(foto: https://www.quanterion.com) |
Nel mondo delle infrastrutture critiche, l’erogazione dei servizi di pubblica utilità ha la massima priorità e deve essere mantenuta, per assicurare che non si verifichino danni alle persone, all’ambiente, ai sistemi di processo. Danni che potrebbero arrivare a causare ingenti perdite di vite umane e di capitali finanziari.
In quest’ottica la normativa NIS ha dato un forte contributo nella individuazione degli obiettivi da proteggere, nella presa di coscienza dei rischi e ha permesso di prendere coscienza delle reali misure di protezione cibernetica esistenti nel Paese.
Compiuto il primo passo, è importante che venga ora presa in considerazione la peculiarità dei sistemi di controllo industriale che rappresentano il cuore pulsante di ogni infrastruttura che fornisce servizi essenziali. Pensiamo a un DCS (Distribuited Control System) in un impianto petrolchimico o in una industria farmaceutica, a uno SCADA (Supervision Control And data Acquisition) in una rete di distribuzione elettrica, del gas o dell’acqua potabile, a un sistema BMS (Building Management System) per il controllo di un ospedale. Ebbene tutte queste infrastrutture hanno la necessità di proteggere in modo puntuale il loro funzionamento, secondo regole che siano chiare, ben definite e di facile applicazione, in termini di tecnologie e processi. E che siano comprensibili ed applicabili in un contesto che non sia puramente dedicato all’Information Technology, ma che possano sposarsi con il modus operandi di chi interagisce con il mondo cyber-fisico, ed abbia un background non solo IT.
Safety e Security
Nella terminologia dei sistemi di controllo industriale si usa una terminologia derivata dalla lingua anglosassone che distingue tra Safety e Security. In italiano non abbiamo questa distinzione, da noi si parla di “sicurezza” in senso omnicomprensivo, ma la distinzione anglofona ha un suo perchè.
La Safety ha a che fare con la sicurezza HSE, Health, Safety & Environment” (letteralmente: Salute, Sicurezza e Ambiente), mentre Security si occupa di sicurezza dei dati, che nel mondo industriale sono pero’ relativi non tanto ai dati personali, quanto ai dati necessari a mantenere un processo attivo e funzionante in modo corretto.
In alcuni ambiti vi sono infatti i sistemi preposti alla salvaguardia della safety, i cosiddetti Safety Instrumented Systems (SIS) che hanno il compito di agire come estrema linea di difesa prima che un sistema possa produrre un danno catastrofico. A titolo di esempio, sono i sistemi che sovraintendono ad uno shut-down di emergenza, prima che possa avvenire una esplosione in un reattore di processo, alla chiusura di una parte di impianto soggetta ad un incendio, in modo che l’incendio non si propaghi, sono i sistemi che regolano il traffico in un tunnel. Ebbene questi sistemi devono già rispettare dei livelli di sicurezza ben precisi che vengono definiti da standard internazionali, ripresi anche da leggi nazionali (tra gli altri l’IEC 61511, IEC61508) che danno delle scale di sicurezza da rispettare in funzione dei rischi da mitigare e di conseguenza dei danni che potrebbero essere causati da un malfunzionamento. E recentemente in alcuni paesi l’obbligo di protezione include anche la cybersecurity per i sistemi SIS.
La scala di sicurezza per la safety va da SIL1: valore minimo, a SIL4: massima sicurezza di impianto. SIL sta per Safety Integrity Level.
Quanto detto è una pratica utilizzata da tempo e accettata in tutti i comparti industriali e nelle infrastrutture critiche e consente di definire in modo chiaro e preciso come proteggere l’uomo, sia esso un lavoratore, un utente o un cittadino da danni che possono essere causati dai macchinari, intesi nel loro senso piu’ completo.
Analogamente al metodo di classificare la sicurezza “safety” con una scala di facile comprensione ed applicabilità, esiste uno standard “de facto” specifico per la protezione dei sistemi di controllo industriale OT (Operational Technology) da attacchi cibernetici: l’IEC62443, che sta ormai assumendo una valenza orizzontale, cioè valida in ogni contesto ove vi siano da proteggere dei sistemi o delle reti, dalle azioni malevole dell’uomo.
