ICS: cosa sono e come proteggerli?

In che modo le aziende possono proteggere i sistemi di controllo industriale (ICS)?

Il mese dedicato alla cybersicurezza sta per concludersi, ma ciò non vuol dire che ci dimenticheremo  dell’importanza di essere sempre aggiornati su notizie e tendenze del settore. Nell’ultimo post del mese, ci concentriamo sui sistemi di controllo industriale (ICS), sul perché sia così importante sapere di cosa si tratta e perché bisogna proteggerli adeguatamente.

Abbiamo già pubblicato vari post sul tema ICS ma in questo post affronteremo l’argomento da una prospettiva più generica, per un pubblico più ampio. Per fare ciò abbiamo parlato con Matvey Voytov, esperto di business development di Kaspersky Lab, specializzato nella protezione delle infrastrutture critiche.

Cosa sono gli ICS?

ICS è l’acronimo di Industrial Control Systems, sistemi di controllo industriale. Comprende diversi sistemi e tecnologie, ad esempio sistemi SCADA (Supervisory Control And Data Acquisition), Sistemi di controllo distribuito (DCS), Controllori Logici Programmabili (PLC) etc ma tutti hanno un solo scopo: aiutare a gestire e a controllare i processi industriali. I sistemi convenzionali di informazione (ERP; collaborazioni, server mail, OS etc) gestiscono le informazioni, gli ICS gestiscono i processi fisici, per questo spesso sono racchiusi nel termine sistemi cyberfisici. Gli ICS vengono ampiamente utilizzati in molto settori industriali: petrolifero, gas, centrali elettriche, manifatturiero, città ed edifici smart etc.

Qual è lo scenario peggiore che potrebbe capitare?

Lo scenario peggiore implica l’interruzione dei processi industriali. A seconda dell’importanza dell’oggetto industriale, ciò può portare a perdite di denaro (ad esempio interruzione nelle infrastrutture manifatturiere) o a danni fisici nelle strutture stesse. È ciò che è accaduto in Germania nel 2014: un attacco hacker a un’industria siderurgica ha messo fuori uso i comandi di un altoforno. E in Ucraina, gli attacchi alle sottostazioni elettriche nel 2015 e 2016 ha portato all’interruzione della fornitura elettrica e disagi per migliaia di persone.

Quali settori dovrebbero preoccuparsi maggiormente dell’Information Security e perché?

Quando parliamo di protezione degli ICS, dovremmo parlare di “cybersicurezza” e non di Iinformation Security” in quanto, nella maggior parte dei casi, ciò implica la protezione di processi o beni a livello “cyber-fisico” e non di protezione delle informazioni in sé.

Per questo motivo, tutte le infrastrutture critiche sono a rischio, ma soprattutto le centrali elettriche, i sistemi di trasmissione e distribuzione di tale energia e poi tutti i sistemi che riguardano il petrolio e il gas. Oltre a tali infrastrutture sensibili, ci sono anche le aziende “non critiche” che soffrono attacchi informatici legati all’alta connessione a reti esterne. Una nostra recente ricerca ha dimostrato che il 54% delle aziende ha subito più di un incidente informatico negli ultimi 12 mesi.

Quali sono i vettori e le tipologie di attacco?

In generale i vettori di attacco principali agli ICS sono due. I cybercriminali riescono ad accedere alle infrastrutture industriali mediante reti esterne collegate (ad esempio, reti aziendali con ERP che scambiano dati con le reti industriali per manutenzioni previste) oppure possono infiltrarsi direttamente nel dominio ICS, grazie alla distrazione di un qualche dipendente o corrompendone uno. Per esempio, un ingegnere può portare una USB infetta o un dispositivo personale in una air gap.  Vale la pena ricordare che, al giorno d’oggi, esistono pochissime reti ai gap, persino nelle infrastrutture critiche. Le reti industriali, a causa dell’elevato livello di connessione, possono portare a configurazioni erronee o a una mancata attenzione da parte dei dipendenti (lo staff senza volerlo potrebbe creare air gap).  Anche la modernizzazione delle infrastrutture può giocare un ruolo importante: l’Internet delle cose porta a una maggiore disponibilità di connessioni esterne delle reti industriali, anche per i dispositivi di campo.

I quattro possibili incidenti che coinvolgono gli ICS sono:

  • Un malware generico si insinua nella rete industriale e lascia il segno nei dispositivi Windows. Ad esempio, le recenti epidemie dei ransomware WannaCry ed ExPetr hanno creato danni a moltissimi impianti industriali di tutto il mondo;
  • Attacchi mirati come Stuxnet, Havez o Industroyer, piattaforme malware e procedure d’attacco progettate specificatamente per colpire gli ICS.
  • Operazioni fraudolente di persone interne all’azienda con lo scopo di arrecare danno senza l’uso di tecniche hacker, solo mediante la conoscenza dell’infrastruttura. Si tratta di casi frequenti soprattutto nel settore petrolifero e del gas;
  • Errrori e configurazioni erronee di hardware e software degli ICS.

Quali sono le soluzioni?  

La prima cosa da fare e la più importante è accrescere la consapevolezza dei pericoli informatici tra i dipendenti. Nella maggior parte dei casi, gli attacchi cominciano proprio da qui. Le formazioni sulla cybersicurezza sono assolutamente fondamentali per le aziende.

Dal punto di vista tecnologico, bisogna riconoscere che le soluzioni di sicurezza IT convenzionali non sono adatte alle reti industriali. Le soluzioni convenzionali  hanno un’alta tolleranza di falsi positivi, il consumo delle risorse è elevato e una connessione costante a Internet è un requisito essenziale. Tutti questi aspetti non si adattano bene agli ICS, per questo installare protezioni per endpoint convenzionali in un ambiente ICS può addirittura costituire un pericolo e portare all’interruzione dei processi industriali.

Per questo motivo è molto importante utilizzare soluzioni pensate appositamente per la cybersicurezza industriale. Ciò implica maggiore controllo degli endpoint industriali (le whitelist delle applicazioni autorizzate sono assolutamente necessarie), controllo passivo della rete industriale che comprende l’esame approfondito dei pacchetti di dati industriali (DPI) con lo scopo di individuare anomali all’interno del flusso dei comandi dei processi industriali. Il tutto dovrebbe essere sempre certificato dai vendor principali di servizi di automazione industriali come Siemens, ABB ed Emerson.

Per saperne di più su Kaspersky Lab e ICS, potete visitare il nostro sito Internet dedicato (in inglese).

Consigli