Ad oggi gli attacchi informatici stanno diventando sempre più sofisticati. Le ragioni dietro a queste attività malevole sono per lo più legate alla criminalità, ma gli avvenimenti di geopolitica stanno sottolineando come la cybersecurity stia diventando una questione di difesa nazionale.
Nell’anteprima del Report Clusit 2023 si sottolinea come “Gli attacchi cyber hanno registrato nel 2022 a livello globale e nazionale il valore più elevato di sempre e la maggior percentuale di crescita annua.” Nello specifico in Italia gli attacchi al Manufacturing sono aumentati del 79% tra il 2018 ed il 2021.
La direttiva NIS2
L’Unione Europea ha deciso di muoversi per contrastare a livello di unione queste crescite esponenziali pubblicando la Direttiva NIS 2 2022/2555, che sostituirà la direttiva NIS 2016/1148, in Italia recepita con il D.lgs. n.65 del 18/05/2018. La NIS 2 dovrà essere recepita dagli stati membri entro il 17 ottobre 2024.
Il focus della direttiva sono le infrastrutture critiche dei Paesi membri. La NIS 2 aggiorna la precedente allargando il perimetro di sicurezza nazionale andando ad identificare i settori essenziali (Energia, Trasporto, Banche, Infrastruttura del mercato finanziario, Sanità e servizi sanitari, Acqua potabile, Acque reflue, Infrastruttura di Telecomunicazione, Pubblica amministrazione e Spazio) ed i settori importanti (Servizi postali e di corriere, Gestione dei rifiuti, Produzione distribuzione e gestione di sostanze chimiche, Produzione distribuzione e gestione del cibo, Manifatturiero e Digital provider). Inoltre, richiede che nella protezione a livello informatico vengano coinvolti anche tutte le organizzazioni che fanno parte della supply chain delle infrastrutture critiche dei settori individuati.
Questo implica che tutto il mercato nazionale coinvolto dovrà adeguarsi ai livelli di sicurezza richiesti dalla NIS2. Per farlo le organizzazioni possono rifarsi a standard internazionali, in particolare sono due i documenti maggiormente riconosciuti: il NIST 800.82 e lo standard ISO/IEC 62443.
I punti chiave della Direttiva NIS 2
Prima di analizzare come le aziende possono muoversi per assicurarsi un buon livello di compliance con la direttiva, è importante analizzare cosa effettivamente viene richiesto nel documento e che livello di sicurezza le aziende ritenute essenziali o importanti dovranno rispettare.
Nell’articolo 21 del documento vengono illustrate le misure che gli Stati membri dovranno richiedere ai soggetti coinvolti. Queste misure hanno un approccio basato sul rischio e prevedono soluzioni di cybersecurity che vanno da un processo di gestione degli incidenti, a Risk Management e piani mirati di awareness in ambito cybersecurity.
Nell’articolo 24 viene segnalato come gli Stati possono decidere di imporre ai soggetti essenziali e importanti di dotarsi di soluzioni ICT certificate nell’ambito dei sistemi europei di certificazione.
È inoltre importante segnalare come nell’articolo 32 venga sottolineato che gli Stati membri, servendosi di organi di vigilanza esperti dell’ambito, abbiano il potere di sottoporre i soggetti ad audit periodici, ad hoc in seguito di incidenti o casuali di sicurezza. Ultimo aspetto da segnalare è spiegato nello stesso articolo 32, al paragrafo 7 a) che i soggetti dovranno essere protetti da “condotta intenzionale o negligenza da parte dell’autore della violenza”.
Negli articoli riportati precedentemente sono presenti informazioni chiave per adeguarsi tempestivamente alle richieste che l’Unione Europea propone agli Stati membri.
L’Operation Technology (OT) e gli standard di riferimento
Per comprendere appieno come adeguarsi alla NIS 2 bisogna prima fare un distinguo tra l’IT (Information Technology), molto più familiare anche in contesti di cybersecurity, e l’OT (Operation Technology), per semplificare ruoli e concetti si può dire che i dispositivi OT controllano il mondo fisico, mentre i sistemi IT gestiscono dati e applicazioni.
