.
I sistemi di controllo industriali (industrial control system, ICS) e quelli di controllo e acquisizione dei dati (Supervisory Control And Data Acquisition, SCADA) sono sempre più indispensabili per il funzionamento delle realtà produttive. La possibilità che un attacco informatico o una vulnerabilità ne compromettano il funzionamento deve essere evitata con tutti i mezzi. I professionisti di CryptoNet Labs hanno maturato una grande esperienza nel campo dei vulnerability assessment e penetration test su SCADA e ICS.
I sistemi di controllo e gestione dell’automazione industriale ICS/SCADA un tempo erano isolati, non solo da Internet ma spesso anche dall’infrastruttura IT dell’azienda. Oggi invece sono sempre più interconnessi in rete per consentire una migliore gestione e sfruttare i vantaggi legati alla trasformazione digitale: gli ambienti di controllo industriale, ovvero i sistemi OT (Operational Technology) sono di conseguenza anche più esposti a problemi di sicurezza tipici dei sistemi IT.
L’uso di protocolli basati su TCP/IP, di sistemi operativi e software comuni amplifica questa evoluzione: si pensi all’impatto che malware come Wannacry hanno avuto in questo ambito.
Bisogna inoltre considerare che il fatto che un sistema ICS/SCADA non sia direttamente connesso a Internet non è sufficiente come garanzia di sicurezza.
Cybercriminali e malware possono comunque raggiungere ogni sistema connesso alla rete locale, una volta trovato un punto di accesso (che può essere ad esempio la postazione di un manutentore compromessa in precedenza).
Per questo motivo, è indispensabile che i sistemi OT dispongano della propria sicurezza intrinseca, e che non si dia per scontato che le protezioni perimetrali della rete siano sufficienti.
Come funzionano Security Assessment SCADA e Penetration Test SCADA
I professionisti di CryptoNet Labs hanno maturato ampia esperienza nel condurre Security Assessment in ambito ICS / SCADA, attraverso un approccio esaustivo e modulare basato sulle seguenti attività:
- Risk Assessment, per valutare il grado di esposizione al rischio e il grado di conformità alle best practices di settore (ad es. NIST 800-53 + NIST 800-82, ISA/IEC-62443, Framework Nazionale per la CyberSecurity, rivolto alle infrastrutture critiche, ISO 27001 o altre ancora).
- Vulnerability Assessment passivo e Penetration Test in ambito ICS / SCADA, basati su tecniche di analisi sia attiva, interagendo direttamente con i target, sia passiva, basate cioè sull’osservazione del traffico di rete e sull’individuazione di eventuali anomalie presenti, che verranno analizzate e catalogate per capirne l’origine. Alcune anomalie infatti possono essere semplici malfunzionamenti di software e dispositivi, mentre altre possono essere segnale di fonti di attacco già attive, oppure di attività di scouting da parte di malintenzionati alla ricerca di debolezze.
I test proposti coprono tutti i livelli organizzativi e tecnologici di un sistema ICS/SCADA: le procedure in essere, l’accesso fisico, il network, la DMZ, la control room, i protocolli industriali usati e i dispositivi di campo (RTU / PLC).
L’analisi è svolta concordando con il cliente sedi, host e apparati coinvolti, orari e modalità, in modo da verificare la sicurezza di tutti i sistemi SCADA e ICS presenti, riducendo al minimo l’impatto sulle normali operazioni produttive.
Come avvengono Penetration Test e Security Assessment SCADA
Come prima cosa, è indispensabile che i tecnici di CryptoNet Labs prendano visione degli ambienti e dei sistemi ICS/SCADA coinvolti nel Penetration Test, in modo da ottimizzare gli interventi e ridurre il tempo di inattività dei macchinari. In particolare, si procede con i controlli attivi se è disponibile un ambiente di test/collaudo o se si possono pianificare dei fermi macchina in modo da evitare disservizi.
Se non è possibile o non è opportuno prevedere un potenziale fermo dei sistemi, in alternativa sono possibili controlli passivi attraverso l’osservazione del traffico di rete.
È una modalità meno intrusiva ma anche meno esaustiva in termini di rilevamento di falle di sicurezza, tuttavia ha il vantaggio di offrire un buon livello di analisi con un impatto minimo sui cicli di produzione.
Il Risk Assessment invece è sostanzialmente basato su attività di interviste con chi gestisce e mantiene l’impianto e su revisione documentale.
Chi ne può beneficiare
Penetration Test ICS/SCADA e Security Assessment sono indispensabili per aziende che gestiscono infrastrutture critiche, sistemi di telecontrollo industriale e reti di processo. Grazie a queste analisi è possibile verificare il proprio livello di sicurezza e garantire la conformità alle best practices e normative di settore, per esempio NIST 800-53 e 800-82. In particolare disporre di sistemi OT sicuri è un requisito della la Direttiva NIS – UE 2016/114 – recepita dal governo italiano con Decreto Legislativo n. 65 del 18/5/2018.