Automazione industriale

La cyber security nei sistemi di controllo Scada: che c’è da sapere

Gli impianti industriali sono spesso fragili, anche perché le reti sono molto veloci con elevati livelli di traffico: la sfida della cyber security dei sistemi Scada, e l’analisi delle due macro-tipologie per la detection di anomalie su reti industriali

Pubblicato il 05 Giu 2018

Lorenzo Ivaldi

DITEN, Università di Genova

Rodolfo Zunino

DITEN, Università di Genova

security_452998012

Le reti di molte infrastrutture critiche del Paese dipendono in modo strategico da sistemi SCADA: generazione e trasporto dell’energia, gasdotti ed oleodotti, sistemi di comunicazione e acquedotti sono ormai in larga parte gestiti attraverso tecnologie di automazione industriale, fino a parlare di sistemi Cyber-Fisici. L’acronimo SCADA (dall’inglese “Supervisory Control And Data Acquisition”: controllo di supervisione e acquisizione di dati“) indica un sistema informatico per il monitoraggio e il controllo elettronico di sistemi industriali.

Quali sono i sistemi Scada

I sistemi SCADA sono composti da:

    • sensori, che effettuano misurazioni di grandezze fisiche di interesse sul sistema in oggetto;
    • attuatori, che agiscono direttamente della catena di produzione sul pezzo in lavorazione spostandolo o modificandolo (un nastro trasportatore per es. è mosso da motori elettrici)
    • microcontrollori, che possono essere PLC (Programmable Logic Controller) o microcomputer che, continuativamente o a intervalli di tempo, effettuano misurazioni tramite i sensori e memorizzano i valori misurati in una memoria locale;
    • un computer supervisore (es. server), che periodicamente raccoglie i dati dai microcontrollori, li elabora per estrarne informazioni utili, memorizza su disco i dati o le informazioni riassuntive, eventualmente fa scattare un allarme, permette di selezionare/visualizzare i dati possibilmente in formato grafico e, in alcune applicazioni, invia selezionate informazioni al sistema informativo aziendale;
    • un sistema di telecomunicazione tra i microcontrollori e il supervisore. Può essere una rete di computer, oppure un insieme di linee seriali; può essere basato su cavo o su radio.
    • un linguaggio, o insieme di protocolli, che permetta la comunicazione tra i vari componenti del sistema e il monitoraggio degli stessi dal “campo” fino alla piattaforma di controllo centrale: il più diffuso è l’Industrial Ethernet (IEC 61158/61784 o Profinet) standard aperto per l’automazione industriale.

La fragilità di Scada

Gli SCADA nascono a metà del secolo scorso come strumenti locali di gestione degli impianti industriali, in quanto all’epoca era futuristico (e costoso) pensare a una interconnessione su Internet. Dato che la compromissione di un apparato si poteva espletare solo avendone accesso fisico con superamento di sistemi di anti-intrusione, i sistemi SCADA spesso non tengono conto delle problematiche di sicurezza connesse possibile gestione da remoto.

Il recente affermarsi del modello Industry 4.0 ha reso invece fondamentale interconnettere gli impianti per ottimizzare interoperabilità, tempi ed efficienza dei processi produttivi. Questo aumenta considerevolmente l’esposizione dei sistemi verso il mondo esterno: in termini tecnici, si estende la ‘superficie di attacco’, perché alla dimensione fisica degli attacchi si è sovrapposta una dimensione “cyber” il cui ruolo sta diventando quasi prevalente.

Dal punto di vista della cyber security, gli impianti industriali sono fragili per molteplici ragioni: una stratificazione storica (mantenimento della retro-compatibilità e dei processi aziendali) rende impraticabile una radicale riprogettazione dell’architettura produttiva. I protocolli standard di comunicazione fra apparati non prevedono alcun meccanismo di protezione delle informazioni. E’ infine strategico proteggere le interconnessioni di frontiera verso il mondo esterno, onde evitare compromissioni con conseguenti fermo-impianti e/o malfunzionamenti.

Allo stato attuale, il più semplice dispositivo di cyber security comporterebbe di mantenere le reti informatiche logicamente separate da quelle industriali. Questo spesso non avviene per problemi di configurazione e gestione aziendale e va a scapito della sicurezza. In pratica ai problemi di una normale rete informatica si sommano quelli prettamente industriali, aggravati dal fatto che la sicurezza delle reti industriali è più difficile di quella delle normali reti IT: i PLC e gli switch industriali non hanno a bordo sistemi di rilevazione come altre tipologie di apparati commerciali.

