In questo articolo darò alcuni riferimenti per implementare un approccio metodologico, sviluppato sulla base di esperienze internazionali, con l’impiego di uno standard specifico, l’IEC62443, per la difesa cibernetica delle infrastrutture critiche necessarie al funzionamento del Paese.
La situazione nella quale stiamo vivendo ci sta mostrando ogni giorno che le guerre cyber hanno caratteristiche completamente differenti dai conflitti tradizionali. Un attacco cyber segue i principi della guerra asimmetrica: non c’è un fronte ben definito, gli attacchi possono arrivare qualunque punto ed in qualunque momento. Anche con risorse tutto sommato limitate si possono creare danni sostanziali: la protezione pertanto deve essere diffusa, aggiornata e strutturata secondo criteri solidi, validati e condivisi.
Nel mondo delle infrastrutture critiche, la continuità di erogazione dei servizi di pubblica utilità ha la massima priorità e deve essere mantenuta, per assicurare che non si verifichino danni alle persone, all’ambiente, ai sistemi di processo. Danni che potrebbero arrivare a causare ingenti perdite di vite umane e di capitali finanziari.
In quest’ottica la normativa NIS ha dato un forte contributo nella individuazione degli obiettivi critici, nella individuazione dei rischi e ha permesso di prendere coscienza delle reali misure di protezione cibernetica esistenti nel Paese.
Compiuto il primo passo, è importante che venga ora presa in considerazione la specificità dei sistemi di controllo industriale che rappresentano quasi sempre il cuore pulsante di un’infrastruttura che fornisce servizi essenziali. Pensiamo a un DCS (Distribuited Control System) in un impianto petrolchimico o in una industria farmaceutica, a uno SCADA (Supervision Control And Data Acquisition) in una rete di distribuzione elettrica, del gas o dell’acqua potabile, a un sistema BMS (Building Management System) per il controllo di una struttura ospedaliera. Ebbene tutte queste infrastrutture hanno la necessità di venire protette in modo puntuale per assicurare il loro funzionamento, secondo regole che siano chiare, ben definite e di facile applicazione, in termini di tecnologie e processi. E che siano comprensibili ed applicabili in un contesto che non è quello puramente dedicato all’Information Technology (IT), ma che è influenzato dal modus operandi di chi interagisce con il mondo cyber-fisico, e spesso non ha un background approfondito in IT.
Safety e Security
Nel vocabolario dei sistemi di controllo industriale si usa una terminologia derivata dalla lingua anglosassone che distingue tra Safety e Security.
In italiano non abbiamo questa distinzione, da noi si parla di “sicurezza” in senso omnicomprensivo, ma la distinzione anglofona ha un suo perché: “Safety” ha a che fare con la sicurezza HSE, cioè Health, Safety & Environment” (letteralmente: Salute, Sicurezza e Ambiente), mentre “Security” si occupa di sicurezza dei dati, che nel mondo industriale non sono però quelli relativi ai dati personali, quanto ai dati necessari a mantenere un processo attivo e funzionante in modo corretto.
In alcuni impianti sono presenti sistemi preposti alla salvaguardia della Safety, i cosiddetti Safety Instrumented Systems (SIS) che hanno il compito di agire come estrema linea di difesa prima che un sistema possa produrre un danno catastrofico. A titolo di esempio, i SIS sono i sistemi che sovraintendono ad uno shut-down di emergenza prima che possa avvenire una esplosione in un reattore di processo, alla chiusura di una parte di impianto soggetta ad un incendio, in modo che l’incendio non si propaghi, sono i sistemi che regolano il traffico in un tunnel. Ebbene questi sistemi devono già rispettare dei livelli di sicurezza SIL (Safety Integrity Level ) ben precisi che vengono definiti da standard internazionali (tra gli altri l’IEC 61511, IEC61508), ripresi anche da leggi nazionali che danno delle scale di sicurezza da rispettare in funzione dei rischi da mitigare valutati sui danni che potrebbero essere causati da un loro malfunzionamento.
La scala di sicurezza per la safety va da SIL1: valore minimo, a SIL4: massima sicurezza per l’impianto.
Il rispetto dei SIL è una pratica utilizzata da tempo e accettata in tutti i comparti industriali e nelle infrastrutture critiche e consente di definire in modo chiaro e preciso come proteggere l’uomo, sia esso un lavoratore, un utente o un cittadino da danni che possono essere causati dai macchinari, intesi nel loro senso piu’ esteso.
Analogamente al metodo di classificare la sicurezza “safety” con una scala di facile comprensione ed applicabilità, esiste uno standard “de facto” specifico per la protezione dei sistemi di controllo industriale OT (Operational Technology) da attacchi cibernetici: l’IEC62443, che sta ormai assumendo una valenza orizzontale, cioè valida in ogni contesto infrastrutturale ove vi siano da proteggere sistemi o reti dalle azioni malevole dell’uomo (security).
Lo standard è nato negli Stati Uniti all’inizio degli anni 2000 come ISA99 (International Society of Automation) ed è stato poi recepito a livello internazionale come IEC62443 (International Electrotechnical Commission). Una delle parti di questo standard (il modulo 3-3) definisce proprio, in funzione dei rischi e delle minacce da cui proteggersi, dei livelli di sicurezza SL (Security Level) cyber da implementare.
Quali sono le minacce? Come possono essere classificate, per poi implementare delle misure di protezione?
A tal proposito vi sono diverse classificazioni, ma una delle più efficaci è quella dell’FBI che ne identifica le seguenti:
Lo standard IEC62443-3-3 definisce i Security Level, come livelli di sicurezza da implementare, in funzione di parametri di rischio riconducibili alle minacce sopraelencate, basate su quattro principali fattori: Motivazioni, Skills, Mezzi e Risorse.
L’applicazione di un livello di sicurezza SL4 consente ad una infrastruttura critica di avere una altissima protezione per far fronte ad attacchi di guerra cibernetica scatenati da APT (Advanced Persistent Threats), da organizzazioni cioè che dispongono di risorse estese, mezzi sofisticati, conoscenze approfondite nell’ambito dei Sistemi di Controllo Industriale (ICS) e che hanno forti motivazioni.
Come e perché valutare un Security Level SL?
Un SL rappresenta un parametro oggettivo, non soggetto a derive che possono essere ereditate dalla esperienza del singolo, dalla forza di convincimento di un technology supplier o alla storia aziendale pregressa. Lo standard IEC62443 definisce 7 parametri (Functional Requirements) su cui valutare il livello di sicurezza: Identification Authentication Control, User Control, Data Integrity, Data Confidentiality, Restricted Data Flow, Timely Response to Events, System Availability.
Ciascun FR ha dei Controlli Supplementari da rispettare, in funzione del grado di sicurezza da ottenere. Per arrivare a valutare un SL vi sono delle check list puntuali per sistemi e reti, con piu’ di 100 items da controllare.
Qual è il vantaggio di introdurre un approccio “standard based” per proteggere le infrastrutture del Paese? Un approccio di questo tipo dà la possibilità di definire, con chiarezza, un livello minimo di sicurezza, basato sul rischio che un attacco cyber potrebbe avere sulla infrastruttura stessa.
Dal lato dell’operatore, si propone un modello di classificazione che e già entrato nel suo modus operandi per quanto riguarda la sicurezza fisica con i livelli SIL definiti in precedenza. E come ulteriore beneficio, si dà agli operatori la possibilità di definire un percorso di messa in sicurezza sviluppabile a “milestones” al fine di raggiungere un Security Level Target chiaro, in un lasso di tempo ragionevole.
L’approccio della implementazione di protezioni cyber secondo la IEC62443 con Security Level è sempre più diffuso in ambito internazionale. Infatti, oggi molti progetti, soprattutto all’estero, richiedono il rispetto dei livelli SL2 o SL3, laddove le infrastrutture siano ritenute critiche e gli effetti di attacchi malevoli possano avere conseguenze per la popolazione o l’ambiente.
A tal proposito, basti ricordare come nel 2015, in seguito all’attacco cyber BlackEnergy alla rete elettrica di Kiev, che creò un blackout a metà della città, analisi forensi abbiano dimostrato che l’implementazione di un Security Level 2 nel sistema di controllo della rete elettrica avrebbe evitato che l’exploit andasse a buon fine.
Conclusioni
Concludendo, credo che sia giunto il momento di prestare particolare attenzione non solo alla difesa della privacy dei dati personali o alla conservazione dei dati di business, ma anche alla difesa delle infrastrutture critiche in termini di continuità di funzionamento e di rischi HSE, applicando uno standard che sia dedicato alla protezione cyber dei sistemi di controllo industriale in senso lato, come l’IEC61443.
È importante che vi sia attenzione nel dare agli operatori dei servizi essenziali guide certe, per implementare misure di protezione dei sistemi di controllo omogenee. Dovrebbero essere richiesti dei livelli di cybersicurezza minimi, tali da proteggere la Security delle infrastrutture critiche, così come già avviene per la Safety. La protezione delle infrastrutture e dei sistemi di controllo industriale del Paese deve essere impostata con standard specifici, e livelli di sicurezza oggettivi e misurabili, altrimenti potremmo correre il rischio di trovarci al buio o senz’acqua, ma con i dati personali delle nostre bollette ben custoditi e conservati.
Umberto Cattaneo (IEC62443 certified specialist, PMP)
Referenze:
QUICK START GUIDE: AN OVERVIEW OF ISA/IEC 62443 STANDARDS, ISA GLOBAL CYBERSECURITY ALLIANCE,
https://gca.isa.org/blog/download-the-new-guide-to-the-isa/iec-62443-cyb...
THE 62443 SERIES OF STANDARDS: INDUSTRIAL AUTOMATION AND CONTROL SECURITY, ISA99 COMMITTEE
BlackEnergy: https://attack.mitre.org/software/S0089/ https://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-14-281-01B
