È sempre più frequente sentire parlare di intrusioni nelle reti e di difesa attiva
Non è semplice parlare di Industrial Cybersecurity, definizione spesso contratta con l’acronimo ICS, in termini comprensibili ad un pubblico non specialistico.
Se parlare di fermi di reti aziendali in ambito ufficio, furti di dati, ransomware (richieste di denaro per sbloccare i sistemi) o simili rientra di più nel linguaggio comune e risulta, almeno in termini divulgativi, più semplice da affrontare, non esiste ancora una reale percezione della portata che possono avere gli attacchi che vengono portati direttamente alle infrastrutture produttive o ai sistemi automatici di fabbrica. Ci è capitato talvolta di leggere di produzioni bloccate, aziende messe in ginocchio da cyberattack, ma quasi sempre ciò era riconducibile ad un tradizionale, e sempre più diffuso, attacco alle reti informatiche tradizionali, server e pc, per intenderci.
Questi attacchi poi hanno coinvolto la parte di infrastruttura che sovraintende alle attività produttive, con un risultato analogo ad un attacco diretto alla “fabbrica”. Per difendersi da queste situazioni sono disponibili soluzioni tecnologiche più diffuse, consolidate e in genere anche di buona qualità: un discreto numero di aziende usa in maniera adeguata queste contromisure ma ovviamente, se ciò accade sempre più spesso, non sono sufficienti.
Un attacco di tipo tecnologico deve essere difeso con la tecnologia, ma come capita in tutte le situazioni, la tecnologia di difesa rincorre sempre le metodologie di attacco, quindi necessariamente per qualcuno arriva quando è troppo tardi. Da “tecnologo” non mi inorgoglisce constatare che la tecnologia ha dei limiti, ma è così.
L’ICS ha molto in comune con la cybersecurity delle infrastrutture IT tradizionali, ma ha certamente delle peculiarità che la rendono unica e anche gli impatti di un attacco possono essere diversi.
Non è possibile esaurire il tema in poche righe: mi riprometto perciò di approfondire alcuni aspetti specifici in seguito. Vediamo per prima cosa di elencare alcuni temi che meritano un approfondimento.
- La “fabbrica” ha come priorità quella di funzionare e produrre con continuità e qualità. Raramente si hanno dei dati da “difendere” e quando chi gestisce deve decidere tra sicurezza e reattività d’azione, la sua scelta ricade quasi sempre sulla seconda opzione.
- “La fabbrica non è abituata alla sicurezza”. Questa è un’affermazione un po’ forte, mi rendo conto, e il fraintendimento è generato dal fatto che in italiano, lingua che invece generalmente è ricca di vocaboli, non si usano i termini corretti. In inglese verrebbe più facile. Ciò che chiamiamo sicurezza si traduce con due vocaboli: safety e security. Negli ambienti produttivi l’attenzione alla sicurezza dei lavoratori (safety) è in genere molto alta, la sicurezza delle infrastrutture tecnologiche (security) decisamente meno.
- La “fabbrica” ha dei cicli di rinnovamento tecnologico più lenti rispetto ai cicli del digitale. È come per le automobili: ciò che “invecchia” prima in un’auto non è la parte meccanica ma gli strumenti digitali a supporto della stessa, tanto che spesso, anche solo per cercare una destinazione, preferiamo ricorrere allo smartphone piuttosto che al navigatore in dotazione.
- Tra gli addetti ai lavori del settore digitale è assai condivisa l’affermazione “everything is software” di cui ormai si perdono le origini. Vale ovviamente anche negli ambienti produttivi, ma non è stata colta nella sua completezza. Qualsiasi macchinario degli ultimi 30 anni è sovrainteso da “computer” che spesso in “fabbrica” sono dei PLC. Eh sì, un PLC è un computer, un po’ diverso ma è un computer quindi è governato da un programma che gestisce gli impianti e “gira” su un sistema operativo (una specie di Windows per PLC, così ci capiamo meglio). La prima difesa di un ambiente digitale è l’aggiornamento continuo: un software ha sempre delle vulnerabilità che vengono sfruttate per cyberattacchi. Il produttore, quando le scopre rilascia degli aggiornamenti. Sui nostri PC, tablet e smartphone, quasi sempre con un processo automatico, questi aggiornamenti vengono costantemente applicati. Questo non avviene invece per il digitale della produzione col risultato che questi siano facilmente attaccabili con metodi e vulnerabilità note più o meno a tutti. Cosa rende la cosa più pericolosa oggi che in passato? Mentre anni fa la “fabbrica” era disconnessa dal mondo digitale e viveva in un universo separato, oggi non è più così. È interconnessa. Prima per sfruttare queste vulnerabilità bisognava avere un accesso fisico al plant: adesso si può farlo direttamente da lontano, dal proprio PC.
- Dopo aver precisato che esistono “safety” e “security”, che in italiano si traducono con sicurezza ma non devono essere confusi, mi contraddico parzialmente: in “fabbrica” safety e security potrebbero essere la stessa cosa. Gli impianti industriali sono progettati e costruiti tenendo conto della “safety” dei lavoratori. L’intromissione esterna di malintenzionati che possono agire sulle logiche di funzionamento degli impianti non ha solo come risultato quello di bloccare la produzione, ma anche quello di comprometterne la qualità, producendo lotti che poi vengono scartati al controllo di qualità, o ancor peggio, disabilitando i sistemi di emergenza a protezione dei lavoratori. La letteratura tecnica ha già documentato questo tipo di compromissione
L’articolo di oggi ha come obiettivo far capire le peculiarità del mondo “fabbrica”. Proverò in seguito ad approfondire questi singoli temi.