Una moderna soluzione tecnologica impone quindi un efficace controllo del traffico all’interno di ogni rete e tra le reti stesse. Un aspetto critico è sicuramente la capacità di rilevare in modo puntuale e tempestivo eventuali anomalie, con la possibilità di discriminare semplici errori di configurazione o guasti rispetto ad attacchi propriamente detti.

La rilevazione delle intrusioni di una rete industriale si compone

1) del monitoraggio in tempo reale della rete

2) dell’analisi dell’attività della rete stessa alla ricerca di potenziali vulnerabilità e/o attacchi presenti.

Il sistema di monitoraggio ha il compito di riportare al supervisore umano le situazioni di interesse. Le varie tecnologie differiscono nel riconoscere i soli eventi rilevanti e/o nel corredarli di una analisi automatica che faciliti il processo decisionale del supervisore. Naturalmente i sistemi di rilevazione di intrusioni per reti industriali possono solo essere passivi o meglio ‘propositivi’ verso l’operatore, in quanto non è ammissibile che una rete di produzione in esercizio venga bloccata per un falso negativo rilevato automaticamente.

Il monitoraggio Scada, cosa fare

Il problema più rilevante è che le reti industriali sono comunque molto veloci con elevati livelli di traffico e quindi è necessario un sistema di prefiltraggio automatico per ridurre il numero di eventi che l’operatore deve esaminare (in questo caso si parla di information flooding da falsi negativi).

Esistono due macro-tipologie di sistemi per la detection di anomalie su reti industriali:

  1. approcci per Knowledge-based intrusion detection (misuse based systems)
  2. approcci per Behaviour-based intrusion detection.

I sistemi Knowledge-based (Snort per esempio) si fondano su un database di attacchi noti: un particolare schema di attacco è riconosciuto attraverso la sua “firma” (Signature), costituita da un insieme di parametri descrittivi univoci. In esercizio, si estraggono dal traffico l’insieme dei parametri che descrivono lo stato della rete e li si confronta nel database degli attacchi, per verificare coincidenze con comportamenti malevoli noti. La manutenzione di questi sistemi (che in questo li assimila ai convenzionali anti-virus) procede mediante inserimenti di nuove tipologie di attacco da parte dell’operatore o del provider; la loro caratteristica è di essere uguali su qualsiasi rete industriale.

Gli approcci Behaviour-based prevedono invece una fase di apprendimento iniziale, in cui il sistema osserva semplicemente il traffico, ne estrae i parametri descrittivi come sopra e definisce uno stato di “normalità”. In esercizio, il sistema confronta continuamente lo stato corrente della rete con lo stato normale e rileva di conseguenza eventuali anomalie. Il grande vantaggio di questo approccio consiste nella potenzialità di riconoscere attacchi di nuovo tipo (i cosiddetti zero-day) che invece verrebbero scartati da una analisi signature-based. Al contempo, l’addestramento iniziale è un momento critico e deve essere soggetto a riaggiornamenti (re-training) per tener conto di mutate condizioni operative; per loro natura questi approcci sono più esposti a falsi positivi (segnalazioni di anomalie non dovute ad attacchi ma a effettivi schemi di traffico benigni ma inusuali). La caratteristica di questi approcci è di adattarsi all’ambiente osservato, per cui due sistemi anomaly-based in esercizio saranno necessariamente diversi fra loro.

Tecniche di rilevazione anomalia

Da un punto di vista scientifico, le tipologie di rilevazione anomalie comportano l’uso di tecniche spesso sofisticate, in cui si applicano metodi di classificazione automatica per riconoscimento di schemi noti, e/o di algoritmi di clustering per la estrazione di normalità e conseguente segnalazione di anomalie. I requisiti di queste tecnologie, nello scenario dei metodi di apprendimento automatico, comprendono la capacità elaborare in tempo reale grandi moli di dati (da cui il legame al mondo dei moderni big data) e l’efficacia nel riconoscere schemi specifici a bassa ricorrenza per trovare il proverbiale ago nel pagliaio (da cui il legame al mondo della consolidata Intelligenza Artificiale).

In tutti i casi l’incidenza di queste tecnologie innovative, spesso legate al mondo della ricerca e del trasferimento tecnologico, differenziano i vari prodotti disponibili, la loro efficacia operativa e certamente ne condizioneranno l’evoluzione futura in uno scenario di veloce mutazione.

New call-to-action

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati