Le reti di molte infrastrutture critiche del Paese dipendono in modo strategico da sistemi SCADA: generazione e trasporto dell’energia, gasdotti ed oleodotti, sistemi di comunicazione e acquedotti sono ormai in larga parte gestiti attraverso tecnologie di automazione industriale, fino a parlare di sistemi Cyber-Fisici. L’acronimo SCADA (dall’inglese “Supervisory Control And Data Acquisition”: controllo di supervisione e acquisizione di dati“) indica un sistema informatico per il monitoraggio e il controllo elettronico di sistemi industriali.
Quali sono i sistemi Scada
I sistemi SCADA sono composti da:
- sensori, che effettuano misurazioni di grandezze fisiche di interesse sul sistema in oggetto;
- attuatori, che agiscono direttamente della catena di produzione sul pezzo in lavorazione spostandolo o modificandolo (un nastro trasportatore per es. è mosso da motori elettrici)
- microcontrollori, che possono essere PLC (Programmable Logic Controller) o microcomputer che, continuativamente o a intervalli di tempo, effettuano misurazioni tramite i sensori e memorizzano i valori misurati in una memoria locale;
- un computer supervisore (es. server), che periodicamente raccoglie i dati dai microcontrollori, li elabora per estrarne informazioni utili, memorizza su disco i dati o le informazioni riassuntive, eventualmente fa scattare un allarme, permette di selezionare/visualizzare i dati possibilmente in formato grafico e, in alcune applicazioni, invia selezionate informazioni al sistema informativo aziendale;
- un sistema di telecomunicazione tra i microcontrollori e il supervisore. Può essere una rete di computer, oppure un insieme di linee seriali; può essere basato su cavo o su radio.
- un linguaggio, o insieme di protocolli, che permetta la comunicazione tra i vari componenti del sistema e il monitoraggio degli stessi dal “campo” fino alla piattaforma di controllo centrale: il più diffuso è l’Industrial Ethernet (IEC 61158/61784 o Profinet) standard aperto per l’automazione industriale.
La fragilità di Scada
Gli SCADA nascono a metà del secolo scorso come strumenti locali di gestione degli impianti industriali, in quanto all’epoca era futuristico (e costoso) pensare a una interconnessione su Internet. Dato che la compromissione di un apparato si poteva espletare solo avendone accesso fisico con superamento di sistemi di anti-intrusione, i sistemi SCADA spesso non tengono conto delle problematiche di sicurezza connesse possibile gestione da remoto.
Il recente affermarsi del modello Industry 4.0 ha reso invece fondamentale interconnettere gli impianti per ottimizzare interoperabilità, tempi ed efficienza dei processi produttivi. Questo aumenta considerevolmente l’esposizione dei sistemi verso il mondo esterno: in termini tecnici, si estende la ‘superficie di attacco’, perché alla dimensione fisica degli attacchi si è sovrapposta una dimensione “cyber” il cui ruolo sta diventando quasi prevalente.
Dal punto di vista della cyber security, gli impianti industriali sono fragili per molteplici ragioni: una stratificazione storica (mantenimento della retro-compatibilità e dei processi aziendali) rende impraticabile una radicale riprogettazione dell’architettura produttiva. I protocolli standard di comunicazione fra apparati non prevedono alcun meccanismo di protezione delle informazioni. E’ infine strategico proteggere le interconnessioni di frontiera verso il mondo esterno, onde evitare compromissioni con conseguenti fermo-impianti e/o malfunzionamenti.
Allo stato attuale, il più semplice dispositivo di cyber security comporterebbe di mantenere le reti informatiche logicamente separate da quelle industriali. Questo spesso non avviene per problemi di configurazione e gestione aziendale e va a scapito della sicurezza. In pratica ai problemi di una normale rete informatica si sommano quelli prettamente industriali, aggravati dal fatto che la sicurezza delle reti industriali è più difficile di quella delle normali reti IT: i PLC e gli switch industriali non hanno a bordo sistemi di rilevazione come altre tipologie di apparati commerciali.
Una moderna soluzione tecnologica impone quindi un efficace controllo del traffico all’interno di ogni rete e tra le reti stesse. Un aspetto critico è sicuramente la capacità di rilevare in modo puntuale e tempestivo eventuali anomalie, con la possibilità di discriminare semplici errori di configurazione o guasti rispetto ad attacchi propriamente detti.
La rilevazione delle intrusioni di una rete industriale si compone
1) del monitoraggio in tempo reale della rete
2) dell’analisi dell’attività della rete stessa alla ricerca di potenziali vulnerabilità e/o attacchi presenti.
Il sistema di monitoraggio ha il compito di riportare al supervisore umano le situazioni di interesse. Le varie tecnologie differiscono nel riconoscere i soli eventi rilevanti e/o nel corredarli di una analisi automatica che faciliti il processo decisionale del supervisore. Naturalmente i sistemi di rilevazione di intrusioni per reti industriali possono solo essere passivi o meglio ‘propositivi’ verso l’operatore, in quanto non è ammissibile che una rete di produzione in esercizio venga bloccata per un falso negativo rilevato automaticamente.
Il monitoraggio Scada, cosa fare
Il problema più rilevante è che le reti industriali sono comunque molto veloci con elevati livelli di traffico e quindi è necessario un sistema di prefiltraggio automatico per ridurre il numero di eventi che l’operatore deve esaminare (in questo caso si parla di information flooding da falsi negativi).
Esistono due macro-tipologie di sistemi per la detection di anomalie su reti industriali:
- approcci per Knowledge-based intrusion detection (misuse based systems)
- approcci per Behaviour-based intrusion detection.
I sistemi Knowledge-based (Snort per esempio) si fondano su un database di attacchi noti: un particolare schema di attacco è riconosciuto attraverso la sua “firma” (Signature), costituita da un insieme di parametri descrittivi univoci. In esercizio, si estraggono dal traffico l’insieme dei parametri che descrivono lo stato della rete e li si confronta nel database degli attacchi, per verificare coincidenze con comportamenti malevoli noti. La manutenzione di questi sistemi (che in questo li assimila ai convenzionali anti-virus) procede mediante inserimenti di nuove tipologie di attacco da parte dell’operatore o del provider; la loro caratteristica è di essere uguali su qualsiasi rete industriale.
Gli approcci Behaviour-based prevedono invece una fase di apprendimento iniziale, in cui il sistema osserva semplicemente il traffico, ne estrae i parametri descrittivi come sopra e definisce uno stato di “normalità”. In esercizio, il sistema confronta continuamente lo stato corrente della rete con lo stato normale e rileva di conseguenza eventuali anomalie. Il grande vantaggio di questo approccio consiste nella potenzialità di riconoscere attacchi di nuovo tipo (i cosiddetti zero-day) che invece verrebbero scartati da una analisi signature-based. Al contempo, l’addestramento iniziale è un momento critico e deve essere soggetto a riaggiornamenti (re-training) per tener conto di mutate condizioni operative; per loro natura questi approcci sono più esposti a falsi positivi (segnalazioni di anomalie non dovute ad attacchi ma a effettivi schemi di traffico benigni ma inusuali). La caratteristica di questi approcci è di adattarsi all’ambiente osservato, per cui due sistemi anomaly-based in esercizio saranno necessariamente diversi fra loro.
Tecniche di rilevazione anomalia
Da un punto di vista scientifico, le tipologie di rilevazione anomalie comportano l’uso di tecniche spesso sofisticate, in cui si applicano metodi di classificazione automatica per riconoscimento di schemi noti, e/o di algoritmi di clustering per la estrazione di normalità e conseguente segnalazione di anomalie. I requisiti di queste tecnologie, nello scenario dei metodi di apprendimento automatico, comprendono la capacità elaborare in tempo reale grandi moli di dati (da cui il legame al mondo dei moderni big data) e l’efficacia nel riconoscere schemi specifici a bassa ricorrenza per trovare il proverbiale ago nel pagliaio (da cui il legame al mondo della consolidata Intelligenza Artificiale).
In tutti i casi l’incidenza di queste tecnologie innovative, spesso legate al mondo della ricerca e del trasferimento tecnologico, differenziano i vari prodotti disponibili, la loro efficacia operativa e certamente ne condizioneranno l’evoluzione futura in uno scenario di veloce mutazione.
