Fino a qualche anno fa, gran parte dell’attenzione nel campo della cybersecurity si è concentrata storicamente sulle infrastrutture IT (Information Technology). Questa è nota come la rete che collega i nostri computer ai server, a Internet e così via. Tuttavia, esiste un mondo rimasto nascosto ai più, spesso invisibile e poco conosciuto, ma estremamente vitale: parliamo delle reti OT (Operational Technology).
Ma cosa sono effettivamente le reti OT? Sono quell’insieme di hardware e software che controllano macchinari, impianti e dispositivi fisici, monitorando i valori di telemetria e gestendo processi ed eventi legati a questo ambito. Parliamo di fabbriche, centrali elettriche, reti idriche e linee di produzione automatizzate.
Questo mondo è sempre rimasto nell'ombra perché, sovente, tali reti erano scollegate dall'esterno e, soprattutto, segregate dalle reti dell’ufficio (IT). Tutto è cambiato con il progresso tecnologico, con la volontà di controllare in tempo reale cosa accade negli impianti produttivi e, in particolare, con l’avvento dell'Industria 4.0.
Si tratta di un fenomeno nato nel 2011, quando in una fiera in Germania il governo tedesco presentò un programma strategico sull’High Tech. A ruota, gli altri paesi europei hanno seguito l'esempio intraprendendo strade simili. Nel 2016 il concetto approda anche in Italia, evolvendosi negli anni fino a compiere, oggi, un ulteriore salto verso l'Industria 5.0.
La caratteristica principale, dal punto di vista tecnologico (ma non solo), è l’interconnessione e il controllo remoto. Ed è qui che... "Houston, abbiamo un problema!" Improvvisamente un mondo estremamente critico e vulnerabile, che non si era mai affacciato all'esterno, si trova proiettato verso le reti IT e soprattutto verso Internet.
La convergenza dei sistemi ha indubbiamente portato grandi benefici in termini di efficienza, ma allo stesso tempo ha esposto i sistemi industriali e gli impianti critici a minacce informatiche per le quali non erano stati nemmeno progettati.
Quali sono le criticità delle reti OT? Partiamo dal concetto che proteggere le reti OT richiede un approccio completamente diverso rispetto alle comuni reti IT. Se per le reti IT la priorità è la riservatezza dei dati, in ambito OT la priorità assoluta è garantire la disponibilità (il sistema non deve mai fermarsi) e la sicurezza fisica (Safety).
Questa differenza genera il problema di come gestire una serie di vulnerabilità intrinseche e criticità strutturali.
Il problema principale, nonché il più grave, è l’estrema difficoltà — se non l’impossibilità — di aggiornare i sistemi. Arriviamo quindi a parlare di “obsolescenza necessaria” e a scontrarci con il dilemma degli aggiornamenti. Uno degli elementi al centro della questione sono i sistemi di supervisione (SCADA), ossia quell’insieme sinergico di hardware e software per il controllo di impianti anche molto critici. Spesso questi nascono e muoiono con la stessa versione di sistema operativo (vedo ancora tantissimi Windows XP e Windows 2000 nelle fabbriche). Poiché il sistema, quando viene messo in funzione, viene sottoposto a test, verifiche, collaudi e certificazioni di corretto funzionamento, aggiornare il sistema operativo e il software di governo comporterebbe il fermo dell'impianto e un processo di "ricertificazione" identico a quello iniziale. Potete immaginare con quali costi.
Un altro problema è il normale patching dei sistemi. Se nelle reti IT (uffici) questo è un processo standard che avviene anche in modo silente, nelle reti OT un eventuale riavvio del sistema significa interrompere il servizio che quell’impianto sta svolgendo. Un riavvio può significare fermare la produzione, causare scarti di materiali o creare situazioni di pericolo fisico. Di conseguenza, le vulnerabilità note rimangono aperte per anni.
Scendendo più in profondità, troviamo i dispositivi di campo come i PLC (Programmable Logic Controller) o i CN (Controlli Numerici). Questi dispositivi sono, per loro natura, progettati per eseguire operazioni con altissima velocità ed affidabilità. Per questo motivo, su tali apparati troviamo:
- Niente Antivirus: Non è possibile installare agenti di sicurezza o antivirus su un PLC.
- Protocolli insicuri: Molti protocolli industriali (come Modbus o Profinet) sono stati creati decenni fa senza prevedere cifratura o autenticazione. Chiunque riesca ad accedere alla rete può inviare comandi di "stop" o alterare parametri senza bisogno di password.
Un terzo fattore da non trascurare è quello umano. Non guardiamo sempre e solo all’hacker: spesso le minacce arrivano dalla porta principale. Quali sono questi fattori?
- Il computer "Alieno": I tecnici manutentori esterni spesso collegano i propri laptop direttamente alle macchine per la diagnostica. Questi computer, avendo viaggiato attraverso diverse aziende e reti, possono essere vettori di infezione inconsapevoli, bypassando i firewall perimetrali.
- Teleassistenza e Industria 4.0: Per ottenere i benefici fiscali dell'Industria 4.0 e garantire la manutenzione predittiva, i macchinari sono sempre più connessi verso l'esterno. Spesso queste connessioni (VPN, TeamViewer o tunnel proprietari) rimangono attive anche quando non necessarie, creando un ponte diretto e non monitorato verso il cuore della produzione.
Quali sono, quindi, i metodi di protezione per queste reti? Non potendo agire sul singolo dispositivo come faremmo per l'IT, occorre creare un ecosistema sicuro attorno alle reti OT.
Prima di tutto, vige la regola d’oro che vale anche per l'IT: SEGMENTARE. Le reti, a maggior ragione quelle OT, non devono mai essere "piatte" (tutto dentro la stessa rete 192.168.x.x).
- Bisogna separare nettamente la rete IT dalla rete OT tramite firewall industriali (creando una zona demilitarizzata - DMZ).
- All'interno della rete OT, si devono creare ulteriori sottosegmenti (celle di produzione). Se un malware infetta una macchina, la segmentazione impedisce che si propaghi all'intero impianto.
Esistono poi sistemi che controllano il cosiddetto traffico “laterale”, ossia quello che non si può intercettare con un firewall perimetrale. L'uso di tecnologie come OpenFlow rappresenta una frontiera avanzata per la sicurezza OT. A differenza degli switch tradizionali, l'SDN (Software Defined Networking) permette di gestire il traffico in modo centralizzato e granulare. Con OpenFlow è possibile definire regole molto rigide su "chi può parlare con chi".
Ultimo, ma non meno importante: la cifratura. Anche se è difficile, se non impossibile, applicarla ai vecchi protocolli industriali, esistono gateway in grado di "incapsulare" il traffico insicuro in tunnel cifrati quando i dati devono attraversare reti meno sicure. È fondamentale usarla anche per le connessioni di teleassistenza (VPN), magari attivate on-demand e protette da sistemi di autenticazione a più fattori (MFA).
Proteggere questi sistemi non è solo una misura di salvaguardia dei dati, ma serve soprattutto a evitare il blocco della produzione, danni a macchinari costosi e, nei casi peggiori, rischi per l'incolumità dei lavoratori.
La chiave non sta nel cercare di trasformare l'OT in IT, ma nell'adottare un approccio di difesa in profondità: segmentare le reti, controllare rigorosamente gli accessi esterni e monitorare costantemente il traffico per rilevare le minacce prima che causino danni irreversibili.
Per maggiori informazioni:
Sito web: www.seccomarco.com