È passato poco tempo da quando le aziende hanno iniziato a prendere consapevolezza dei rischi per il proprio business derivanti dalle minacce informatiche. Nel mondo IT, gli attacchi alla rete sono limitati – si fa per dire – alla riservatezza, all’integrità e alla disponibilità di dati e sistemi. L’impatto ha uno scopo prettamente finanziario, a parte alcuni sporadici casi che vedono coinvolti “paladini della giustizia”, che sfruttano l’online come veicolo per la salvaguardia dei diritti personali negli Stati opprimenti e liberticidi. Le conseguenze già in questo caso possono essere devastanti a livello di business, con aziende che si trovano sottoposte a estorsioni, frodi o attacchi Denial of Service e chi più ne ha più ne metta. Ma esiste un pericolo ancora più terribile per le industrie.
Oggi troviamo ovunque sistemi di controllo industriali (ICS), dalle reti di distribuzione di acqua, gas ed elettricità, ma anche reti di trasporti, fino alle linee di produzione. I sistemi di controllo industriale guidano quindi il mondo fisico in cui vengono utilizzate le tecnologie operative, denominate OT. I cybercriminali hanno iniziato a prendere di mira propri questi sistemi: è qui che si inizia a parlare di OT Security.
I rischi per gli ambienti ICS coinvolgono minacce ben peggiori di quelle presenti nell’area IT, perché arrivano a minare l’integrità fisica degli strumenti di produzione e di conseguenza anche delle persone che lavorano tutti i giorni su queste linee. Non solo un blocco totale della produzione quindi: è per questo che subentra anche una responsabilità civile e penale dei dirigenti nei confronti della messa in sicurezza dei sistemi ICS.
In sostanza, oggi nessuna azienda può fare a meno di affiancare a una puntuale strategia cybersecurity nel mondo IT, anche un sistema di monitoraggio in ambito OT, per tenere sotto controllo e rilevare tempestivamente eventuali anomalie. Nuove importanti sfide aspettano quindi tutte le organizzazioni, che non possono sicuramente dormire sonni tranquilli di fronte alle continue minacce che arrivano dal cybercrime.
OT Security, cos’è e quali sono i punti di convergenza con l’IT
Nel termine OT Security si intendono tutte quelle strategie finalizzate alla messa in sicurezza delle componenti hardware, dei sistemi di controllo di processi e asset di natura fisica, che si trovano, come detto, in infrastrutture critiche come Oil&Gas, Energia e Telco, e in linea generale in ogni ambito industriale.
L’affermazione dell’Industria 4.0 e il processo di trasformazione digitale in atto portano a corredo la completa diffusione dell’IoT nel settore industriale, ma soprattutto una sempre più netta convergenza tra il mondo IT e quello OT.
Questo significa che device di produzione vengono collegati in rete, nonostante non fossero progettati per questo scopo; inoltre, anche macchinari che finora erano confinati all’offline iniziano a scambiare dati ed essere controllati da app e sistemi IT. Inizia quindi una profonda collaborazione tra i due reparti.
Non essendo progettati per una connessione con l’infrastruttura IT, per i sistemi di controllo industriale – fino a poco tempo fa – non c’era una vera e propria policy di sicurezza informatica. Si era sicuramente sottovalutata la possibilità di un attacco alla rete, e ci si concentrava solo alla sicurezza fisica e alla continuità operativa.
Attacco alla rete OT: ecco come avviene
Capita spesso che sui sistemi industriali vengano installati degli strumenti per un’amministrazione remota, che permettono a utenti al di fuori del perimetro aziendale di accedere a computer interni, per effettuare manutenzione, per eseguire diverse operazioni come l’aggiornamento di software o download di nuovo firmware, senza recarsi sull’impianto.
Ogni accesso alla rete OT è però un potenziale vettore d’attacco. Ma come avviene un attacco?
Innanzitutto, l’hacker parte da una fase di recognize per valutare l’organizzazione dal punto di vista tecnico e umano, ossia le reti di cui dispone, le persone che vi lavorano, i macchinari utilizzati, fino agli appalti pubblici vinti e gli effetti che un attacco potrebbe avere. In sostanza, una completa valutazione del target.
Successivamente, studia come violare la rete e installare il malware.
I punti di accesso sono diversi:
- acquisizione di una workstation: l’hacker sfrutta strategie IT in senso stretto per diffondere il malware all’interno della rete e raggiungere così una workstation di dominio industriale. Tra queste sicuramente le workstation “SCADA” per la supervisione e acquisizione dati sono gli obiettivi prediletti perché contengono informazioni sui processi industriali molto importanti;
- spoofing dell’accesso remoto autorizzato per una terza parte: il cybercriminale si avvale di un accesso remoto autorizzato per una terza parte, come può essere una connessione VPN utilizzata solo per determinati indirizzi IP;
- Hijacking di un collegamento wireless: l’attaccante sfrutta una vulnerabilità nei collegamenti wireless per ottenere l’accesso alla rete di controllo industriale.
- Accesso diretto alle apparecchiature ICS: l’hacker ottiene un accesso diretto alla rete in struttura, come può essere un cabinet lungo l’asse di distribuzione (particolarmente frequente nel settore dei trasporti). Questo chiaramente avviene se l’attaccante è presente fisicamente in azienda.
- Installazione di un componente fisico per modificare la rete da remoto: l’attaccante installa un modulo remote-control nella rete industriale, come può essere un Raspberry Pi miniaturizzato con una batteria e un modem 4G, che gli consente di accedere alla rete da remoto.
In sostanza, l’installazione del malware avviene mediante accesso all’infrastruttura IT, per poi spostarsi verso la rete industriale, oppure direttamente negli ICS.
Una delle migliori soluzioni per aumentare la sicurezza dell’OT?
Scegli con noi Cisco CyberVision!
La scelta migliore per monitorare l’infrastruttura OT e avere la piena visibilità delle reti industriali: in questo modo si potrà garantire la continuità dei processi, l’integrità dei macchinari di produzione e di conseguenza salvaguardare la sicurezza delle persone che lavorano.
Una soluzione valida anche in ottica awareness, per far sì che tutti – a livello industriale – siano tutti finalmente consapevoli dell’enorme rischio che la produzione e soprattutto le persone stesse stanno correndo.
Segui e la nostra Community e scopri tutte le funzionalità di Cisco Cybervision!