Industrial Control Systems e Infrastrutture critiche

Nel nostro articolo Cyber Security e impianti industriali abbiamo visto come gli Industrial Control System (ICS) sono una parte integrante delle moderne Infrastrutture Critiche (IC) in quanto sovrintendono a tutte le operazioni connesse con la gestione e il controllo di settori vitali come quello elettrico, petrolchimico, energetico, ecc. Tuttavia, tali sistemi espongono le IC alla minaccia cyber, e i recenti attacchi informatici hanno dimostrato che è possibile, attraverso delle manipolazioni malevoli dei processi produttivi, provocare danni dalle conseguenze potenzialmente catastrofiche.

Ci occupiamo questa volta di Industrial Control Systems ed Infrastrutture critiche.

1.  Infrastrutture critiche

Le infrastrutture critiche, o infrastrutture nazionali critiche Critical National Infrastructure (CNI), descrivono le infrastrutture considerate essenziali dai governi per il funzionamento di una società e di un’economia e meritevoli di una protezione speciale per la sicurezza nazionale.

Le infrastrutture critiche sono state tradizionalmente considerate di competenza del governo a causa della loro importanza strategica, ma c’è una tendenza osservabile verso la loro privatizzazione, sollevando discussioni su come il settore privato possa contribuire a questi servizi essenziali.

Il Programma europeo per la protezione delle infrastrutture critiche European Programme for Critical Infrastructure Protection (EPCIP) è costituito dalla dottrina e dai programmi specifici creati come risultato della direttiva della Commissione europea COM(2006) 786 che designa le infrastrutture critiche europee che, in caso di guasto, incidente o attacco, potrebbero avere un impatto sia sul Paese in cui sono ospitate sia su almeno un altro Stato membro europeo. Gli Stati membri sono tenuti ad adottare la direttiva del 2006 nei loro statuti nazionali.

La direttiva ha proposto un elenco di infrastrutture critiche europee sulla base dei contributi degli Stati membri. Ogni infrastruttura critica europea European Critical Infrastructure (ECI) designata deve essere dotata di un Piano di Sicurezza dell’Operatore Operator Security Plan (OSP) che comprenda l’identificazione degli asset importanti, un’analisi dei rischi basata sui principali scenari di minaccia e sulla vulnerabilità di ciascun asset, nonché l’identificazione, la selezione e la prioritizzazione delle contromisure e delle procedure.

Nel nostro articolo Gli attacchi cyber agli impianti industriali abbiamo visto che il cybercrimine non attacca solo i computer e, ma anche gli impianti industriali e le infrastrutture. La sensibilità verso la cyber security è spesso molto bassa e raramente supera la soglia della mera preoccupazione per arrivare all’investimento nel contrasto.

In La Direttiva NIS 2 per la cybersecurity abbiamo analizzato come la Direttiva NIS (Network and Information Security) ha introdotto delle misure per un maggiore livello di sicurezza delle reti e dei sistemi informativi nell’Unione Europea prevedendo, per le imprese operanti nel mercato europeo e per i governi, di adottare misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici. Una revisione della Direttiva NIS si è resa necessaria nel contesto COVID che ha visto un aumento delle minacce cyber. I punti salienti introdotti dalla NIS 2 sono l’estensione degli obblighi a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, la definizione univoca degli operatori di servizi essenziali, l’innalzamento delle sanzioni, l’introduzione dell’elenco delle misure specifiche da adottare, il limite temporale di notifica degli incidenti informatici.

2.  La sicurezza delle infrastrutture nazionali critiche

L’acronimo ICS si riferisce a un insieme di tecnologie, sia software che hardware, che si interfacciano direttamente con i processi industriali e che svolgono attività di produzione, trasporto e trasformazione dei beni. Gli ICS, come gli SCADA (Supervisor Control and Data Acquisition), e i DCS (Distributed Control Systems) rientrano nella più amplia categoria delle Operational Technologies (OT), ossia quegli apparati e sistemi che impiegano network, protocolli di comunicazione ed elementi fisici per svolgere tre funzioni principali: l’acquisizione dei dati, le attività di controllo e supervisione, e l’esecuzione di comandi (Stouffer & Al., 2011).

Le società moderne dipendono in modo sempre più radicale dai dispositivi ICS. Infatti, tra i clienti dei principali fornitori di soluzioni OT (Rockwell Automation, Siemens, ABB, Mitsubishi) figurano soggetti che operano in campi quali il settore energetico, delle comunicazioni e dei trasporti. Tali campi sono considerati dalla maggior parte degli stati come settori critici, e i soggetti che vi operano sono identificati come infrastrutture critiche (IC) (Brunner & Suter, 2009).

Sebbene non esista una caratterizzazione universale di infrastruttura critica, riflettendo questa l’identità geografica storica e culturale dei singoli soggetti (Setola, 2011), queste possono essere identificate come tutti quei sistemi, tanto fisici che virtuali, il cui malfunzionamento o interruzione avrebbe un impatto diretto e significativo sull’economia, sicurezza e salute nazionale, provocando un effetto domino di imprevedibili reazioni a catena in grado di compromettere la stabilità stessa di un paese (EPCP, 2005).

Le IC eseguono le funzioni essenziali della società moderna e costituiscono il loro cuore pulsante: gli asset critici devono essere sempre disponibili, affidabili e operativi. Questo bisogno primario di disponibilità e performance ha comportato nel mondo degli ICS, presenti negli impianti industriali e manufatturieri già dagli anni ’60, delle trasformazioni significative. Nel corso del tempo, infatti, le OT che tradizionalmente si affidavano a sistemi di legacy con protocolli proprietari e fisicamente isolate dall’ambiente esterno (Brunner & Suter, 2009; Galloway & Hancke, 2013), hanno fatto ricorso in modo sempre più massiccio alle tecnologie IT e a prodotti off-the-shelf. Inoltre, molti componenti di questi sistemi, che comunicavano un tempo attraverso network chiusi, sono stati integrati nel più generale trend del “Industrial Internet of Things (IIoT) con il risultato che gli odierni Cyber-Physical Sistems (CPS), ossia dispositivi informatici che controllano processi fisici, sono dotati non solo di un accesso diretto attraverso il corporate network, ma anche di connessione internet (Sadeghi, Wachsmann & Waidner, 2015).

Da una parte, questo trend ha portato degli indubbi benefici che abbiamo potuto osservare nella nostra quotidianità in termini di miglioramenti generali della qualità della produzione e della sua efficienza ed economicità. Dall’altra, questo connubio ha implicato l’introduzione delle tradizionali vulnerabilità e minacce del settore IT nel dominio OT che, per le sue particolarità intrinseche, è un ambiente dove le misure di cyber-security risultano di difficile applicazione creando un problema di sicurezza non trascurabile (Nicholson & Al., 2012).

Bibliografia

• http://www.mix-it.net
• https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
• http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
• https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
• https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
• https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• https://dragos.com/blog/trisis/TRISIS-01.pdf
• Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia
• Albright, D., Brannan, P., & Walrond, C. (2011). Stuxnet malware and natanz: Update of isis december 22, 2010 report. Institute for Science and International Security, 15, 739883-3
• ARIA – Analysis, Research and Information on Accidents database (2015). Ministry of Environment / General Directorate for Risk Prevention, the BARPI (Bureau forAnalysis of Industrial Risks and Pollutions). At: https://www.aria.developpement-durable.gouv.fr/the-barpi/the-aria-database/?lang=en
• Assante, M. (2018). Triton/TriSIS – In Search of its Twin. SANS Industrial Control Systems. 29 January. Available at: https://ics.sans.org/blog/2018/01/29/tritontrisis-in-search-of-its-twin
• Assante, M. J., & Lee, R. M. (2015). The industrial control system cyber kill chain. SANS Institute InfoSec Reading Room, 1
• Bodenheim, R. C. (2014). Impact of the Shodan computer search engine on internet-facing industrial control system devices (No. AFIT-ENG-14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT
• [6] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices. International Journal of Critical Infrastructure Protection, 7(2), 114-123
• Brunner, E.M. & Suter, M. (2009). International CIIP Handbook 2008/2009, CRN handbooks, 4(1)
• Bumiller, E. and Shanker, T. (2012). Panetta Warns of Dire Threat of Cyberattack on U.S, The New York Times, 11 October 2012 available at: http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
• Byres, E., & Lowe, J. (2004, October). The myths and facts behind cyber security risks for industrial control systems. In Proceedings of the VDE Kongress (Vol. 116, pp. 213-218)
• Byres, E., Eng, P., & Fellow, I. S. A. (2012). Using ANSI/ISA-99 standards to improve control system security. White paper, Tofino Security
• Cárdenas, A. A., Amin, S., & Sastry, S. (2008). Research Challenges for the Security of Control Systems. In HotSec
• Cherepanov, A. (2017). WIN32/INDUSTROYER, A new threat for industrial control systems. White paper, ESET (June 2017)
• Conway, T., Lee, R. M., & Assante, M. J. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid. Electricity Information Sharing and Analysis Center. Available at: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
• Cook, A., Janicke, H., Smith, R., & Maglaras, L. (2017). The industrial control system cyber defence triage process. Computers & Security, 70, 467-481
• Craig, A. J., & Valeriano, B. (2018) Realism and Cyber Conflict: Security in the Digital Age. Realism in Practice, 85
• DHS (2016). Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies. Industrial Control Systems Cyber Emergency Response Team. https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf [20/05/2019]
• Drias, Z., Serhrouchni, A., & Vogel, O. (2015). Analysis of cyber security for industrial control systems. In Cyber Security of Smart Cities, Industrial Control System and Communications (SSIC), 2015 International Conference on (pp. 1-8). IEEE
• E-ISAC (2016). Analysis of the cyber attack on the Ukrainian power grid. Electricity Information Sharing and Analysis Center (E-ISAC).
• ESET, (2017). ESET discovers dangerous malware designed to disrupt industrial control systems. ESET – Enjoy Safer Technology. 12 June, Available at: https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-dangerous-malware-designed-to-disrupt-industrial-control-systems/
• European Commission (2005). Green Paper on a European programme for critical infrastructure protection, Com. 576 final. Available at: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:52005DC0576&from=BG
• Galloway, B., & Hancke, G. P. (2013). Introduction to industrial control networks. IEEE Communications surveys & tutorials, 15(2), 860-880.
• Higgins, K. J., & Jan, D. (2013). The SCADA patch problem. Information Week. Available at: https://www.darkreading.com/vulnerabilities—threats/the-scada-patch-problem/d/d-id/1138979
• Higgins, K.J. (2018). FireEye Finds New Clue in TRITON/TRISIS Attack. Dark Reading, 6 August. Available at: https://www.darkreading.com/operations/fireeye-finds-new-clues-in-triton-trisis-attack/d/d-id/1332008
• Iversen, W. (2004). Hackers Step Up SCADA Attacks. AutomationWorld. 12 october. Available: https://www.automationworld.com/article/technologies/networking-connectivity/switches-gateways-routers-modems/hackers-step-scada
• Johnson, B., Caban, D., Krotofil, M., Scali, D., Brubaker, N., Glyer, C., (2017). Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye. 14 December. Available at: https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• Kaspersky lab ICS-CERT, (2017). Threat Landscape for Industrial Automation Systems In The Second Half Of 2016, Kaspersky Lab. Available: https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
• Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49-51.
• Langner, R. (2013). To kill a centrifuge: A technical analysis of what stuxnet’s creators tried to achieve. The Langner Group
• Larson, S. (2018). Threats to Electric Grid are Real; Widespread Blackouts are Not. Dragos, 6 August. Available at: https://dragos.com/blog/20180806ElectricGridThreats.html
• Lee, R. (2017 a). CRASHOVERRIDE: Analysis of the threat to electric grid operations. Dragos Inc., March
• Lee, R. (2017 b). TRISIS Malware: Analysis of Safety System Targeted Malware. Dragos Inc. available at: https://dragos.com/blog/trisis/
• Lee, R. M., Assante, M. J., & Conway, T. (2014). German steel mill cyber-attack. Industrial Control Systems, 30, 62
• Liff, A. P. (2012). Cyberwar: a new ‘absolute weapon’? The proliferation of cyberwarfare capabilities and interstate war. Journal of Strategic Studies, 35(3), 401-428
• Lindsay, J. R. (2013). Stuxnet and the limits of cyber warfare. Security Studies, 22(3), 365-404
• Maurer, T. (2018). Cyber Mercenaries. Cambridge University Press
• McAfee, (2009). In the Crossfire: Critical Infrastructure in the Age of Cyber War. McAfee report. Available at: https://img.en25.com/Web/McAfee/CIP_report_final_uk_fnl_lores.pdf
• McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The cybersecurity landscape in industrial control systems. Proceedings of the IEEE, 104(5), 1039-1057
• Moreno, V. C., Reniers, G., Salzano, E., & Cozzani, V. (2018). Analysis of physical and cyber security-related events in the chemical and process industry. Process Safety and Environmental Protection, 116, 621-631
• Napolitano, J. (2009) A New Challenge for Our Age: Securing America Against the Threat of Cyber Attack. Department of Homeland security. 20 October. Available: https://www.dhs.gov/news/2009/10/20/secretary%E2%80%99s-web-address-cybersecurity
• NATO (2019). NATO’s role in cyberspace. NATO Review Magazine, 2019. Available: https://www.nato.int/docu/review/2019/Also-in-2019/natos-role-in-cyberspace-alliance-defence/EN/index.htm
• Nicholson, A., Webber, S., Dyer, S., Patel, T., & Janicke, H. (2012). SCADA security in the light of Cyber-Warfare. Computers & Security, 31(4), 418-436
• NIST (2011). Managing Information Security Risk: Organization, Mission, and Information System View (No. Special Publication (NIST SP)-800-39)
• Rid, T., & McBurney, P. (2012). Cyber-weapons. the RUSI Journal, 157(1), 6-13
• Sadeghi, A. R., Wachsmann, C., & Waidner, M. (2015, June). Security and privacy challenges in industrial internet of things. In Design Automation Conference (DAC), 2015 52nd ACM/EDAC/IEEE (pp. 1-6). IEEE
• Setola, R. (2011), La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici, Centro Militare di Studi Strategici CEMISS, At: http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pubblicazioni/ricerche/Pagine/Lastrategiaglobalediprotezione.aspx
• Setola R., Faramondi L., Salzano E., & Cozzani, V.(2019). An overview of Cyber Attack to Industrial Control System. Chemical Engineering Transactions vol.75,2019
• Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA
• Stouffer, K., Lightman, S., Pillitteri, V., Abrams, M., & Hahn, A. (2015). Guide to Industrial Control Systems (ICS) Security, NIST special publication 800-82, National Institute of Standards and Technology
• Symantec (2011). Symantec. “SCADA (Supervisory Control and Data Acquisition) security threat landscape”. Available at: https://www.symantec.com/security-center/threat-report
• Tabansky, L. (2011). Critical Infrastructure Protection against cyber threats. Military and Strategic Affairs, 3(2) 61-68
• World Economic Forum (2018), The Global Risks Report 2018, https://www.weforum.org/reports/the-global-risks-report-2018
• World Economic Forum (2019). Global Risks Report 2019. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
• Peculiarities and challenges of cyber security for the Industrial Control Systems, Giacomo Assenza, Luca Faramondi, Roberto Setola
• freepik.com