Nei giorni scorsi mi chiama un Cliente (ed amico), amministratore delegato e socio di maggioranza di una media industria chimica con un impianto in Italia ed un’altro in un paese nell’est Europa.
Dopo gli auguri di buon anno ed i convenevoli di rito, iniziamo una fitta conversazione in cui emerge che, durante la pausa di fine anno gli è capitato di vedere in TV un documentario in cui un incidente informatico ad un sistema di controllo di un impianto chimico provoca un serio danno ambientale.
Ad un certo punto a bruciapelo mi chiede: “So che me ne hai parlato tante volte, ma ora dimmi: per mettere in sicurezza il mio impianto,
cosa dovremmo fare per proteggere i nostri sistemi di fabbrica?”
So bene non bisogna mischiare business ed amicizia e che non esistono ricette e pozioni magiche per affrontare il tema della Security che siano valide in ogni contesto, ma questa domanda mi ha costretto a ragionare in fretta ed ecco allora un mia breve lista di cose che oggi farei:
1) A chi rivolgersi, e come trovare qualcuno che ne capisca? Iniziamo con cercare un esperto di cyber security (e fin qui è facile, ce ne sono un sacco: tutti sanno tutto di ICT Security, se poi sia anche bravo, è da controllare). E che almeno ne sappia qualcosa di Automazione Industriale (e qui è un poco più difficile: tutti sanno tutto di ICT Security, ma anche di OT?).
Se poi, finalmente, trovate un “vero esperto” di OT/ICS Cyber Security avete fatto tombola! (ma non sono molti sulla piazza…)
2) Trovato il vostro “vero esperto di OT/ICS Cyber Security”, fategli fare una “foto” del vostro impianto: commissionategli un “OT/ICS Security/vulnerability assessment”. Ma, fate attenzione, per favore: a) non chiedetegli di farvelo gratis o con un budget troppo risicato; b) assicuratevi che vengano utilizzati metodologie e tool adatti al mondo industriale: il rischio porrebbe essere un blocco del sistema di controllo e probabilmente anche dell’impianto; c) identificate e delimitate il perimetro/scopo dell’assessment, per evitare che si allarghi anche alla rete aziendale (ma se avete una unica “rete piatta”, senza segmentazioni, allora avete un problema in più) …(*)
Ma questo il “vero esperto” di OT/ICS Security, lo sa sicuramente…!
3) Finalmente, con in mano il report dell’assessment e con in mente come è fatto l’impianto e come è fatta la rete dei sistemi di controllo, iniziamo a ragionare su cosa fare. Quali sono gli assett da proteggere, quali sono quelli più importanti e più critici, cosa possiamo permetterci di “sacrificare” in caso di incidente, senza recare danni a persone, impianti ed ambiente. In definitiva quali sono i rischi, non solo informatici, ma soprattutto,
Quali sono i rischi per il processo controllato dal sistema di controllo?
4) Identificati i punti critici, troviamo il modo di proteggerli in modo adeguato. Se il problema è relativo a FT/HA (Fault Tolerance/High Availability) del sistema, pensiamo a ridondare quella parte dei componenti del sistema che potrebbero rappresentare dei punti deboli (**).
Identifichiamo i single-point-of-failure.
5) Se dobbiamo proteggere da accessi, intrusioni, malware, connessioni non controllate con protocolli industriali, e simili minacce, adottiamo dispositivi pensati appositamente per questi scopi (soluzioni od appliance non specifiche per il modo OT, potrebbero non essere adeguati! (***) e soprattutto
i Firewall IT, configurati con le regole dell’IT, potrebbero non essere adeguati!
6) Pensiamo alla continuità operativa, alla resilienza per l’impianto ed il sistema: come meglio sopravvivere ad un evento avverso e tornare operativi in tempi brevi.
Facciamo e gestiamo i back-up dei software di PC, Server, ma anche dei PLC!
7) Monitoriamo lo stato di salute dell’infrastruttura, dei componenti, della rete, dei dispositivi e sistemi collegati,
con sistemi per identificare “eventi anomali”
In conclusione, per non fare diventare questo post troppo lungo:
gli strumenti per fare OT/ICS Security ci sono, basta scegliere quelli giusti.
E, se vi siete posti il problema, come ha fatto il mio Cliente/amico, allora siete già a buon punto.
Se ne volete sapere di più, potete anche dare un occhio qui.
(*) un ottimo tool, totalmente passivo, per fare un OT/ICS vulnerability assessment profondo ed attendibile è quello sviluppato e proposto da CyberX-Labs
(**) EverRun di Stratus è la soluzione più efficace e semplice per rendere applicazioni OT/ICS Fault Tolerant, con Uptime del 99,9999%
(***) la soluzione Opshield di Wurldtech è proprio fatta per bloccare eventuali accessi a PLC, traffico, connessioni e comandi non leciti a livello di rete di fabbrica