Industrial Control Systems e Infrastrutture critiche

Nel nostro articolo Cyber Security e impianti industriali abbiamo visto come gli Industrial Control System (ICS) sono una parte integrante delle moderne Infrastrutture Critiche (IC) in quanto sovrintendono a tutte le operazioni connesse con la gestione e il controllo di settori vitali come quello elettrico, petrolchimico, energetico, ecc. Tuttavia, tali sistemi espongono le IC alla minaccia cyber, e i recenti attacchi informatici hanno dimostrato che è possibile, attraverso delle manipolazioni malevoli dei processi produttivi, provocare danni dalle conseguenze potenzialmente catastrofiche.

1.  Infrastrutture critiche

Le infrastrutture critiche, o infrastrutture nazionali critiche Critical National Infrastructure (CNI), descrivono le infrastrutture considerate essenziali dai governi per il funzionamento di una società e di un’economia e meritevoli di una protezione speciale per la sicurezza nazionale.

Le infrastrutture critiche sono state tradizionalmente considerate di competenza del governo a causa della loro importanza strategica, ma c’è una tendenza osservabile verso la loro privatizzazione, sollevando discussioni su come il settore privato possa contribuire a questi servizi essenziali.

Il Programma europeo per la protezione delle infrastrutture critiche European Programme for Critical Infrastructure Protection (EPCIP) è costituito dalla dottrina e dai programmi specifici creati come risultato della direttiva della Commissione europea COM(2006) 786 che designa le infrastrutture critiche europee che, in caso di guasto, incidente o attacco, potrebbero avere un impatto sia sul Paese in cui sono ospitate sia su almeno un altro Stato membro europeo. Gli Stati membri sono tenuti ad adottare la direttiva del 2006 nei loro statuti nazionali.

La direttiva ha proposto un elenco di infrastrutture critiche europee sulla base dei contributi degli Stati membri. Ogni infrastruttura critica europea European Critical Infrastructure (ECI) designata deve essere dotata di un Piano di Sicurezza dell’Operatore Operator Security Plan (OSP) che comprenda l’identificazione degli asset importanti, un’analisi dei rischi basata sui principali scenari di minaccia e sulla vulnerabilità di ciascun asset, nonché l’identificazione, la selezione e la prioritizzazione delle contromisure e delle procedure.

Nel nostro articolo Gli attacchi cyber agli impianti industriali abbiamo visto che il cybercrimine non attacca solo i computer e, ma anche gli impianti industriali e le infrastrutture. La sensibilità verso la cyber security è spesso molto bassa e raramente supera la soglia della mera preoccupazione per arrivare all’investimento nel contrasto.

In La Direttiva NIS 2 per la cybersecurity abbiamo analizzato come la Direttiva NIS (Network and Information Security) ha introdotto delle misure per un maggiore livello di sicurezza delle reti e dei sistemi informativi nell’Unione Europea prevedendo, per le imprese operanti nel mercato europeo e per i governi, di adottare misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici. Una revisione della Direttiva NIS si è resa necessaria nel contesto COVID che ha visto un aumento delle minacce cyber. I punti salienti introdotti dalla NIS 2 sono l’estensione degli obblighi a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, la definizione univoca degli operatori di servizi essenziali, l’innalzamento delle sanzioni, l’introduzione dell’elenco delle misure specifiche da adottare, il limite temporale di notifica degli incidenti informatici.

2.  La sicurezza delle infrastrutture nazionali critiche

L’acronimo ICS si riferisce a un insieme di tecnologie, sia software che hardware, che si interfacciano direttamente con i processi industriali e che svolgono attività di produzione, trasporto e trasformazione dei beni. Gli ICS, come gli SCADA (Supervisor Control and Data Acquisition), e i DCS (Distributed Control Systems) rientrano nella più amplia categoria delle Operational Technologies (OT), ossia quegli apparati e sistemi che impiegano network, protocolli di comunicazione ed elementi fisici per svolgere tre funzioni principali: l’acquisizione dei dati, le attività di controllo e supervisione, e l’esecuzione di comandi (Stouffer & Al., 2011).

Le società moderne dipendono in modo sempre più radicale dai dispositivi ICS. Infatti, tra i clienti dei principali fornitori di soluzioni OT (Rockwell Automation, Siemens, ABB, Mitsubishi) figurano soggetti che operano in campi quali il settore energetico, delle comunicazioni e dei trasporti. Tali campi sono considerati dalla maggior parte degli stati come settori critici, e i soggetti che vi operano sono identificati come infrastrutture critiche (IC) (Brunner & Suter, 2009).

Sebbene non esista una caratterizzazione universale di infrastruttura critica, riflettendo questa l’identità geografica storica e culturale dei singoli soggetti (Setola, 2011), queste possono essere identificate come tutti quei sistemi, tanto fisici che virtuali, il cui malfunzionamento o interruzione avrebbe un impatto diretto e significativo sull’economia, sicurezza e salute nazionale, provocando un effetto domino di imprevedibili reazioni a catena in grado di compromettere la stabilità stessa di un paese (EPCP, 2005).

Le IC eseguono le funzioni essenziali della società moderna e costituiscono il loro cuore pulsante: gli asset critici devono essere sempre disponibili, affidabili e operativi. Questo bisogno primario di disponibilità e performance ha comportato nel mondo degli ICS, presenti negli impianti industriali e manufatturieri già dagli anni ’60, delle trasformazioni significative. Nel corso del tempo, infatti, le OT che tradizionalmente si affidavano a sistemi di legacy con protocolli proprietari e fisicamente isolate dall’ambiente esterno (Brunner & Suter, 2009; Galloway & Hancke, 2013), hanno fatto ricorso in modo sempre più massiccio alle tecnologie IT e a prodotti off-the-shelf. Inoltre, molti componenti di questi sistemi, che comunicavano un tempo attraverso network chiusi, sono stati integrati nel più generale trend del “Industrial Internet of Things (IIoT) con il risultato che gli odierni Cyber-Physical Sistems (CPS), ossia dispositivi informatici che controllano processi fisici, sono dotati non solo di un accesso diretto attraverso il corporate network, ma anche di connessione internet (Sadeghi, Wachsmann & Waidner, 2015).

Da una parte, questo trend ha portato degli indubbi benefici che abbiamo potuto osservare nella nostra quotidianità in termini di miglioramenti generali della qualità della produzione e della sua efficienza ed economicità. Dall’altra, questo connubio ha implicato l’introduzione delle tradizionali vulnerabilità e minacce del settore IT nel dominio OT che, per le sue particolarità intrinseche, è un ambiente dove le misure di cyber-security risultano di difficile applicazione creando un problema di sicurezza non trascurabile (Nicholson & Al., 2012).


