La “Operational Technology Security” (OT Security) si occupa della protezione dei sistemi di controllo industriali (ICS), siano essi distribuiti, DCS (Distributed Control System), di supervisione e acquisizione dati, SCADA (Supervisory Control And Data Acquisition) oppure dei processi, PLC (Programmable logic controller).
La necessità nasce dal fatto che i sistemi OT solitamente vengono identificati con le cosiddette “infrastrutture critiche”, ovvero quei sistemi e servizi essenziali, il cui danneggiamento comporterebbe gravi ripercussioni, sia in termini di security che di safety, per ambienti, persone, tecnologie e processi. Uno dei requisiti base del mondo OT è quello di garantire il controllo in real time e la disponibilità delle risorse per assicurare la continuità operativa dei sistemi, anche da remoto, oltre alla confidenzialità e l’integrità dei dati.
Oggi, il costante aumento di cyber attacchi alle infrastrutture critiche, operati sia a scopo estorsivo, sia per creare caos e instabilità nell’attuale e complesso scenario geopolitico, fanno sì che il tema della OT Security sia sempre più rilevante. Se, infatti, in origine i sistemi OT, per loro natura, chiusi e certificati, erano caratterizzati da una comunicazione tipicamente machine-to-machine, pensata esclusivamente per connessioni interne, oggi, grazie alla digitalizzazione e al proliferare di dispositivi Industrial IoT (macchine, sensori, attuatori o controller connessi ad internet per la raccolta e trasmissione dati), tali sistemi non sono più isolati e sono in continua e costante comunicazione con il mondo esterno attraverso internet.
Tuttavia, proprio la necessità di sistemi industriali sempre più connessi imposta dalla trasformazione digitale e la convergenza tra mondo IT (Information Technology) e OT, così vantaggiosa in termini di sostenibilità, facilità di gestione, flessibilità, competitività nel settore industriale, ha reso estremamente vulnerabili le infrastrutture OT, inizialmente progettate esclusivamente per connessioni interne, esponendole a nuovi rischi per la sicurezza.
Lo standard IEC 62443 per l’OT Security
Nonostante il tema della OT Security sia di derivazione piuttosto recente, per proteggere i sistemi OT, e più in generale l’Industria 4.0, esistono degli standard il cui scopo è quello di rendere sicura ed affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.
Uno dei più importanti è lo standard internazionale IEC 62443 per la sicurezza dei sistemi di controllo industriale, istituito quasi vent’anni fa da ISA, International Society Automation & Control.
“Lo standard IEC 62443 – spiega Elena Bernardini, Software Engineering Manager di Maticmind, IT System integrator che offre soluzioni informatiche per la progettazione e gestione del data center e della sicurezza informatica - copre tutte le fasi del ciclo di vita previsto dagli IACS (Industrial Automation Control System), i sistemi di controllo di automazione industriale, prevedendo, nella fase di analisi (Assess), una serie di attività legate all’individuazione dei rischi (Risk Assessment), l’analisi delle vulnerabilità (Vulnerability Assessment), e l’allocazione dei requisiti minimi di sicurezza informatica stabiliti per ciascun componente del sistema IACS, per finire, nella fase di implementazione (Implement), con creazione di un ambiente segmentato, con zone da cui i flussi di dati non possano fuoruscire mediante la chiusura delle porte di accesso al sistema dall’esterno e l’utilizzo dei tradizionali sistemi di protezione perimetrale (firewall) ed eventuali VPN per connessioni remote”.
IT e OT Security: qual è la differenza?
La digitalizzazione richiede che sistemi IT e OT interagiscano, realizzando quella che viene chiamata convergenza IT/OT, tramite la quale i dati raccolti dalle apparecchiature fisiche e dai dispositivi IIoT vengono utilizzati per identificare i problemi o aumentare l’efficienza dei processi industriali.
“È bene tuttavia distinguere tra IT e OT Security”, precisa Bernardini. “Se, infatti, il primo requisito del mondo OT è l’operatività del sistema e la disponibilità del dato, e solo in un secondo momento se ne considerano la riservatezza e l’integrità, lo stesso non può dirsi per l’IT, per il quale invece vale l’esatto contrario”.
Essendo, quindi, due mondi diversi, anche le linee guida da seguire per la protezione dei sistemi prevedono soluzioni differenti. “Come Maticmind, nell’ambito della Digital Automation Services & Solutions Business Unit (BU DASS) per grandi sistemi, per lo più nel settore della Building Automation, cerchiamo di sensibilizzare i nostri clienti sul tema della OT Security, ancora spesso ritenuta poco importante rispetto alla IT Security, proponendo soluzioni di Cyber Security di ultima generazione idonee alla protezione e difesa dell’azienda dagli attacchi informatici e supportandoli in tutte le fasi di un progetto di security. Per esempio, grazie alla soluzione di anomaly e intrusion detection Nozomi, riusciamo ad analizzare e monitorare tutti i dispositivi che costituiscono lo schema dell’architettura di rete, definendo le relazioni tra i vari terminali, i volumi di traffico e lo schema funzionale, scoprendo ogni singola anomalia ed effettuando un’analisi preventiva dei rischi e delle vulnerabilità cui è soggetto il sistema. Con soluzioni in SaaS, in Cloud o on-premise, il cliente può migliorare la visibilità delle superfici di attacco della propria rete e identificare degli allarmi nel caso di intrusioni dall’esterno”.
Le best practice per l’OT Security
Grazie alle partnership con i più importanti technology vendor leader del settore, Maticmind offre soluzioni a 360° in ambito cyber security. “Oltre al servizio di Vulnerability Assessment, siamo in grado di offrire al cliente servizi di implementazione del proprio Sistema di Gestione della Sicurezza Informatica (CSMS) con specifiche procedure e strategie mirate a prevenire gli attacchi cyber e proteggere i propri sistemi industriali”, spiega Bernardini.
Una volta ottenuta la visibilità operativa della rete, in tempo reale, e quindi identificate e classificate le risorse, il passo successivo è quello di segmentare la rete OT. “Questa fase è importantissima”, precisa Bernardini. “Sebbene infatti le violazioni non possano essere bloccate nel 100% dei casi, la segmentazione della rete è uno dei concetti architetturali più efficaci per proteggere gli ambienti OT ed è una delle best practices fondamentali descritte nell’ISA/IEC-62443. L'idea alla base è quella di dividere la rete in una serie di segmenti funzionali o “zone”, che possono includere sottozone, o microsegmenti, e rendere ogni zona accessibile solo da dispositivi, applicazioni e utenti autorizzati, procedendo con un approccio suddiviso per strati e livelli con zone di controllo.
Quindi, occorre procedere con l’analisi del traffico per individuare minacce e vulnerabilità, proteggere l’accesso cablato e wireless, definendo le regole dei firewall di nuova generazione (NGFW, Next Generation Firewall) e il management switch, attraverso i quali si possono isolare tra loro tutti i dispositivi OT della rete, nascondendoli”, conclude Bernardini. In aggiunta agli switch, si possono utilizzare i cosiddetti sistemi di deception, con i quali attivare la cosiddetta Cyber Deception Technology, ovvero l’arte dell’inganno come strategia difensiva. L’insieme di queste best practices assicurano non solo un’adeguata protezione delle infrastrutture OT dai cyber attacchi, attraverso la continua analisi e il monitoraggio dei comportamenti all’interno delle reti OT, ma riducono notevolmente, in caso di violazione della reta OT, i costi e i potenziali tempi di inattività.