Lo standard è nato negli stati uniti all’inizio degli anni 2000 come ISA99 ed è stato poi recepito a livello internazionale come IEC62443. Una delle parti di questo standard definisce proprio, in funzione dei rischi e delle minacce da cui proteggersi, dei livelli di sicurezza cyber da implementare.
Quali sono le minacce? Come possono essere classificate, per poi implementare delle misure di protezione?
A tal proposito vi sono diverse classificazioni, ma una delle piu efficaci è quella dell’ FBI che identifica le seguenti:
Lo standard IEC62443-3-3 identifica i Security Level, come livelli di sicurezza da implementare, in funzione di parametri di rischio riconducibili alle minacce sopraelencate, basate su quattro principali fattori: Motivazioni, Skills, Mezzi e Risorse.
L’applicazione di un livello di sicurezza SL4 consente ad una infrastruttura critica di avere una altissima protezione per far fronte ad attacchi di guerra cibernetica scatenati da APT (Advanced Persistent Threats), da organizzazioni cioè che dispongono di risorse estese, mezzi sofisticati, conoscenze approfondite nell’ambito dei sistemi di controllo industriale (ICS) e che hanno forti motivazioni.
Come è perché valutare un Security Level (SL)?
Un SL rappresenta un parametro oggettivo, non soggetto a derive che possono essere ereditate dalla esperienza del singolo, dalla forza di convincimento di un technology supplier, o alla storia aziendale pregressa. Lo standard definisce 7 parametri (Fuctional Requirements) su cui valutare il livello di sicurezza: Identification Authentication Control, User Control, Data Integrity, Data Confidentiality, Restricted Data Flow, Timely response to Event, System Availability.
Ciascun FR ha dei controlli supplementari da rispettare, in funzione del grado di sicurezza da ottenere. Vi sono delle check list puntuali per valutare il Security Level del sistema e della rete, con piu’ di 100 items da controllare.
Qual è il vantaggio di introdurre un approccio “standard based” per proteggere le infrastrutture del Paese? Un approccio di questo tipo dà la possibilità di richiedere, con chiarezza, un livello minimo di sicurezza, basato sul rischio, che tenga conto delle conseguenze che un attacco potrebbe avere sul sistema.
Dal lato dell’operatore, si propone un modello di classificazione già entrato nel suo modus operandi per quanto riguarda la sicurezza fisica con i livelli SIL definiti in precedenza. E come ulteriore beneficio, si dà agli operatori la possibilità di definire un percorso di messa in sicurezza sviluppabile a “milestones” al fine di raggiungere un Security Level Target chiaro, in un lasso di tempo ragionevole.
L’approccio della implementazione di protezioni cyber secondo la IEC62443 con Security Level è sempre più diffuso in ambito internazionale. Infatti, oggi molti progetti internazionali richiedono il rispetto dei livelli SL 2 o SL3, laddove le infrastrutture siano ritenute critiche e gli effetti di attacchi malevoli possano avere conseguenze per la popolazione o l’ambiente.
A tal proposito, basti ricordare come nel 2015, in seguito all’attacco cyber BlackEnegy alla rete elettrica di Kiev, che creò un blackout a metà della città, analisi forensi abbiano dimostrato come l’implementazione di un Security Level 2 nel sistema di controllo della rete elettrica, avrebbe evitato che l’exploit andasse a buon fine.
Concludendo, credo che sia giunto il momento di prestare particolare attenzione non solo alla difesa della privacy dei dati personali o alla conservazione dei dati di business, ma anche alla difesa delle infrastrutture critiche in termini di continuità di funzionamento e di rischi HSE, applicando uno standard che sia dedicato alla protezione cyber dei sistemi di controllo industriale in senso lato, come l’IEC61443.
E’ importante che vi sia una attenzione del legislatore nel dare agli operatori dei servizi essenziali guide certe per implementare misure di protezione omogenee e che vengano definiti dei livelli di cibersicurezza minimi, tali da proteggere la Security delle infrastrutture critiche, cosi come già avviene per la Safety. La protezione delle infrastrutture del Paese deve essere impostata con parametri certi, oggettivi e misurabili.
Umberto Cattaneo