Regent 2B
Sicurezza
 

08/03/2016

Share    

di Paolo Morati

Controllo industriale, la sicurezza non è cosa da poco

I sistemi di controllo delle infrastrutture critiche si occupano di supervisionare e acquisire i dati fisici dei sistemi industriali. Nozomi Networks propone una tecnologia innovativa e non intrusiva per monitorare gli ambienti e identificare le minacce in corso.

Andrea CarcanoPrima del 2010, quando fu resa nota l’esistenza del virus Stuxnet che aveva preso di mira l’infrastruttura nucleare iraniana, il tema della sicurezza dei sistemi industriali, e nello specifico dei sistemi SCADA (Supervisory Control And Data Acquisition), non era considerata una priorità. D’un tratto ci si è invece resi conto di quanto fossero vulnerabili quelle infrastrutture che oggi rappresentano un elemento decisivo per la gestione e il funzionamento dei servizi critici di intere nazioni. Di questa tematica particolare e della sua tutela si occupa Nozomi Networks, realtà nata nel 2013 su iniziativa di Andrea Carcano, suo co-founder e Ceo, dopo anni di studi (dottorato di ricerca in Informatica) ed esperienze lavorative in un centro di ricerca della Commissione Europea e in ENI. “Tutto è nato dopo aver constatato che, rispetto al mondo informatico tradizionale, quello industriale presentava esigenze totalmente diverse per le quali le tecnologie di sicurezza standard non davano soluzioni adeguate. Insieme a Moreno Carullo, sviluppatore di rara abilità, con un dottorato in Intelligenza Artificiale, abbiamo deciso di creare quella che oggi è Nozomi. Partendo dal prototipo realizzato durante anni di ricerca, svolti in parte all’estero in parte in Italia, abbiamo prodotto la prima versione di Nozomi SCADAguardian. Il tutto seguendo il classico percorso di una start-up, ossia partendo dal tradizionale garage, con tanta passione ed entusiasmo, per trasformarci molto rapidamente in un’azienda consolidata che in poco tempo è arrivata a lavorare in diversi Paesi e a maturare una profonda esperienza nel settore delle grandi imprese industriali e dell’energia”. La soluzione Nozomi si concentra sulla protezione dei sistemi industriali gestendone i diversi aspetti, tutelando, ad esempio, quelli più operativi, che si occupano di acquisire i valori generati negli impianti – relativi a temperature, pressione, velocità di rotazione di una turbina – monitorandoli in tempo reale ed entrando nel dettaglio dei protocolli di comunicazione proprietari. “La differenza rispetto alla tipica sicurezza dei sistemi informativi aziendali risiede nel fatto che quando si parla di automazione industriale le conseguenze di un attacco possono dimostrarsi molto meno gestibili e generare anche una grande quantità di problemi diffusi, facendo venire meno quella visibilità e capacità di controllo che sono fondamentali per il corretto funzionamento di infrastrutture critiche. Per fare un esempio, in alcuni ambienti anche un ritardo di pochi millisecondi sull’apertura di una valvola o di una pompa può avere conseguenze disastrose. Questi ambienti, così critici, un tempo erano completamente isolati, mentre oggi, per consentirne la gestione remota e la condivisione di dati di business, sono interconnessi con le reti aziendali. E questo non fa che aumentare i rischi a cui queste infrastrutture sono esposte. Un esempio che si può fare riguarda le centrali elettriche dislocate sul territorio per le quali i gestori, attraverso una serie di analisi, possono decidere in tempo reale se, quanto e dove produrre energia, con tutti i vantaggi che da ciò derivano. Il problema è che questi ambienti industriali, ora necessariamente interconnessi con le reti aziendali, utilizzano protocolli di comunicazione che spesso non prevedono meccanismi avanzati di cifratura e di autenticazione. Per questo motivo la costruzione di un attacco mirato ai sistemi industriali diventa un rischio concreto, nel caso in cui i malintenzionati riescano a stabilire una connessione”, sottolinea Carcano.

Una mappa del sistema
Dovendo funzionare in tempo reale e senza interruzioni, l’aggiornamento dei sistemi SCADA può essere eseguito solo durante i pochi fermi programmati nell’anno. Anche l’implementazione di un layer di sicurezza si rivela un’operazione critica in quanto andrebbe a influire sulle prestazioni generali. Per questo motivo si sta lavorando allo sviluppo di nuovi standard in grado di risolvere alla base questa particolare problematica. “Per rispondere in modo puntuale a tali requisiti – prosegue Carcano – la nostra soluzione si presenta sotto forma di sonde (appliance) che si collegano in modo passivo e non intrusivo alla rete industriale, senza richiedere un fermo impianto e senza interferire in alcun modo con il sistema industriale da proteggere. Il sistema Nozomi SCADAguardian, attraverso una fase di apprendimento ‘impara’ il funzionamento “normale” del sistema che ha sotto osservazione, ispezionando le comunicazioni più basilari ed entrando nel merito dei protocolli utilizzati fino al dettaglio dei singoli elementi controllati (una pompa, una turbina, una ventola e le relative impostazioni e stati). In sostanza, la soluzione riconosce in tempo reale e in modo automatico le diverse componenti infrastrutturali e crea una mappa del funzionamento di un impianto sia dal punto di vista fisico che di rete, senza necessitare di alcuna pre-configurazione. Quindi genera un profilo di sicurezza adatto all’ambiente che deve proteggere e genera allarmi specifici in caso di attività anomala. Tutto gestibile da parte dei responsabili tramite una console centralizzata in grado di controllare le singole sonde e consolidare i dati dell’intero sistema”. Dal contatto con i suoi clienti, Nozomi Networks ha notato notato che spesso lo stratificarsi di soluzioni proprietarie ha reso più difficile il mantenere una visione chiara e completa di tutti gli elementi presenti all’interno delle rispettive reti industriali. Questo influisce in particolare sul lavoro di figure aziendali quali gli industrial engineer che lavorano direttamente sui processi e che devono poter monitorare un impianto per capire se si stanno verificando anomalie che possono nascondere rischi per la sicurezza e la continuità operativa. “La nostra vision – continua Carcano – non prevede una divisione tra cyber security e industrial security, in quanto oggi è assolutamente necessario possedere le competenze specifiche di entrambi i campi. La nostra tecnologia è in grado di mettere assieme informazioni sia IT che industriali rendendole leggibili e fruibili da professionisti con background differenti. Questo consente di individuare, e anche prevenire, anomalie nel funzionamento degli impianti. Integrandoci con tecnologie esterne come i sistemi di log management e i firewall consentiamo anche a chi opera all’interno del più tradizionale Security Operation Center (Soc) di avere a disposizione una panoramica completa di quanto accade nella rete industriale. Questo consente anche all’IT Security di poter contribuire alla sicurezza di un mondo considerato in precedenza ‘intoccabile’ per timore di fare danni irreparabili. Pensiamo solo ai rischi che comportava l’applicazione di una patch o di una regola di firewalling, senza avere una visione chiara e completa dei sistemi e delle connessioni delle reti industriali. Si può quindi dire che, se in precedenza Information Technology e Operational Technology viaggiavano parallelamente senza che l’una sapesse cosa faceva l’altra, a un certo punto i due mondi si sono incrociati e noi andiamo a posizionarci nel mezzo. Di fatto oggi i diversi processi di comunicazione legati ai sistemi di automazione e controllo vengono in molti casi gestiti da remoto. Un nostro studio dimostra come siano esposti e raggiungibili da internet tantissimi indirizzi di sistemi SCADA italiani, che sono di conseguenza in potenziale pericolo. Per una settimana abbiamo eseguito uno script che, in breve, ha raccolto 13.500 indirizzi legati, ad esempio, alla gestione di pannelli fotovoltaici e a sistemi di teleriscaldamento di utility locali, accessibili in lettura e scrittura, con informazioni di configurazione e sulla quantità di energia prodotta, oltre ad indirizzi email e numeri di telefono dei proprietari. Per capire quanto sia reale il pericolo a cui sono esposte alcune infrastrutture non attente a queste problematiche, nel mese di dicembre 2015 il malware BlackEnergy è stato utilizzato in Ucraina per portare un attacco alle aziende fornitrici di energia che ha avuto successo e ha lasciato senza elettricità 700mila persone. In un caso come questo la nostra soluzione si sarebbe accorta del traffico anomalo segnalando che c’era un problema di sicurezza. E ancora, grazie all’integrazione con soluzioni di firewall come quella di Fortinet, avrebbe bloccato e impedito i tentativi da parte del malware di propagarsi nell’intera rete della centrale”.

Presenza in tanti settori 
Per restare sempre all’avanguardia Nozomi Networks investe costantemente in ricerca e sviluppo, lavorando su aspetti come la in-depth analysis e la deep packet inspection del traffico e dei protocolli di comunicazione. In campo industriale, i protocolli utilizzati sono moltissimi, per cui ogni cliente ha un’infrastruttura di automazione diversa basata su un mix di sistemi proprietari e open. Un mondo molto frammentato dove è necessario uno sviluppo continuo, e in cui i vantaggi portati dalla continua innovazione vengono poi distribuiti a tutti i clienti attraverso gli aggiornamenti della piattaforma. Facendo leva anche sull’esperienza specifica maturata con varie realtà di grandi dimensioni. “Abbiamo tra i nostri clienti diverse multinazionali operative nel settore energy, tra queste posso citare Enel con la quale collaboriamo in modo costante sia per proteggere l’infrastruttura di generazione sia per sviluppare nuove funzionalità”, aggiunge Carcano concludendo poi che la società si muove sul mercato per seguire al meglio la propria utenza tramite collaborazioni su vari livelli: “Abbiamo una serie di partner certificati che vengono ingaggiati in base alle necessità del cliente. Si tratta di realtà che possono avere una maggiore attenzione alla parte consulenziale o di assessment della sicurezza oppure più tecnologiche che si occupano più propriamente di configurare e integrare la soluzione per un presidio più costante. Sulle aziende più grandi e significative, invece, affianchiamo direttamente i partner o lavoriamo sul campo con le nostre persone”.

 

TORNA INDIETRO >>