori quali criticità e conseguenze. Tutte le unità operanti all’interno di una zona sono ritenute trust, mentre lo scambio di informazioni e dati con entità afferenti a zone diverse è attentamente monitorato. È fondamentale, pertanto, che le zone dialoghino attraverso un numero esiguo e ben monitorato di snodi (detti conduit, ovvero condotti). In corrispondenza di un conduit è opportuno inserire sistemi in grado di verificare la correttezza del flusso, come sarà meglio illustrato nel successivo articolo, utilizzando un firewall o sistemi analoghi.
In presenza di una architettura a “cipolla”, in cui i livelli più sensibili sono quelli interni, si predilige un approccio di propagazione dei comandi e delle informazioni relative al funzionamento del sistema paragonabile ad un flusso che possa essere orientato dai livelli interni verso quelli più esterni, ovvero dagli strati caratterizzati da un più elevato livello di sicurezza verso quelli ritenuti meno sensibili. In questa ottica sono interessanti soluzioni basate su device che consentono il flusso informativo solo in modo unidirezionale. Questi sistemi, indicati in genere come data diode, sono in grado di consentire, in analogia ad un diodo, il flusso dei dati in una sola direzione. Purtroppo, quasi mai è possibile limitare il flusso informativo in una sola direzione in quanto occorre sia ricevere informazioni dal campo sia definire set-point, strategie e attività di manutenzione. Questo impone la presenza di sistemi di by-pass del data diode con conseguente limitazione dell’efficienza di quest’ultimi rendendone l’adozione poco utile in tutti quei casi in cui le attività di controllo sono in volume paragonabili al flusso di monitoraggio.
*Il lettore interessato ad approfondire aspetti tecnici può consultare il materiale presente sul sito web del laboratorio Sistemi complessi e Sicurezza dell’università Campus Bio-Medico di Roma.
