OT Security: se la sicurezza industriale si fa critica

della Redazione

L’OT (Operational Technology) è una branca della sicurezza informatica che si occupa della protezione dei sistemi industriali. Ci riferiamo ai sistemi BAS per l’automazione degli edifici, e ancor più vicino al nostro mondo ai sistemi PACS (Physical Access Control Systems) per controllare gli accessi in maniera automatizzata. Ma abbiamo anche spesso sentito parlare di sistemi di controllo distribuito (DCS), di SCADA (reti di controllo supervisione e acquisizione dati) e di internet delle cose in ambito industriale (IioT). Tutti questi sistemi possono essere soggetti a vulnerabilità che possono impattare sulla security ma anche safety perché coinvolgono tecnologie e persone.

La sicurezza informatica OT si concentra sulla definizione, misurazione e gestione di ciò che può considerarsi un livello di rischio accettabile per una specifica realtà, al fine di mitigare o eliminare i rischi che possono avere importanti ripercussioni per la sicurezza umana, ambientale e tecnologica. La sicurezza è però un obiettivo complesso e che richiede un ciclo perpetuo di monitoraggi, controlli e test. Le valutazioni di sicurezza informatica in area OT eseguite da professionisti indipendenti sono una parte essenziale di questo ciclo. Vediamo quali sono le criticità più comuni condensate da Honeywell Forge in un interessante whitepaper.

1 - Manca l’antivirus

Quando le valutazioni della vulnerabilità OT vengono eseguite da una terza parte, gli esperti in genere esaminano ogni livello di difesa che controlla il rischio organizzativo e determinano le relative misure fisiche, tecniche, amministrative o di eliminazione. Una costante nei risultati del rapporto finale di valutazione della vulnerabilità è che manca, purtroppo, un intero livello di difesa: antivirus, una misura essenziale per rilevare e prevenire codici dannosi. 

2 - Hardware obsoleto

Considerando quanto sia difficile per le industrie chiudere gli impianti anche per una semplice attività di manutenzione, potrebbe non sorprendere che la sicurezza informatica delle macchine non sia sempre al passo con l’evoluzione tecnologica. Ma anche quegli impianti necessitano di patch e di aggiornamenti frequenti: lato sicurezza informatica, una macchina obsoleta può infatti rivelarsi una vera bomba a orologeria. Eseguendo valutazioni annuali o semestrali, è però possibile identificare hardware legacy o sistemi operativi vecchi e prioritizzare un piano d’azione per la mitigazione dei rischi. Senza tale monitoraggio, gli hacker avranno gioco facile nello sfruttare sistemi progettati prima dell’attuale Internet always-on e, tramite questi ultimi, raggiungere altri livelli della rete.

3 - Policy e procedure

Una delle categorie di valutazione più comuni che rivelano livelli di non conformità e di rischio inaccettabili è quella che sembra più burocratica: l’area delle policy e procedure. E’ prassi comune concentrare gli investimenti su tecnologie e prodotti tangibili e innovativi tralasciando però la parte procedurale della sicurezza informatica OT. E questo vulnus è tra le principali cause di vulnerabilità. In certi casi, il personale nemmeno è a conoscenza di tali politiche; in altri casi le conosce ma raramente le segue. In entrambi i casi, il risultato non cambia. Spesso si attribuisce questo vulnus all’analfabetismo informatico ancora troppo diffuso almeno su alcuni livelli aziendali, o alla mancanza di policy e procedure adeguate o alla stessa confusione tra le pratiche di sicurezza “di base” e le policy: per correggere le prime basterebbero infatti passaggi relativamente semplici.

4 - Chi ci aiuta?

E quando succede il patatrac? Se la mancanza di policy può fare danni, una procedura non testata può generare un falso senso di sicurezza il cui lato oscuro può manifestarsi proprio al momento peggiore. Non di rado le policy di sicurezza informatica OT dichiarano di basarsi sulle policy di IT business continuity per le istruzioni predefinite. Tuttavia, spesso, tali policy IT non spiegano chi chiamare in caso di incidente di sicurezza informatica OT che causi un fermo impianto. Mentre il dipartimento IT dispone dei contatti dei vendor deputati a garantire la business continuity, se un ransomware attacca la rete operativa ci si potrebbe trovare in un vicolo cieco. Come uscirne? Chi si occupa dell’impianto può sviluppare dele policy OT specifiche comprensive di istruzioni , contatto di vendor specializzati aperti 24/365 e che stabilisca una catena di comando e responsabilità in caso di emergenza. 

5 - Porte aperte (letteralmente)

Un altro fatto sorprendentemente comune è trovare le porte della sala di controllo sbloccate e con password in bella vista. Un caso di scuola di porte aperte fisicamente e non solo, visto che qualunque malintenzionato potrebbe facilmente raggiungere gli switch o accedere a sistemi critici. Altri esempi di “porte aperte” sono una linea ADSL direttamente collegata a una rete di controllo o di un modem hot spot all’interno dell’impianto, o ancora oggetti all’apparenza innocui come chiavette USB e stampanti wireless. Sono tutte potenziali porte di accesso ai sistemi (un malware su storage o cavi può innescare un fermo impianto o peggio): bastano però formazione adeguata e controlli tecnici per proteggere i punti di accesso più a rischio.

6 - Stabilire le priorità

Oltre ad individuare e risolvere problemi, le valutazioni di vulnerabilità OT hanno anche lo scopo di definire le priorità sui problemi riscontrati e su come gestirli. La mancanza di antivirus è più o meno urgente della dismissione di una macchina Windows NT? È meglio utilizzare il controllo delle applicazioni o ridurre le app in uso? Un nuovo progetto di impianto dovrebbe includere due porte per la sala di controllo o solo una? Questo tipo di decisioni richiede un’attenta valutazione da parte di professionisti, suffragata da tabelle e punteggi che possano guidare gli operatori d’impianto nelle scelte. Il processo decisionale sulla sicurezza informatica OT deve anche fare i conti con lo specifico scenario e contesto operativo, oltre che le risorse disponibili. Quanto tempo ci vorrà per risolvere ogni vulnerabilità critica? Chi eseguirà il lavoro e soprattutto quanto costerà? Solo un set di informazioni complete consente alle figure apicali di mitigare i rischi operativi senza “morire di compliance” o peggio ignorare il problema.