Nei giorni scorsi mi chiama un Cliente (ed amico), amministratore delegato e socio di maggioranza di una media industria chimica con un impianto in Italia ed un’altro in un paese nell’est Europa.

Dopo gli auguri di buon anno ed i convenevoli di rito, iniziamo una fitta conversazione in cui emerge che, durante la pausa di fine anno gli è capitato di vedere in TV un documentario in cui un incidente informatico ad un sistema di controllo di un impianto chimico provoca un serio danno ambientale.

Ad un certo punto a bruciapelo mi chiede: “So che me ne hai parlato tante volte, ma ora dimmi: per mettere in sicurezza il mio impianto,

cosa dovremmo fare per proteggere i nostri sistemi di fabbrica?

So bene non bisogna mischiare business ed amicizia e che non esistono ricette e pozioni magiche per affrontare il tema della Security che siano valide in ogni contesto, ma questa domanda mi ha costretto a ragionare in fretta ed ecco allora un mia breve lista di cose che oggi farei:

1) A chi rivolgersi, e come trovare qualcuno che ne capisca? Iniziamo con cercare un esperto di cyber security (e fin qui è facile, ce ne sono un sacco: tutti sanno tutto di ICT Security, se poi sia anche bravo, è da controllare). E che almeno ne sappia qualcosa di Automazione Industriale (e qui è un poco più difficile: tutti sanno tutto di ICT Security, ma anche di OT?).

Se poi, finalmente, trovate un “vero esperto” di OT/ICS Cyber Security avete fatto tombola! (ma non sono molti sulla piazza…)

2) Trovato il vostro “vero esperto di OT/ICS Cyber Security”, fategli fare una “foto” del vostro impianto: commissionategli un “OT/ICS Security/vulnerability assessment”. Ma, fate attenzione, per favore: a) non chiedetegli di farvelo gratis o con un budget troppo risicato; b) assicuratevi che vengano utilizzati metodologie e tool adatti al mondo industriale: il rischio porrebbe essere un blocco del sistema di controllo e probabilmente anche dell’impianto; c) identificate e delimitate il perimetro/scopo dell’assessment, per evitare che si allarghi anche alla rete aziendale (ma se avete una unica “rete piatta”, senza segmentazioni, allora avete un problema in più) …(*)

Ma questo il “vero esperto” di OT/ICS Security, lo sa sicuramente…!

3) Finalmente, con in mano il report dell’assessment e con in mente come è fatto l’impianto e come è fatta la rete dei sistemi di controllo, iniziamo a ragionare su cosa fare. Quali sono gli assett da proteggere, quali sono quelli più importanti e più critici, cosa possiamo permetterci di “sacrificare” in caso di incidente, senza recare danni a persone, impianti ed ambiente. In definitiva quali sono i rischi, non solo informatici, ma soprattutto,

Quali sono i rischi per il processo controllato dal sistema di controllo?

4) Identificati i punti critici, troviamo il modo di proteggerli in modo adeguato. Se il problema è relativo a FT/HA (Fault Tolerance/High Availability) del sistema, pensiamo a ridondare quella parte dei componenti del sistema che potrebbero rappresentare dei punti deboli (**).

Identifichiamo i single-point-of-failure.

5) Se dobbiamo proteggere da accessi, intrusioni, malware, connessioni non controllate con protocolli industriali, e simili minacce, adottiamo dispositivi pensati appositamente per questi scopi (soluzioni od appliance non specifiche per il modo OT, potrebbero non essere adeguati! (***) e soprattutto

i Firewall IT, configurati con le regole dell’IT, potrebbero non essere adeguati!

6) Pensiamo alla continuità operativa, alla resilienza per l’impianto ed il sistema: come meglio sopravvivere ad un evento avverso e tornare operativi in tempi brevi.

Facciamo e gestiamo i back-up dei software di PC, Server, ma anche dei PLC!

7) Monitoriamo lo stato di salute dell’infrastruttura, dei componenti, della rete, dei dispositivi e sistemi collegati,

con sistemi per identificare “eventi anomali”

In conclusione, per non fare diventare questo post troppo lungo:

gli strumenti per fare OT/ICS Security ci sono, basta scegliere quelli giusti.

E, se vi siete posti il problema, come ha fatto il mio Cliente/amico, allora siete già a buon punto.

Se ne volete sapere di più, potete anche dare un occhio qui.