Si può pensare che soluzioni di mitigazione del rischio per il mondo IT siano le stesse per il mondo OT, questo non è sempre vero o, meglio, le soluzioni per l’IT devono essere adattate all’OT. La prima grande differenza risiede nella priorità che i due ambiti danno alla triade RID: Riservatezza (Confidentiality), Integrità (Integrity) e Disponibilità (Availability).
Nell’OT la continuità nella produzione è essenziale quindi la Disponibilità diventa priorità assoluta insieme alla safety e alla tutela dell’ambiente. Nell’IT la confidenzialità delle informazioni è la base della cybersecurity, la disponibilità è importante ma, per fare un esempio pratico, se da un lato l’aggiornamento di una macchina da ufficio che comporta un riavvio non è un problema, dall’altro il riavvio di una macchina in produzione a seguito di un aggiornamento, non solo potrebbe portare allo stop della produzione stessa, ma potrebbe anche causare problemi di compatibilità con sistemi legacy.
Per quanto riguarda l’integrità, questa ha un’importanza eguale sia nell’IT che nell’OT, nella seconda è importante soprattutto quando dai dati ottenuti si fanno misurazioni ed accorgimenti per migliorare il processo. Infine, la riservatezza ha un’importanza limitata, in quanto i dati sono prevalentemente misurazioni che non devono essere segrete ma affidabili.
La produzione, insieme alla safety, in questi contesti ha la priorità, ancora di più se si sta parlando di soggetti indispensabili o importanti riportati precedentemente, in quanto da loro dipende la sopravvivenza di uno Stato.
Inoltre, i due ambienti, IT ed OT, sono sempre stati separati e si sono sviluppati in modi differenti, con linguaggi diversi. Poiché questi due domini tradizionalmente separati ad oggi iniziano a convergere per consentire operazioni più snelle, analisi dei dati migliorata, e il miglioramento del processo decisionale in ambienti industriali, diverse considerazioni di sicurezza entrano in gioco.
Per fare questo si possono utilizzare Standard e best practice riconosciuti a livello internazionale. L’approccio alla cybersecurity basato sul rischio che la Direttiva richiede è stato utilizzato per sviluppare diversi standard come la norma ISO 27001, il Framework americano del NIST e lo standard ISA/IEC 62443. Questi strumenti possono essere utilizzati dalle aziende in generale per avere una linea guida da seguire nel percorso di miglioramento della postura cyber, ancora di più dalle aziende che saranno indentificate come essenziali o importanti.
Il NIST 800.82
Il NIST Cybersecurity Framework è una guida che fornisce una serie di best practice e metodologie volte a gestire e migliorare la sicurezza informatica di tutte le infrastrutture e organizzazioni del settore privato. All’interno del Framework sono presenti due pubblicazioni, sulle quali ci soffermeremo in questo paragrafo: il NIST Special Publication 800-53 Rev. 5 e il NIST Special Publication 800-82 che pur trattando entrambi la stessa materia, hanno scopi e ambiti diversi.
NIST Special Pubblication 800-53 Rev. 5
Noto come “Security and Privacy Controls for Information Systems and Organizations” (Controlli di sicurezza e privacy per sistemi informativi e organizzazioni), la SP 800-53 è una guida diretta a organizzazioni governative e non, sulla corretta applicazione e gestione dei meccanismi e dei controlli di sicurezza e privacy nei sistemi informatici. Il fine di queste linee guida è quello di proteggere le attività e gli asset dell’organizzazione, gli individui, organizzazioni terze e la nazione stessa da una vasta gamma di minacce e rischi, tra cui attacchi ostili, errori umani, catastrofi naturali, guasti strutturali, attività di intelligence straniere e rischi per la privacy [1].
NIST Special Publication 800-82 Rev. 2
La NIST SP 800-82 Rev. 2 è invece intitolata “Guide to Industrial Control Systems (ICS) Security” (Guida alla sicurezza dei sistemi di controllo industriale) e si focalizza prettamente sulla protezione dei sistemi di controllo industriale, espandendo i concetti già menzionati nel NIST 800-53, adattandoli al settore delle industrie.
Vista la centrale importanza dei processi industriali è necessario che anche per questi ultimi venga garantita la giusta protezione da eventuali minacce. Le linee guida definiscono uno standard per la gestione e la protezione dei Sistemi di Controllo Industriale (ICS), compresi i sistemi Supervisory Control and Data Acquisition (SCADA), i sistemi Distributed Control Systems (DCS) e altre configurazioni di sistemi di controllo come i Programmable Logic Controllers (PLC) [2].
Il documento fornisce un quadro dei Sistemi di Controllo Industriale (ICS) e delle loro tipiche configurazioni, individua le minacce e le vulnerabilità caratteristiche di tali sistemi e propone azioni e contromisure per ridurre i rischi correlati.
Una terza revisione della NIST SP 800-82, “Guida alla sicurezza della tecnologia operativa (OT)”, si trova attualmente in forma di bozza, quest’ultima offre un quadro generale sulla Tecnologia Operativa (OT) e i suoi più comuni sistemi, identificando le potenziali minacce e vulnerabilità tipiche dell’OT, delineando quindi una guida per gestire i rischi e implementare delle contromisure adeguate.
Gli aggiornamenti di questa revisione includono anche:
- Espansione del campo di applicazione da Sistemi di Controllo Industriale (ICS) a Tecnologia Operativa (OT)
- Aggiornamenti sulle minacce e vulnerabilità in OT
- Aggiornamenti sulla gestione del rischio in OT, pratiche e architetture raccomandate
- Aggiornamenti sulle attività attuali in materia di sicurezza OT
- Aggiornamenti sulle security capabilities e gli strumenti per OT
- Maggiore allineamento con altre norme e linee guida di sicurezza OT, inclusi il Cybersecurity Framework (CSF)
- Nuove linee guida per la personalizzazione dei controlli di sicurezza di NIST SP 800-53 Rev. 5
- Un livello di sicurezza OT aggiuntivo per i controlli di sicurezza di NIST SP 800-53 Rev. 5 che fornisce linee guida di sicurezza personalizzate per sistemi OT a basso impatto, impatto moderato e impatto elevato. [3]
ISA/IEC 62443
La famiglia di standard ISA/IEC 62443 nasce proprio con l’obiettivo di creare delle linee guida ad hoc per portare le best practice della cybersecurity nell’OT.
IEC 62443 è una serie di standard internazionale sviluppata dalla Commissione Elettrotecnica Internazionale (IEC) che si concentra sulla sicurezza dei sistemi di automazione e controllo industriali (IACS). Il suo scopo è fornire un quadro completo per stabilire e mantenere la sicurezza informatica di questi sistemi utilizzati in vari settori, come la produzione, l’energia, i trasporti e altro ancora.
La serie di standard IEC 62443 comprende diverse parti, ognuna delle quali affronta diversi aspetti della sicurezza IACS:
- IEC 62443-1 “Terminologia, concetti e modelli” fornisce una comprensione fondamentale dei termini e dei concetti chiave relativi alla sicurezza del sistema di automazione e controllo industriale (IACS). Sottolinea l’importanza di un approccio al ciclo di vita della sicurezza, dalla progettazione alla disattivazione.
- IEC 62443-2 “Stabilire un programma di automazione industriale e di sicurezza del sistema di controllo” riguarda la definizione di politiche, procedure e processi di sicurezza per identificare e gestire efficacemente i rischi di sicurezza. Mira a creare un approccio strutturato e standardizzato per garantire la sicurezza informatica dell’IACS e proteggere i processi e le infrastrutture industriali critiche dalle minacce informatiche.
- IEC 62443-3 “Requisiti di sicurezza del sistema e livelli di sicurezza” copre aspetti come l’architettura del sistema, il controllo degli accessi, l’integrità dei dati, i meccanismi di autenticazione e la comunicazione sicura. Seguendo la IEC 62443-3, le organizzazioni possono costruire sistemi IACS resilienti meglio protetti contro le minacce informatiche, garantendo la sicurezza, l’integrità e l’affidabilità dei processi e delle infrastrutture industriali critiche.
- IEC 62443-4 “Ciclo di vita sicuro dello sviluppo del prodotto” fornisce linee guida per lo sviluppo sicuro di software e firmware utilizzati nei componenti dei sistemi di automazione e controllo industriali (IACS). Aderendo a IEC 62443-4, i produttori possono ridurre le vulnerabilità di sicurezza nei loro prodotti, migliorando la sicurezza complessiva dei sistemi IACS che utilizzano questi componenti e proteggendo i processi industriali critici e le infrastrutture dalle minacce informatiche.
Essere compliant con la famiglia di standard IEC 62443 vuol dire creare un Cyber Security Management System certificabile. Le linee guida riportate in questi standard sono riconosciute a livello internazionale e permettono un forte miglioramento della postura cyber aziendale.
Inoltre, come è stato sottolineato precedentemente, la direttiva richiede un livello di sicurezza che permetta di proteggersi anche da attacchi interni o esterni intenzionali (Art. 32). Anche in questo caso possiamo trovare risposte più chiare su come effettivamente soddisfare questo requisito negli standard IEC 62443.
La serie IEC 62443 introduce livelli di sicurezza (da SL1 a SL4) per classificare il livello di sicurezza richiesto per componenti o aree all’interno di un sistema di automazione e controllo industriale:
- SL1 (livello di bassa sicurezza): i componenti SL1 possono avere misure di sicurezza di base, fornendo un livello minimo di protezione. Sono più vulnerabili a varie minacce informatiche comuni.
- SL2 (livello di sicurezza moderato): i componenti SL2 hanno misure di sicurezza più avanzate. Offrono una maggiore protezione contro le minacce comuni ed attacchi intenzionali. Gli attaccanti devono possedere competenze moderate per superare le barriere di sicurezza. Questo potrebbe includere una più profonda comprensione delle varie tecniche di attacco e una certa competenza nello sfruttamento delle vulnerabilità.
- SL3 (alto livello di sicurezza): i componenti SL3 dispongono di robuste misure di sicurezza e sono fondamentali per il funzionamento del IACS. Forniscono una resistenza significativa contro vari attacchi, tra cui alcuni tentativi sofisticati.
- SL4 (livello di sicurezza molto elevato): i componenti SL4 hanno le misure di sicurezza più rigorose e sono della massima importanza per il IACS. Sono molto resistenti agli attacchi comuni e sofisticati, richiedendo attaccanti altamente qualificati e pieni di risorse per violare le loro difese.
Utilizzando i livelli di sicurezza, le organizzazioni possono adattare le loro strategie di sicurezza informatica alla criticità specifica di diversi componenti, salvaguardando le infrastrutture critiche e i processi da potenziali attacchi informatici. Inoltre, utilizzando gli standard in questione si hanno indicazioni mirate su quali requisiti soddisfare per essere compliant con la NIS 2, che richiede un SL 2 visto l’Art 32 e la definizione appena vista.
Conclusioni
Gli incidenti informatici negli ambienti OT stanno aumentando principalmente a causa del sempre maggior bisogno di connettere questo mondo a quello IT con lo scopo di efficientare i processi. In questo contesto, nel mondo OT si vengono a formare minacce specifiche, vedasi la matrice ad-hoc della MITRE sui ICS.
Come abbiamo visto in questo articolo la direttiva NIS2 impatterà anche l’OT, obbligando così i responsabili della sicurezza ad aggiornarsi con nuovi standard dovendosi basare principalmente su risorse oltreoceano: va constatato purtroppo come questo argomento sia ancora toccato in maniera molto generalista (facendo esclusivo riferimento alle “infrastrutture critiche”) nel nostro paese. Prodotti certificati, costruiti seguendo la security-by-design che andranno a sostituire le apparecchiature legacy dell’OT gioverebbero sicuramente all’ambiente industriale; la sfida tra “sicurezza” ed “economia” va avanti da anni nel cyberspazio e resta da vedere chi l’avrà vinta.
