L’aumento degli attacchi cyber ai danni del settore energetico ha riacceso i riflettori sulle carenze di security nel settore. Ecco l’analisi di un esperto e alcuni consigli chiave.
Nel settore energetico e delle infrastrutture critiche ci sono molti asset e sistemi considerati mission-critical. Chiunque all’interno di un’azienda ha ben chiaro che le componenti digitali a cui si affida per il proprio lavoro sono in qualche misura a rischio, ma questo trend sta emergendo in maniera più consistente nell’industria oil&gas, un contesto in cui gli operatori continuano a tentare di ottenere risultati sempre maggiori impiegando meno risorse attraverso iniziative brownfield e greenfield, manutenzione e progetti tecnologici.
L’evoluzione dell’operational technology (OT) e dei sistemi di controllo industriale (ICS) nelle organizzazioni petrolifere e del gas è iniziata con progetti di connettività spesso basata su Ethernet tra i sistemi on-site, passando poi alla connessione di più siti e sedi remote, fino ad arrivare all’espansione di architetture di supervisione, controllo e acquisizione dati (SCADA) e all’adozione crescente di tecnologie cloud.
Le raccomandazioni prescrittive volte a migliorare la security spesso non tengono conto della reale proprietà dei beni, del loro funzionamento, trasferimento e custodia. Se un gestore energetico con operazioni distribuite non ha familiarità con l’attività di rete e si verifica un cambiamento, come può capire se questo dipende da questioni di security o dalle operation? Allo stato attuale, la conoscenza tacita è considerata sufficiente per indagare su qualsiasi incidente o modifica alle condizioni di security. La questione, però, è capire quando e dove indagare su un problema prima che diventi ingestibile.
Danielle Jablanski, OT Cybersecurity Specialist, Nozomi Networks
Risorse limitate, mancanza di competenze tecniche, di talenti e di esperienza, unite a comunicazioni strutturate in silos rappresentano ostacoli notevoli all’adozione di funzionalità di security più solide e resistenti. Tuttavia, la tecnologia si sta evolvendo per centralizzare un metodo di identificazione delle minacce da indagare e relative disposizioni di azione, facendo leva su dati basati sull’analisi del contesto delle operation e del panorama delle minacce, per alleviare le carenze di risorse e personale.
Per affrontare la crescita di mercato dei sistemi per la produzione di energia pulita, gli investimenti greenfield, le microgrid e le risorse energetiche distribuite, il settore energetico si è dotato di nuove tecnologie e strumenti di analytics che promettono maggiori efficienza e produttività. La spinta dell’industria 4.0 per l’ottimizzazione delle operazioni, l’utilizzo e allocazione efficiente delle risorse e la massimizzazione della produzione ha condotto allo sviluppo dell'Internet delle cose (IoT), della manutenzione predittiva e delle soluzioni di digital twinning.
Le indagini di settore dell’ultimo decennio hanno messo in evidenza alcune tendenze:
Al netto di minimi scostamenti, gli studi condotti negli ultimi anni hanno evidenziato che circa la metà degli incidenti informatici a livello industriale non viene rilevata. I proprietari e gli operatori utilizzano e appaltano sempre più spesso apparecchiature e tecnologie di terzi, creando così una rete di dispositivi connessi priva di un punto di accesso centrale ai dati a riposo e in transito tra di essi. I timori delle imprese riguardano in generale l’integrità e riservatezza dei dati, la perdita di visibilità e controllo, i rischi operativi e l’interruzione dell’attività. Infine, per molte organizzazioni del settore Oil&Gas gli scenari di insider threat rappresentano la fonte principale di preoccupazione. Questi possono essere suddivisi in tre categorie:
Per gli operatori del mercato Oil&Gas, si presentano diversi limiti al controllo della sicurezza dei loro asset: mancanza di conoscenza delle connessioni dei sistemi OT o ICS a Internet; scarsa visibilità di modifiche non autorizzate; esigenze stringenti della catena di custodia e supply chain; rischi di acquisizione e controllo remoto degli asset. Il tutto può generare condizioni non sicure, manipolazione dei prodotti, danni alle apparecchiature e/o interruzione involontaria delle attività.
Gasdotti, impianti di pompaggio/compressione, pozzi di produzione e altri siti in luoghi geografici spesso remoti utilizzano un qualche tipo di tecnologia SCADA, potenzialmente fornita da un terzo. I dati provenienti dalle apparecchiature vengono trasmessi ai PLC sul campo, solitamente costruiti per essere resistenti agli agenti esterni. I PLC comunicano con i gateway che trasferiscono i dati a un datacenter/server farm condiviso tramite satellite, comunicazioni cellulari 3G e/o radio a propagazione in linea di vista. Le server farm di destinazione sono sempre più spesso fornite da Amazon Web Services (AWS), Microsoft Azure o Google Cloud Platform.
Una volta trasmessi alla server farm, i dati vengono valutati da programmi di analytics basati sul cloud che utilizzano non solo i dati di processo, ma anche altre informazioni aziendali che possono essere applicate a modelli statistici. In base ai risultati dell’analisi, l’applicazione SCADA invia la logica di controllo aggiornata al PLC sul campo.
Layout generico di un sistema SCADA che mostra i dispositivi del centro di controllo, le apparecchiature di comunicazione e i siti di campo (Fonte: NIST)
Nonostante i vantaggi derivanti dai risparmi sui costi e dall’esternalizzazione delle competenze SCADA, i proprietari e gli operatori di questi sistemi potrebbero non tenere in considerazione la cybersecurity dei componenti industriali, l’integrità dei dati OT e ICS, gli impatti operativi e le best practice di cybersecurity. I gestori delle reti energetiche potrebbero non avere modo di riconoscere i guasti alle apparecchiature dei nodi collegati e comunicanti con il sistema SCADA. L’organizzazione nel complesso si trova quindi impossibilitata a rilevare e monitorare nuove connessioni e collegamenti e dunque non è in grado di diagnosticare i problemi di prestazione della rete, potenziali minacce informatiche e guasti o danni alle apparecchiature.
La community di security può aiutare gli operatori a dover distinguere tra comportamenti dannosi e anomalie che non comportano conseguenze. Saper riconoscere la portata e gli effetti di eventi diversi è necessario per poter condurre Root Cause Analysis e determinare se un problema è causato da una campagna di minacce informatiche, da un malfunzionamento dell’apparecchiatura, da una configurazione errata, da una situazione di ransomware o da un ghost drift (ossia, quando un dispositivo esce progressivamente dal campo di applicazione nel corso del tempo, senza alcuna supervisione); tutti fattori che possono costare milioni di euro in termini di interruzioni non pianificate e interventi di manutenzione.
Prima che venissero introdotte soluzioni per la visibilità integrata, automatizzata e in tempo reale, gli operatori erano costretti a risolvere i problemi manualmente, esaminando le metriche point in time della ricerca di volume con le calibrazioni dei misuratori e dei trasmettitori. Successivamente, esaminavano il modo in cui il codice era scritto nei computer di flusso e i dati inviati dai computer di flusso al sistema di controllo e li mettevano in relazione con lo storico dei dati, il software di contabilità e il sistema di marketing dei prodotti.
Oggi le soluzioni dei fornitori incorporano il rilevamento delle intrusioni per il monitoraggio della sicurezza della rete e quello delle anomalie sia di rete che di processo, consentendo di osservare minacce maligne conosciute sulla rete di comunicazione, analizzare le risorse per condurre in maniera più approfondita analisi di pattern, due diligence e controllo qualità e creare avvisi personalizzati basati su variabili di processo determinati da ogni tipologia di operation/ambiente.
In questo modo è possibile comprendere meglio il comportamento degli asset, rilevare variabili di processo secondo input personalizzati e valutare possibili impatti concreti nel business, per aumentare l’intelligence sulle minacce e le security posture nel complesso. Così facendo, la security viene implementata per effetto delle operation, non il contrario. Comprendere e stabilire una base sia per le comunicazioni di rete e che dei processi operativi garantisce la visibilità di:
Le soluzioni progettate con una mentalità “assume breach” sono pensate per ridurre la gravità di impatti potenziali, non per rispondere ai peggiori scenari di attacco dopo che si sono verificati. Una soluzione di security che integra insight ed è costruita appositamente per determinate operation necessita metodi di rilevamento e prevenzione delle minacce personalizzati per una operazione o utente finale specifici. In questo modo, è possibile andare oltre l’adozione di servizi limitati che individuano attori malevoli, attività dannose e minacce solo sulla base di informazioni conosciute e categorizzate.
Una maggiore efficienza nell’asset intelligence, nella rilevazione di variabili di processo personalizzabili e nella valutazione degli impatti concreti conduce a soluzioni di sicurezza in grado di aumentare l’intelligence delle minacce e le security posture nel complesso. Rispetto alle funzionalità di incident response, una personalizzazione scalabile delle soluzioni di security è più efficiente poiché integra le intuizioni sugli scenari di cybersecurity e rafforza la situational awareness. Noi di Nozomi Networks abbiamo creato un’ampia libreria di variabili di processo per reperire informazioni e lanciare allarmi e per cui creare normali baseline. Garantire la sicurezza di sistemi OT/ICS è un processo costante, da affrontare assieme a partner e clienti, per rimanere con partner e clienti per essere sempre un passo avanti.
Danielle Jablanski è OT Cybersecurity Specialist, Nozomi Networks