Gli attacchi cyber agli impianti industriali

Il contesto applicativo della Direttiva NIS

Il cybercrimine non attacca solo i computer, ma anche gli impianti industriali e le infrastrutture. La Direttiva NIS¹ qualifica, all’art. 5 comma 2, gli operatori di servizi essenziali:

a) un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali;

b) la fornitura di tale servizio dipende dalla rete e dai sistemi informativi;

c) un incidente che investe un operatore di servizi essenziali avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

Ai fini della determinazione della rilevanza degli effetti negativi predetti, all’art. 6 comma 1 le autorità competenti NIS considerano i seguenti fattori intersettoriali:

a) il numero di utenti che dipendono dal servizio fornito dal soggetto interessato;

b) la dipendenza di altri settori di cui all’allegato II dal servizio fornito da tale soggetto;

c) l’impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali o sulla pubblica sicurezza;

d) la quota di mercato di detto soggetto;

e) la diffusione geografica relativamente all’area che potrebbe essere interessata da un incidente;

f) l’importanza del soggetto per il mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio.

Cosa sono i sistemi di controllo industriale

I sistemi di controllo industriale ICS (Industrial Control Systems) sono dispositivi, sistemi, reti e controlli utilizzati per automatizzare i processi industriali presenti in quasi ogni settore: oil and gas, centrali e reti elettriche, autostrade, porti, aeroporti, stazioni ferroviarie, cioè proprio le infrastrutture critiche elencate dalla Direttiva NIS. Gli ICS comunicano con i sistemi SCADA²    che forniscono i dati per le attività di supervisione e di controllo nella gestione dei processi.

I sistemi SCADA però, pur essendo in tutto e per tutto dei sistemi IT, soffrono di vulnerabilità intrinseche dovute al fatto che questi sono stati progettati con un occhio di riguardo per la semplicità, l’affidabilità e l’accessibilità, ma non con un approccio di security by design.

I sistemi SCADA nascono negli anni ’50 come sistemi isolati e non connessi alle reti IP, quindi immuni dalle minacce cyber. Quando, in tempi più recenti, questi sono stati connessi alle reti IP e a internet, unitamente agli innegabili vantaggi in termini di monitoraggio e controllo, sono comparsi i connessi rischi per la loro sicurezza (security) e, spesso dati i contesti operativi, anche per quella umana (safety).

È quindi dagli anni duemila, con la convergenza dell’IT con l’OT (Operational Technology), che comincia una serie interminabile di attacchi a questi ultimi. Partita con SQL Slammer nel 2003, passando per BlackEnergy in Ucraina nel 2015, per arrivare vicino a noi nel 2017 con il caso Maschio Gaspardo S.p.A., a Luxottica S.p.A. e Carraro S.p.A. in questi giorni.

Le vulnerabilità di un sistema di controllo industriale

Come anticipato, le reti ICS sono nate come sistemi isolati, poi connesse ad internet.

• I sistemi SCADA sono spesso installati su PC accessibili da chiunque operi nei reparti produttivi.
• Il ciclo di vita degli impianti industriali è nettamente più lungo di quello di qualsiasi PC presente in azienda e spesso i sistemi SCADA sono installati su hardware che segue i tempi di tali impianti, magari equipaggiato con Windows XP (non più supportato da Microsoft dall’aprile del 2014) o con Windows Server 2003 (supporto terminato dal luglio 2015).
• Essendo i sistemi ICS spesso considerati come afferenti il mondo produttivo, vengono spesso trascurati gli aggiornamenti dei sistemi operativi e le relative patch di sicurezza.
• Le reti ICS, a differenza delle altre reti aziendali, sono spesso non protette da firewall.
• Mancano antivirus ed antimalware, magari perché non compatibili con le applicazioni installate.
• Spesso la rete è aperta verso l’esterno per consentire a terzi di operare interventi manutentivi o aggiornare il software di produzione.
• La responsabilità della progettazione e gestione degli ICS spesso non ricade sul responsabile dei sistemi informativi aziendali, tipicamente più sensibile alla cybersecurity, ma in capo al direttore di produzione o, addirittura, completamente delegata al fornitore delle macchine operatrici o degli impianti.

La Direttiva NIS pone proprio l’accento su queste vulnerabilità, portando gli impianti ICS ad essere considerati alla stregua di ogni altro sistema IT per quanto attiene gli aspetti legati alla sicurezza.

Quanto costa un attacco ad un sistema di controllo industriale

Enrico Netti, nel suo articolo “Cybercrime, costi e difese di un’azienda sotto attacco” sul Sole 24 Ore del 29 gennaio 2018, stima in una ventina di milioni i danni cui deve far fronte una media azienda manifatturiera con 120 milioni di ricavi vittima di un attacco malware che blocchi completamente ogni attività.

Si tratta innanzitutto di eliminare l’attaccante per poi ripristinare le piattaforme e i sistemi dello stabilimento 4.0, dai sensori dei macchinari alle macchine a controllo numerico³ , all’amministrazione con la contabilità clienti e fornitori per finire con il reparto ricerca e sviluppo. Qui il furto dei dati si fa molto pericoloso perché potrebbe essere orientato al furto di brevetti e progetti.

Con l’entrata in vigore del GDPR⁴, le aziende che non comunicano la fuga di dati vengono sanzionate con una multa che può arrivare al 4% del fatturato o a 20 milioni. Risulta quindi mandatorio stipulare polizze assicurative per la gestione del rischio connesso alla cybersecurity.

L’azienda si trova a dovere avvisare i suoi clienti e fornitori del blocco dell’attività e a dover gestire la crisi con un costo di migliaia di euro al giorno.

Clienti e fornitori possono aprire il fronte legale dei contenziosi per inadempimento avanzando richieste di risarcimento per danni che possono andare da qualche decina di migliaia di euro per superare le centinaia di migliaia.

Tra gli imprenditori la sensibilità verso la cyber security è spesso molto bassa e troppo raramente supera la soglia della mera preoccupazione per arrivare all’investimento nel contrasto.

Si tratta in fondo di un piccolo passo tecnologico, ma di un grande passo culturale.

¹ La Direttiva sulla sicurezza delle reti e dei sistemi informativi dell’Unione (Direttiva NISUE 2016/1148) mira a raggiungere un livello comune elevato in materia di sicurezza delle reti e dei sistemi di informazione in tutta l’UE. L’Italia ha trasposto la Direttiva NIS nell’ordinamento nazionale con il Decreto legislativo n.65 del 18 maggio 2018 entrato in vigore il 26 giugno 2018. Il decreto italiano non estende l’ambito di applicazione, a differenza di altri Stati membri, a settori diversi da quelli previsti dalla Direttiva.

² L’acronimo SCADA (Supervisory Control And Data Acquisition) indica un sistema informatico distribuito per il monitoraggio e la supervisione di sistemi fisici.

³ Le macchine CNC (Computer Numerical Control) rappresentano l’evoluzione delle macchine CN, perché permettono il controllo numerico diretto da un computer esterno.

⁴ Il Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation), ufficialmente regolamento (UE) n. 2016/679, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018. Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE).

Bibliografia:

• https://www.ilsole24ore.com/art/cybercrime-costi-e-difese-un-azienda-sotto-attacco-AEwBTwoD
• http://www.mix-it.net
• https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
• http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
• https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
• https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
• https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• https://dragos.com/blog/trisis/TRISIS-01.pdf
• https://www.key4biz.it/attacco-hacker-al-gruppo-carraro-cig-per-i-700-dipendenti-delle-sedi-italiane/322753/
• https://www.cybersecurity360.it/nuove-minacce/ransomware/attacco-ransomware-blocca-luxottica-ma-la-reazione-e-da-manuale-ecco-perche/
• Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia