by Enzo Maria Tieghi

Nei giorni scorsi mi chiama un Cliente (ed amico), amministratore delegato e socio di maggioranza di una media industria chimica con un impianto in Italia ed un’altro in un paese nell’est Europa.

Dopo gli auguri di buon anno ed i convenevoli di rito, iniziamo una fitta conversazione in cui emerge che, durante la pausa di fine anno gli è capitato di vedere in TV un documentario in cui un incidente informatico ad un sistema di controllo di un impianto chimico provoca un serio danno ambientale.

Ad un certo punto a bruciapelo mi chiede: “So che me ne hai parlato tante volte, ma ora dimmi: per mettere in sicurezza il mio impianto,

cosa dovremmo fare per proteggere i nostri sistemi di fabbrica?

So bene non bisogna mischiare business ed amicizia e che non esistono ricette e pozioni magiche per affrontare il tema della Security che siano valide in ogni contesto, ma questa domanda mi ha costretto a ragionare in fretta ed ecco allora un mia breve lista di cose che oggi farei:

1) A chi rivolgersi, e come trovare qualcuno che ne capisca? Iniziamo con cercare un esperto di cyber security (e fin qui è facile, ce ne sono un sacco: tutti sanno tutto di ICT Security, se poi sia anche bravo, è da controllare). E che almeno ne sappia qualcosa di Automazione Industriale (e qui è un poco più difficile: tutti sanno tutto di ICT Security, ma anche di OT?).

Se poi, finalmente, trovate un “vero esperto” di OT/ICS Cyber Security avete fatto tombola! (ma non sono molti sulla piazza…)

2) Trovato il vostro “vero esperto di OT/ICS Cyber Security”, fategli fare una “foto” del vostro impianto: commissionategli un “OT/ICS Security/vulnerability assessment”. Ma, fate attenzione, per favore: a) non chiedetegli di farvelo gratis o con un budget troppo risicato; b) assicuratevi che vengano utilizzati metodologie e tool adatti al mondo industriale: il rischio porrebbe essere un blocco del sistema di controllo e probabilmente anche dell’impianto; c) identificate e delimitate il perimetro/scopo dell’assessment, per evitare che si allarghi anche alla rete aziendale (ma se avete una unica “rete piatta”, senza segmentazioni, allora avete un problema in più) …(*)

Ma questo il “vero esperto” di OT/ICS Security, lo sa sicuramente…!

3) Finalmente, con in mano il report dell’assessment e con in mente come è fatto l’impianto e come è fatta la rete dei sistemi di controllo, iniziamo a ragionare su cosa fare. Quali sono gli assett da proteggere, quali sono quelli più importanti e più critici, cosa possiamo permetterci di “sacrificare” in caso di incidente, senza recare danni a persone, impianti ed ambiente. In definitiva quali sono i rischi, non solo informatici, ma soprattutto,

Quali sono i rischi per il processo controllato dal sistema di controllo?

4) Identificati i punti critici, troviamo il modo di proteggerli in modo adeguato. Se il problema è relativo a FT/HA (Fault Tolerance/High Availability) del sistema, pensiamo a ridondare quella parte dei componenti del sistema che potrebbero rappresentare dei punti deboli (**).

Identifichiamo i single-point-of-failure.

5) Se dobbiamo proteggere da accessi, intrusioni, malware, connessioni non controllate con protocolli industriali, e simili minacce, adottiamo dispositivi pensati appositamente per questi scopi (soluzioni od appliance non specifiche per il modo OT, potrebbero non essere adeguati! (***) e soprattutto

i Firewall IT, configurati con le regole dell’IT, potrebbero non essere adeguati!

6) Pensiamo alla continuità operativa, alla resilienza per l’impianto ed il sistema: come meglio sopravvivere ad un evento avverso e tornare operativi in tempi brevi.

Facciamo e gestiamo i back-up dei software di PC, Server, ma anche dei PLC!

7) Monitoriamo lo stato di salute dell’infrastruttura, dei componenti, della rete, dei dispositivi e sistemi collegati,

con sistemi per identificare “eventi anomali”

In conclusione, per non fare diventare questo post troppo lungo:

gli strumenti per fare OT/ICS Security ci sono, basta scegliere quelli giusti.

 

E, se vi siete posti il problema, come ha fatto il mio Cliente/amico, allora siete già a buon punto.

Se ne volete sapere di più, potete anche dare un occhio qui.

Richiesta informazioni

Contatta il nostro servizio di assistenza per ricevere maggiori informazioni.

Registrati gratuitamente per ricevere la newsletter e accedere liberamente a white paper e case histories