• Come proteggere i sistemi di controllo industriali dagli attacchi informatici

Worker with tablet computer in front of oil rig, oil and gas, sustainability reporting, internet of things.
L'approccio “Defense-in-Depth”, sviluppato dalla National Security Agency (NSA) e implementato nella strategia di sicurezza informatica di Schneider Electric

Oggi le agenzie federali riconoscono la sempre maggiore minaccia derivante dall'intrusione informatica e stanno prendendo delle contromisure per proteggere i propri sistemi di controllo industriali (ICS), che includono i sistemi di gestione energetica e degli edifici, SCADA e sistemi PLC. Tuttavia il miglioramento della sicurezza informatica rimane una problematica costante e in continua evoluzione.

Gli attacchi informatici aumentano ogni anno

Secondo uno studio del 2013 sui costi dei crimini informatici condotto dal Ponemon Institute, il costo annuale medio dei crimini informatici per quell'anno è risultato essere 11,6 milioni di dollari; la risoluzione di un attacco ha richiesto, in media, 65 giorni. Il team U.S. Computer Emergency Readiness (CERT) ha riscontrato che il numero di incidenti di sicurezza informatica comunicati dalle agenzie federali è aumentato del 782% fra il 2006 e il 2012. Oltre agli aspetti economici, le agenzie federali devono prendere in considerazione anche le conseguenze degli attacchi informatici relative all’impatto sulla loro mission e sulle vite dei cittadini.

Frost & Sullivan, una società di ricerca, analisi e consulenza di mercato globale, comunica che i vettori degliattacchi informatici possono essere: intrusione fisica, fattori umani, mancanza di competenze di sicurezza e buchi di sicurezza della rete.

Un attacco informatico può causare perdite significative a causa dei tempi di inattività o dell'interruzione della produzione o dei processi, oltre ai danni alle apparecchiature e alle infrastrutture, e può comportare il rischio di sanzioni per la mancata conformità alle normative. La maggior parte degli utenti finali ha intrapreso alcune azioni per proteggersi dagli attacchi informatici, ma l'eliminazione delle vulnerabilità richiede di superare diversi ostacoli.

Barriere al miglioramento della sicurezza informatica

Secondo la ricerca di Frost & Sullivan, le barriere che ostacolano il miglioramento della sicurezza informatica da parte delle agenzie federali includono:

  • Natura aperta e collaborativa dei sistemi di controllo industriali: molte agenzie federali hanno adottato sistemi aperti per i loro vantaggi di produttività; tuttavia i sistemi aperti sono più vulnerabili agli attacchi.
  • Consapevolezza ed azioni degli utenti finali inadeguate: gli utenti potrebbero non essere consapevoli dei rischi degli attacchi informatici o essere esitanti a implementare strategie di sicurezza per paura di avere un impatto sul funzionamento del sistema.
  • Maggiore ricorso a soluzioni informatiche pronte all'uso: le considerazioni economiche e la facilità di utilizzo e integrazione hanno portato le agenzie ad adottare soluzioni informatiche standardizzate, esponendosi alle minacce che mirano a sistemi simili utilizzati nel settore commerciale.
  • Mancanza di competenze: una forza lavoro industriale concentrata sull'automazione e sui sistemi di processo non ha necessariamente le competenze richieste relative alle reti informatiche industriali.

Una strategia di protezione e prevenzione

Per poter affrontare queste barriere, molte agenzie stanno stringendo partnership con i fornitori di soluzioni per migliorare la sicurezza sia nei sistemi nuovi che in quelli esistenti. Ad esempio, l'approccio “Defense-in-Depth” (difesa approfondita), sviluppato dalla National Security Agency (NSA), sta alla base di una strategia multilivello che fornisce una sicurezza di tipo olistico in tutta l'impresa industriale.

Schneider Electric, in partnership con il fornitore di soluzioni software Industrial Defender, offre una piattaforma unificata per la sicurezza, la conformità e la gestione dei cambiamenti basata sull'approccio Defense-in-Depth. Un'opzione della soluzione è la creazione di "liste bianche" che bloccano potenziali minacce consentendo l'esecuzione in una rete solo delle applicazioni autorizzate.

Sebbene l'approccio Defense-in-Depth incoraggi le agenzie a creare e implementare una strategia di sicurezza informatica completa, una comune concezione erronea è che si tratti di un approccio "tutto o niente". Ma è anche possibile procedere a miglioramenti della sicurezza in fasi progressive.

Implementazione di un piano in fasi progressive

Secondo il principio di Pareto, circa l'80% degli impatti deriva dal 20% delle cause. Riconoscendo che il motivo della mancanza di azione possa talvolta essere semplicemente l'enormità del compito da affrontare, la suddivisione della strategia di sicurezza informatica in fasi progressive è un approccio valido:

Passo 1:Identificare l'impatto maggiore su un'organizzazione in termini di violazione della sicurezza.

Passo 2:Individuare quale area specifica del funzionamento dello stabilimento è collegata a tale impatto.

Passo 3:Delineare le principali vulnerabilità relative a quest'area di operazione.

Passo 4:Minimizzare o eliminare tali vulnerabilità.

Dopo avere eseguito queste fasi, un’organizzazione può passare all'area di impatto successiva o al successivo problema di vulnerabilità. Piuttosto di aggiornare un intero sistema in una sola volta e diventare vittima della "paralisi da analisi", un approccio fase per fase mirato assicura che le modifiche più significative e con il maggiore impatto avvengano immediatamente. Inoltre impedisce che l'organizzazione disperda eccessivamente le risorse e consente di ottenere il migliore rapporto qualità-prezzo per ogni dollaro investito.

Per maggiori informazioni su come proteggere i sistemi di controllo industriali dagli attacchi informatici, scaricate il white paper "Cybersecurity for Industrial Automation & Control Environments".

Ulteriori informazioni (PDF, 1.05 Mb)