Cybersecurity

nell’Industria 4.0
Cosa significa Industria 4.0?

L’industria 4.0 si può definire come un processo che porterà a una produzione industriale
del tutto automatizzata e interconnessa, grazie all’integrazione totale di tecnologie
digitali nei processi di fabbricazione: si parla, a tal proposito, di Quarta Rivoluzione
Industriale.
In questo cambiamento, una delle maggiori sfide a cui si deve far fronte è la convergenza
tra i settori IT (Information Technology) e OT (Operational Technology), storicamente
tenuti separati e caratterizzati ciascuno dai propri asset e dalle proprie regole di gestione.
In questo nuovo contesto, gli apparati lungo le linee di produzione diventano sempre più
intelligenti, in grado di scambiare dati col mondo esterno; un mondo industriale ora
connesso verticalmente verso piattaforme Cloud e orizzontalmente verso altri asset
aziendali. Tuttavia, ogni apparato connesso alla rete costituisce una potenziale
vulnerabilità e un possibile punto di attacco da parte di criminali informatici.
Il Cyber crimine
Il Cyber crimine è sempre più diffuso e i costi per l’economia globale sono stimati in 400 miliardi
di dollari all’anno. Tuttavia lo sviluppo della security è visto ancora come un costo accessorio,
quando invece dovrebbe entrare a far parte della cultura di ogni azienda in modo da creare un
business sicuro, affidabile e in grado di difendersi e reagire ad ogni tipo di attacco.

La security è uno scenario in continua evoluzione. Le minacce provengono dagli hacker, che
continuano a evolversi nel tempo e a volte costituiscono dei veri e propri gruppi organizzati.
Questi sono sempre più in grado di individuare e sfruttare a loro vantaggio le vulnerabilità
presenti nel sistema, cioè le falle che permettono a un’entità esterna di eseguire operazioni non
autorizzate dal sistema.

Le minacce cyber che oggi esistono e attraversano le nostre reti sono numerose, ma tra queste la
minaccia per eccellenza è rappresentata dagli zero-day exploit: questa acquisisce il massimo
grado di pericolosità in quanto è una falla nel sistema di sicurezza di un software per cui non
esistono rimedi o patches al momento dell’elaborazione. L’hacker scrive un codice (il cosiddetto
exploit) per sfruttare tale vulnerabilità e lo vende su un vero e proprio mercato nero persino a
diverse migliaia di euro. Con lo sviluppo della digitalizzazione, l’avvento dell’Industria 4.0 e
dell’IOT (internet of things), sempre più oggetti vengono connessi ad internet, e gli attaccanti
puntano sempre di più a strutture industriali o infrastrutture critiche.
 OT vs IT

Questa situazione ha portato alla stesura di normative che ci spiegano come difenderci e quali misure adottare. I paesi più
industrializzati stanno sviluppando leggi che per ora riguardano la difesa di infrastrutture energetiche e di impianti nucleari,
ma si stanno espandendo anche a tutti i riparti industriali.

IT (Information technology) è un termine che comprende tutte le forme di tecnologia utilizzate per creare, archiviare,
scambiare e utilizzare le informazioni nelle sue varie forme. In altre parole, l’IT mantiene il flusso corretto delle
informazioni. Mentre l’OT (Operation Technology) rappresenta convenzionalmente l’insieme di tutti i sistemi e le tecnologie
di controllo e automazione, necessarie al funzionamento degli impianti industriali di qualsiasi azienda manifatturiera. La
sfida nasce dal fatto che le reti OT appartengono all’ambiente industriale e connettono i sensori e gli attuatori nel campo,
mentre le reti IT connettono principalmente persone e server. Il mondo dell’automazione industriale è quindi molto
suscettibile a questo argomento, poiché spesso nelle aziende si trovano dispositivi che, per quanto perfettamente
funzionanti, sono ormai datati e non sono stati pensati per essere connessi a internet, risultando quindi vulnerabili.

Il mondo della security industriale è molto diverso rispetto al mondo della cybersecurity in ambito Information Tecnology a
cui siamo abituati. Questo perché il ciclo di vita dei prodotti è estremamente diverso, considerando ad esempio smartphone
e laptot che vengono cambiati dopo cinque anni a fronte di impianti industriali che restano operativi anche per archi di vita
di 20-40 anni. In questo modo non si ha la possibilità di aggiornamento dei software e dei servizi di sicurezza che si hanno
invece nel mondo IT. Si creano quindi necessariamente delle differenze a livello strutturale, che vengono riportate nella
figura seguente.
IT NETWORKS INDUSTRIAL NETWORKS
3-5 anni Ciclo di vita degli assets 20-40 anni

Migrazione obbligata (es. PC,
Smartphone)
Alta (>10 «agents» sui PC)
Bassa (circa due generazioni,
Windows 7 e 10)
Standard (agents & forced patching)
Ciclo di vita del software
Opzioni di SW per security
Eterogeneità
Concetto di protezione
Uso fintanto che ci sono parti di
ricambio
Bassa (sistemi vecchi senza
disponibilità)
Alta (da Windows 95 up to 10)
Specifica, a seconda del rischio

Nella tabella sono presenti le principali differenze tra il mondo industriale e quello informatico.
Oltre a questo, bisogna sottolineare l’inversione dei valori che si ha nel mondo OT rispetto a
quello IT. Nell’industria il valore principale è la disponibilità a produrre, accrescendo così il
valore dell’impianto; solo in ultimo stadio si ha la protezione dei dati, che pur non essendo
trascurabile, non sarà mai importante tanto quando nel mondo IT, che gestisce ad esempio dati di
transazioni bancarie.
 Lo standard si sicurezza IEC 62443

Quindi gli standard di sicurezza adatti per l’Information Technology devono essere riadattati all’Operational
Technology. Quindi dall’ISO 27001, che è lo standard per la protezione dell’informazione – cyber security- in
ambito office IT, si passa allo standard mondiale di protezione dei sistemi di controllo industriale, l’IEC 62443.
Non esiste il concetto di una sola “barriera impenetrabile”, ma si parla più spesso di defense in depth, ossia in
profondità, basata simultaneamente su più misure complementari. Ogni livello protegge i livelli seguenti, quindi
l’attaccante dovrà spendere tempo ed effort per ogni transizione. La Commissione Economica delle Nazioni
Unite per l’Europa, Nord America e Asia centrale (UNECE), ha reso noto che utilizzerà questo standard
all’interno del Common Regulatory Framework on Cybersecurity (CRF) che rappresenterà la sua “posizione
ufficiale” in tema di sicurezza informatica.

L’IEC 62443 è senza dubbio lo standard più diffuso a livello internazionale per la protezione da rischi informatici
di reti e sistemi di controllo e telecontrollo nell’industria come nelle utility: l’adozione di questo standard da
parte dell’UNECE contribuirà ulteriormente alla sua diffusione ed adozione ove ci siano sistemi industriali critici.

Purtroppo non esiste una misura di sicurezza valida universalmente, ma affinchè sia efficace deve essere
adottata ad ogni contesto. Quindi lo standard di security per l’Operational Technology, IEC 62443, si basa proprio
su questi due concetti: la difesa a strati, a partire dalle procedure, il controllo degli accessi fisici e quelli
informatici tramite firewall e VPN ad esempio, tenendo sempre conto del contesto in cui vengono applicati.
 Defense in depth

Come si vede dalla figura per avere una difesa efficace devo andare ad operare su tutti gli strati. La
plant security riguarda le procedure e le persone, ossia l’accesso fisico all’impianto, la Network
security tutto l’hardware e software che protegge la rete da accessi indesiderati e infine la system
integrity sono le misure intrische del sistema che proteggono il sistema quando le altre difese sono
state superate, ad esempio la password sul sistema e autenticazione
La serie di standard IEC 62443, definisce le linee guida per incrementare la sicurezza digitale degli Industrial Automation and
Control Systems (IACS), quali possono essere:

Industrial Control Systems (ICS) e Distributed Control Systems (DCS).

 Programmable Logic Controllers (PLCs).

 Remote Terminal Units (RTUs).

 Intelligent Electronic Devices (IEDs).

 Supervisory Control and Data Acquisition (SCADA).

 Networked Electronic Sensing & Control and Monitoring & Diagnostic Systems (inclusi Safety-Instrumented Systems - SIS).

Questi standard si applicano agli utilizzatori finali (es. proprietari della rete), system integrators, operatori di security e
costruttori di sistemi di controllo.

Tutti gli standard IEC 62443 sono organizzati su quattro livelli denominati :

1. Generali, include informazioni e concetti generali, modelli e la terminologia. Sono descritti anche i parametri di sicurezza
digitali e il ciclo di vita della sicurezza digitale per IACS.

2. Politica e Procedure, destinata ai gestori della rete.

3. Sistemi, che descrive il modello di sviluppo di sistemi attraverso l’integrazione di componenti.

4. Componenti, destinata ai requisiti dei prodotti che implementano tecniche di protezione da attacchi cyber.
I capitoli dello standard IEC 62443

General IEC 62443 1-1 IEC TR 62443 1-2 IEC 624431-3 IEC TR 62443-1-4
Terminology, concepts Master glossary of terms System security IACS security lifecycle and
and models and abbreviatons conformance metrics use-cases
Policies & IEC 62443 2-1 IEC TR 62443 1-2 IEC 62443 1-1 IEC TR 62443 1-2
Procedures Requirements for an IACS Implementation guidance Patch management in Installation and maintenance
security management for an IACS security the IACS environment requirements for IACS
system management system suppliers

System IEC TR 62443 3-1 IEC 62443 3-2 IEC 62443 3-3
Security technologies for Security level for zones System security
IACS and conduits requirements and
security levels
Component IEC 62443 4-1 IEC 62443 4-2
Product development Technical security
requirements requirements for IACS
components
Uno standard completo per tutti i livelli
Come si vede dalla tabella relativa ai capitoli dello standard, l’applicazione della serie di standard IEC 62443
interessa gli utilizzatori finali, gli operatori della sicurezza IT, i system integrators, e i costruttori di control
systems. Secondo quanto previsto dai legislatori, il documento dello standard IEC 62443 è strutturato
seguendo quattro sezioni principali: General, Policies and procedures, System e Component.

 La prima sezione dedicata alle informazioni generali descrive i modelli, riporta la terminologia e
presenta i parametri di sicurezza digitale degli Industrial Automation and Control Systems.

 Politica e procedure sono invece rivolte ai proprietari di impianti e gestori di rete e descrivono, per
esempio, l’implementazione di un sistema di gestione della sicurezza o la gestione delle patch.

 System illustra le tecnologie di integrazione di sicurezza per controller e componenti di rete.

 Component è rivolto ai produttori e spiega, per esempio, come proteggere il processo di sviluppo.

Una tale struttura mira a definire la sicurezza informatica come una misura di processo completa ed
evidenzia la necessità di considerare la conformità agli standard di sicurezza già nella fase di sviluppo dei
componenti. Dunque ogni entità del sistema ha il suo ruolo nell’integrità dell’impianto e si deve adattare al
“Deny by default”, cioè ogni operazione nel sistema deve essere consentita.
 4 PL4

Maturity Level
Il Protection Level 3 PL3
Il Protection Level (PL) si basa su due livelli: il
Security Level, ossia la qualità dei servizi di sicurezza
2 PL2
che si possiede, e il Maturity Level, cioè la capacità di 1 PL1
sviluppare e applicare questi servizi. Ad esempio
1 2 3 4
avere un firewall con security level livello 4 ma
maturity level 1, comporta il PL minimo. Security Level
Possiamo distinguere diversi tipi di attaccanti che hanno diversi tipi di motivazioni. In ordine per livello di
gravità:

 Script kid, attacchi non sofisticati, con poche conoscenze e competenze, che sfruttano script già pronti
all’uso puntando verso vulnerabilità note per puro divertimento o curiosità.

