Articolo di Enzo M. Tieghi
Dall’inizio della pandemia di COVID-19, le aziende di produzione, anche in Italia, hanno dovuto affrontare un’ondata di criminalità informatica: le attività industriali sono un obiettivo primario per gli hacker e le conseguenze di un ransomware o di un data breach con successivo denial-of-service possono essere danni di vasta portata, riportando in tema sicurezza OT tra le priorità.
Il volume crescente di attacchi informatici alle aziende a livello globale mostra che qualsiasi azienda può essere bersaglio di attacchi dannosi sia nell’industria che nelle utility.
Secondo il Rapporto Clusit 2022 nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi.
Di questi attacchi, alcuni osservatori hanno registrato che uno su dieci intendeva ottenere il controllo di un dispositivo OT o Internet of Things (IoT), e questo indica una tendenza a prendere di mira la continuità del sistema piuttosto che i dati convenzionali, ma entrambi i fattori insieme sono motivo di allarme tra le imprese industriali di tutte le dimensioni.
Gli hacker prendono di mira tutti i tipi di aziende, dalle start-up alle organizzazioni globali, e si concentrano maggiormente sul numero crescente di reti, dispositivi e sistemi connessi a Internet che in precedenza erano isolati.
Le conseguenze della compromissione di un dispositivo vanno dall’estrazione dei dati allo spegnimento del servizio, e comunque gli impatti finanziari e produttivi per un’attività industriale sono spesso significativi.
Purtroppo non esiste un’unica soluzione rapida per rafforzare la sicurezza informatica a causa dei vari tipi di incidenti che possono verificarsi: alcuni attacchi informatici sono complessi e sofisticati, altri meno. Molti attacchi ai dispositivi sono proprio elementari, il che significa che basterebbe mettere in campo poche misure che le aziende industriali possono intraprendere per ridurre al minimo i rischi.
ServiTecno da un paio di decenni si occupa attivamente del tema Industrial Cyber Security in ambiente Industriale / Operazionale.
Una cosa comune che abbiamo osservato quando si usa hardware e il software di automazione è che molti manutentori non aggiornano regolarmente il software di automazione ed anche il firmware è spesso trascurato.
Al contrario, c’è la tendenza a vedere l’automazione come un acquisto una tantum: una volta installata l’applicazione si lascia intatta e la si dimentica, lasciandola nel suo stato iniziale.
L’hardware può essere mantenuto fisicamente in base a una pianificazione regolare, ma il software, che è un asset intangibile ed invisibile, viene spesso trascurato.
Per quanto riguarda i PLC installati su impianti e macchine automatizzati, il firmware più è vecchio e più è suscettibile di vulnerabilità di sicurezza note, lasciate senza patch, come ad esempio algoritmi di autenticazione deboli, tecnologie di crittografia obsolete o backdoor per un accesso non autorizzato.
Per PLC, le versioni obsolete del firmware potrebbero consentire ad aggressori informatici con un minimo skill, di modificare lo stato del modulo in modalità arresto, determinando un denial-of-service dell’impianto che interrompe la produzione o impedisce l’esecuzione di processi critici.
I produttori di PLC aggiornano regolarmente il firmware per garantire che sia robusto e sicuro di fronte al panorama informatico in evoluzione, ma non c’è un intervallo prestabilito tra questi aggiornamenti.
In alcuni casi, gli aggiornamenti vengono rilasciati nei giorni o nelle settimane successivi alla scoperta di una vulnerabilità, per ridurre al minimo il rischio per l’utilizzatore. Le informazioni sull’aggiornamento della versione del firmware di solito evidenziano eventuali exploit che sono stati corretti.
Come scoprire se il livello di firmware del PLC può contenere vulnerabilità? Per queste informazioni ci possono essere i siti dei vendor stessi o i siti dei database delle Common Vulnerabilities and Exposures (CVE) specifiche per i sistemi di controllo industriali, come ad esempio quello di ICS-CERT di CISA-US.
Tuttavia, è importante notare che alcuni PLC legacy potrebbero non avere più aggiornamenti del firmware se il produttore non c’è più o se il sistema ha raggiunto l’obsolescenza.
Come contromisura, molti optano per l’air-gap dei vecchi PLC per ridurre al minimo il rischio di sicurezza informatica, ma la mancanza di aggiornamento del firmware può anche creare problemi di interoperabilità con altri dispositivi collegati. A volte dispositivi sulla rete di fabbrica, come ad esempio uno switch che viene aggiornato, possono causare problemi di comunicazione e compatibilità con vecchi PLC attivi con versioni precedenti: questo è un altro motivo per cui i sistemi dovrebbero essere aggiornati con le patch software più recenti.
In pratica, si dovrebbe investire in un PLC più moderno per ridurre al minimo i rischi e, a causa del tasso di innovazione dei PLC negli ultimi anni, probabilmente si avrebbe anche un vantaggio dato dalle performance e da maggiore funzionalità allo stesso tempo.
Purtroppo le vulnerabilità del firmware sono inevitabili, indipendentemente da marca e modello del PLC.
Per saperne di più potete rivolgervi ad esperti. In ServiTecno, da anni siamo in grado di evidenziare, con appositi tool, eventuali vulnerabilità su reti, dispositivi e sistemi industriali. Ciò comporta non solo il supporto con gli aggiornamenti del firmware non appena disponibili, ma anche una guida su verso una più ampia resilienza del sistema per garantire che le Aziende di produzione siano il più al sicuro possibile dalle vulnerabilità software ma anche hardware.
Il trend ad oggi ci dimostra che la crescita degli attacchi informatici continuerà a lungo, ben oltre la fine della pandemia di COVID-19, e le infrastrutture OT e l’automazione sono sempre più prese di mira, diventando sempre più obiettivi critici. Può sembrare un passaggio semplice, ma adottare un approccio di aggiornamento del firmware come quello che facciamo con i computer convenzionali può aiutare i manutentori a proteggere le Operation e mantenere i sistemi in stato di maggior sicurezza.
Volete un parere da chi si occupa di OT/ICS Cyber Security da più di 15 anni?