 Attacchi hacker, cioè attacchi sofisticati non sempre diretti (untargeted) ma distribuiti su un ampio
numero di vittime e seppure in maniera più elaborata e complessa, con motivazione economiche.

 Insider, ossia attacchi diretti portati con competenza su obiettivi ben noti in particolare in termini di
vulnerabilità, molto più difficili da affrontare. In questo caso si tratta di veri e propri furti e sabotaggi a
vittime ben conosciute.

 Il livello di protezione massimo è necessario per affrontare i cosiddetti Advanced Persisten Threats
(APT), gruppi organizzati esperti, dotati di vaste conoscenze e risorse in grado di sfruttare vulnerabilità
ancora ignote per motivazione finanziarie su ampia scala o anche politiche. Dunque in base all’ambito di
lavoro e ai tipi di attacchi a cui si può essere sottoposti è necessario adattare il Protection Level.
Quali sono le minacce più importanti?
Secondo la BSI Publications on Cyber Security, le dieci minacce più importanti per i sistemi
industriali sono:
1) Introduzione di Malware tramite supporti esterni removibili (chiavette USB)
2) Introduzione di Malware da Internet e Intranet
3) Sabotaggio dovuto all’errore umano
4) Compromissione di component Extranet e Cloud
5) Ingegneria sociale e Spear Pishing (ad esempio mail falsificate a un bersaglio noto)
6) Attacchi (D)Dos, traducibile in italiano come interruzione distribuita del servizio, e consiste
nel tempestare di richieste un sito, fino a metterlo ko e renderlo irraggiungibile.
7) Componenti di controllo connessi a Internet
8) Intrusione tramite Accesso Remoto
9) Guasti e Forza Maggiore
10) Compromissione di Smartphone in ambiente di produzione
Il processo di implementazione della Cyber Security
L’IEC 62443 introduce un processo per l’implementazione della Cyber Security su più step. Il
processo parte dall’identificazione completa del sistema da proteggere e del caso applicativo in
cui viene considerato. Si considerano in seguito le possibili minacce e il rischio, per poi
determinare le contromisure e implementarle.

Identificazione Identificazione Identificazione Analisi del Determinazione

Implementazione
oggetto use case delle minacce rischio contromisure

La fase di analisi (Assess) si compone di attività legate all’individuazione delle vulnerabilità con un
grado di rischio delle falle che sono state trovate. Tanto più il rischio è alto tanto minore deve essere il
tempo di intervento. È durante la fase di implementazione (Implement) che l’azienda che desidera
proteggersi dagli attacchi cyber, deve strutturare il Sistema di Gestione della Sicurezza Informatica,
adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di
conseguenza, i propri sistemi industriali La Industrial Cyber Security è tuttavia un processo che
necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento
(Maintain) del livello di sicurezza degli impianti industriali. Solo così il flusso di dati condivisibili verso
l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze disastrose per le aziende.
Quali sono le contromisure?

Per capire le contromisure che possiamo applicare si devono conoscere alcune nuove tecnologie:

 IDS: Intrusion Detection Systems, chiamati anche Industrial Anomaly Detection (IAD), sono sistemi software
non intrusivi che vengono utilizzati per il rilevamento di intromissioni nella rete, adatti per il mondo OT
perché non vanno ad intaccare l’avability dell’impianto ma inviano semplicemente un messaggio nel caso ci
sia un rilevamento anomalo nel sistema. Il sistema studia dunque quello che succede normalmente all’interno
della rete, nel momento in cui si evidenziano attività insolite, ad esempio l’ingresso di un nuovo PC, viene
avvisato il gestore della rete che ha poi il compito di svolgere le azioni, se necessario. Si hanno quindi bisogno
di “sonde” all’interno della rete OT, che nelle nuove soluzioni disponibili può essere anche un singolo sistema
che recupera informazioni da tutti i segmenti di rete e le centralizza in un unico dispositivo.

 DPI: Deep Packet Inspection, sistema di firewall che riesce ad analizzare il contenuto dei pacchetti e non solo
la tipologia, quindi non bloccano a prescindere ma permettono un filtraggio.

 IPS: Intrusion Prevention System, simile agli IDS, ma con comportamento attivo: nel momento in cui notano
una possibile minaccia vanno a effettuare un’azione. Questi sistemi sono un po’ meno adatti per il mondo OT.

 NGFW: Next-Generation Firewall, firewall di nuova generazione che mettono insieme tutti i concetti di IDS,
DPI e IPS.
Vulnerabilità IoT: le best practice di sicurezza 1/2
È innanzitutto essenziale che i dispositivo mobili vengano registrati servendosi di un software di
Mobile Device Management (MDM). In questo modo si assicura la previa ed imposta installazione di
un software di sicurezza antimalware supportato che preveda la protezione del device con password
forte (sequenze alfanumeriche, caratteri speciali, autenticazione a due fattori, expiration time ed
aggiornamento) e blocco schermo (PIN, password, impronta digitale o riconoscimento facciale)
nonché aggiornamenti costanti del firmware del device e l’installazione della patch di sicurezza.

Di fondamentale importanza per una connessione sicura a distanza è la VPN. Sta per “Virtual Private
Network”, cioè una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un
canale di comunicazione logicamente riservato (tunnel VPN) e creato sopra un’infrastruttura di rete
pubblica. Il termine virtuale sta a significare che tutti i dispositivi appartenenti alla rete non devono
essere necessariamente collegati ad una stessa LAN locale ma possono essere dislocati in qualsiasi
punto geografico del mondo. Una VPN è dunque un servizio di rete che può essere utilizzato per
criptare il traffico Internet e proteggere la propria identità online. In ambito prettamente aziendale,
una VPN può essere paragonata ad una estensione geografica della rete locale privata (LAN) che
permette di collegare tra loro, in maniera sicura, i siti della stessa azienda dislocati sul territorio. In
questi casi diventa essenziale imporre una policy ad hoc per assicurare che tutti i device mobili
connessi alla rete soddisfino gli standard ed i protocolli di crittografia condivisi.
Vulnerabilità IoT: le best practice di sicurezza 2/2

Affianco alla continua espansione del mondo IOT stanno crescendo, e in alcuni casi
nascendo, dei nuovi standard di comunicazione. Tra questi c’è l’OPC-UA, standard di
comunicazione che oggi viene visto in maniera positivo per la security. Infatti è destinato a
diventare lo standard di comunicazione per l’Industry 4.0, con features di security già
integrate, come la crittografia, ma anche la richiesta di default dell’autenticazione degli
utenti, in modo da riconoscere l’utente con cui si è in comunicazione.

Dal punto di vista della rete una delle cose più importanti è la segmentazione. Non è sicuro
abbastanza limitarsi a separare la rete OT dalla rete IT in maniera intelligente, ma è
necessario all’interno della rete OT cercare di creare delle aree funzionali indipendenti tra
di loro, chiamate celle di protezione, con connessioni autorizzate tramite Firewall. Quindi
una vulnerabilità di una singola area non compromette il funzionamento delle restanti aree
del sistema.
Licenza
Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione -
Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il
sito web http://creativecommons.org/licenses/by-sa/3.0/it/ o spedisci una
lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA.