Cybersecurity in ambito industriale: IoT, Industry 4.0

Autore: Giorgio Sbaraglia

1. Le Origini dell’IoT

Il termine “Internet of Things” (IoT) è stato coniato dall’ingegnere inglese Kevin Ashton, ricercatore presso il Massachusetts Institute of Technology (MIT), che l’ha usato come titolo di una presentazione che tenne alla Procter & Gamble (P&G) nel 1999 sul possibile uso della tecnologia RFID (Radio Frequency IDentification) nella supply chain. (leggi articolo qui)

IoT serviva a descrivere un sistema in cui gli oggetti nel mondo fisico possono essere connessi a Internet attraverso dei sensori.

Dall’intuizione di Ashton, dopo vent’anni l’Internet delle Cose è esplosa ed oggi riguarda miliardi di dispositivi connessi nei campi più svariati, rendendo possibile una maggiore automazione e controllo dei sistemi in cui è applicata.

Tra le tante possibili definizioni di Internet of Things (IoT), ci piace riportare quella che dà ENISA (European Union Agency For Network And Information Security) nel “Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures”, novembre 2017: “a cyber-physical ecosystem of interconnected sensors and actuators, which enable decision making” (“un ecosistema cyber-fisico di sensori e attuatori interconnessi, che consentono un processo decisionale intelligente”).

In pratica, qualsiasi dispositivo elettronico dotato di un processore, di un sistema operativo e di una connessione internet è – a tutti gli effetti – equiparabile ad un computer. È un oggetto connesso (da cui il termine “Internet degli Oggetti”) e per questo attaccabile, proprio attraverso la rete.

Sono tanti i tipi di dispositivi IoT oggi già presenti nelle aziende e nelle nostre case: router, televisori, elettrodomestici, termostati, webcam, automobili, serrature, impianti industriali, dispositivi medicali, sensori ecc.

2. I numeri dell’IoT

Si stima che i dispositivi IoT connessi siano arrivati ad oltre 30 miliardi nel mondo (fig.1).

Grafico a blocchi rappresentante i dispositivi installati a livello mondiale

Secondo la previsione è International Data Corporation (IDC), la spesa mondiale in IoT, potrebbe superare i 1.000 miliardi (un trilione) di dollari nel 2022, raggiungendo 1.100 miliardi di dollari nel 2023, secondo la distribuzione per settori indicata in figura 2.

Grafico rappresentante la spesa mondiale in IoT

Il collegamento alla rete rende possibile il controllo di questi dispositivi da remoto.
E se questi non sono adeguatamente protetti, gli attacchi informatici diventano una minaccia reale ed anche molto seria, ancora più gravi quando vanno a colpire impianti industriali ed infrastrutture critiche.

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui


3. Cosa sono gli Industrial Control System

Vediamo dunque cosa sono gli ICS: questo è l’acronimo di Industrial Control Systems, sistemi di controllo industriale, la forma più importante – e critica – dell’IoT e dell’Industry 4.0.

Sono sistemi e tecnologie di diverse tipologie, ad esempio sistemi SCADA (Supervisory Control And Data Acquisition) e Controllori Logici Programmabili (PLC).

Gli SCADA servono a monitorare e controllare da remoto impianti industriali ed infrastrutturali. Le vulnerabilità di cui sono affetti sono state la causa di molti attacchi mirati, di cui parleremo nel seguito. Altri attacchi hanno agito sui PLC, come il famoso Stuxnet.

Schema raffigurativo di un Industrial Control Systems (ICS)

Fonte: https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.slideshare.net%2Farnaudsoullie%2Fintroduction-to-industrial-control-systems-icsv11&psig=AOvVaw1wnUnucdHu6exv-a5to-07&ust=1623936808139000&source=images&cd=vfe&ved=0CA0QjhxqFwoTCPjDyKSinPECFQAAAAAdAAAAABAK

Gli ICS gestiscono i processi fisici e vengono ampiamente utilizzati in molto settori industriali: oil and gas, centrali e reti elettriche, autostrade, i porti, gli aeroporti, le stazioni ferroviarie, le reti elettriche. Si parla – a ragione – di infrastrutture critiche.

Inizialmente i sistemi industriali avevano caratteristiche che li rendevano immuni dalle minacce cyber, non essendo collegati in rete IP

Quando gli ICS sono stati connessi ad Internet, assieme agli innegabili vantaggi sono comparsi rischi importanti per la loro sicurezza. Da un lato, i sistemi connessi sono più flessibili in termini di reazione rapida alle situazioni critiche e di implementazione degli aggiornamenti. Ma, dall’altro lato, queste infrastrutture, che gestiscono servizi vitali, hanno dimostrato la loro vulnerabilità agli attacchi Cyber.

Possiamo considerare gli anni duemila come il momento d’inizio di questi attacchi, quando con la standardizzazione della connettività dei sistemi industriali (SCADA, PLC, ecc.) attraverso i protocolli TCP/IP si è realizzata la convergenza dell’IT con l’OT (Operational Technology).

4. Dai sistemi SCADA alla convergenza dell’IT con l’OT

L’architettura SCADA è nata negli anni ’50, molto prima della comparsa della rete internet.
Per questo erano definiti “monolitici”: erano sistemi isolati, controllati da PLC, ma senza alcuna connessione.

Immagine esemplificativa di uso dei sistemi scada e l'importanza per lautomazione industriale

Fonte: https://www.google.com/url?sa=i&url=https%3A%2F%2Ftecnologia.libero.it%2Fcosa-sono-i-sistemi-scada-e-limportanza-per-lautomazione-industriale-14442&psig=AOvVaw2K5yBOEgblv2EjA0USBi8_&ust=1623936890130000&source=images&cd=vfe&ved=0CA0QjhxqFwoTCKC-tMGinPECFQAAAAAdAAAAABAK

Nelle successive generazioni SCADA i sistemi sono stati connessi alla rete, ma spesso senza essere progettati con meccanismi in grado di prevenire accessi non autorizzati o di affrontare la continua evoluzione delle minacce derivanti da reti interne ed esterne.

In altre parole: le reti industriali sono divenute sempre più complesse, con decine ed a volte centinaia di dispositivi connessi (PLC, sensori, PC, switch, router, ecc.), ma senza un progetto preciso.

5. Le “Best Practice” per proteggersi

Si trascurano le “best practices” che vengono applicate nelle normali reti aziendali e si realizzano quindi reti “piatte”, prive di segmentazione e di segregazione degli asset più critici.
Spesso queste reti non vengono neppure protette dai firewall, che sono invece utilizzati sulla rete dei computer aziendali.

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud
per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui


 

I sistemi SCADA frequentemente vengono installati su vecchi PC e “dimenticati”: si trascurano le patch di aggiornamento, con sistemi operativi ormai obsoleti.

Una delle maggiori criticità dei sistemi OT è il loro ciclo di vita, mediamente superiore ai 10-15 anni (contro un ciclo medio di 3-5 anni per i sistemi IT). È ancora molto presente WindowsXP (non più supportato da Microsoft dall’aprile del 2014) e Windows Server 2003 (supporto terminato dal luglio 2015).

Vari messaggi di errore di sistemi SCADA trascurati e non aggiornati

Fonte: https://stock.adobe.com/it/images/retro-error-message-old-user-interface-system-failure-window-fatal-and-critical-errors-messages-damaged-computer-problem-warnings-vector-set-failed-operations-or-os-crash-widgets-with-buttons/322006665

 

E inoltre: a volte mancano antivirus/antimalware, perché non previsti o non compatibili con le applicazioni. E quasi mai la rete viene “chiusa”: ci sono porte USB accessibili, le porte di sistema vengono lasciate aperte (magari per l’accesso remoto di manutentori) o addirittura dimenticate aperte.

In conclusione: l’approccio con cui si progettano e si gestiscono gli ICS è molto di tipo “industriale” e molto poco rivolto alla sicurezza, come se questi impianti fossero ambientati in un mondo dove il cyber rischio ancora non esisteva.

È necessario cambiare completamente questo atteggiamento e considerarli alla pari delle reti informatiche, con la consapevolezza che – in caso di attacco – l’impatto potrebbe essere addirittura più grave.

6. IT vs. ICS/OT: un rapporto complicato

Per lungo tempo, sin dalla nascita dei sistemi SCADA, Information Technology (IT) e Operational Technology (OT) si sono sviluppate come due domini completamente distinti e separati.
IT si focalizzava su tutte le tecnologie necessarie per gestire processi informatici con finalità prevalentemente economico-finanziarie.

OT si focalizzava su dispositivi, sensori, reti e software necessari per gestire i processi operativi (es. fornitura dell’energia e sistemi di produzione) con finalità prevalentemente di affidabilità e sicurezza.

La progressiva apertura e integrazione del mondo OT con il resto dei processi informatici ha cambiato completamente questa visione. I due domini stanno diventando sempre più interconnessi.

Ma questa interconnessione fatica ad integrarsi nelle aziende, perché ancora oggi IT ed OT sembrano avere priorità differenti, come vediamo nella figura 3.

Schema delle priorità di sistemi SCADA IT ed OT

In sintesi: in ambito IT ha la massima priorità la confidenzialità del dato, che non deve essere rubato (Confidentiality).  Mentre in ambito produttivo (OT) è la disponibilità del dato l’aspetto più importante, perché se il dato non è più disponibile (Availability), o viene alterato (Integrity) la produzione rischia di bloccarsi.

7. La natura dei cyber attacchi ai sistemi industriali

Oggi gli attacchi informatici sono sempre più frequenti e rivolti soprattutto ai sistemi IT. Tra questi i più diffusi sono i ransomware, che criptano i file, bloccando l’operatività delle aziende.

Ma un attacco informatico ad un sistema industriale potrebbe avere effetti ancora più gravi, perché può colpire infrastrutture critiche ed operatori di servizi essenziali (elettricità, acqua, trasporti, ecc.).

Per questo, ancor più con la diffusione di Industry 4.0, i sistemi OT vanno protetti con la massima attenzione. Hanno evidentemente la necessità di essere collegati, ma questi collegamenti dovranno essere presidiati e controllati con grande attenzione.

La rete industriale dovrà essere segregata in sottoreti protette e – laddove queste reti devono comunicare con i sistemi IT dell’azienda – collegate alla rete IT attraverso punti ben definiti e controllati con sistemi di protezione.

8. Il sistema di “Industrial Demilitarized Zone”

Si parla per questo di IDMZ (Industrial Demilitarized Zone): tra i sistemi aziendali (IT) e l’area OT industriale si trova la zona demilitarizzata industriale o IDMZ. Questa consente di collegare in modo sicuro reti con diverse esigenze di sicurezza (IT e OT).

Impedendo la comunicazione diretta tra i sistemi IT e OT, si aggiunge un ulteriore livello di separazione nell’architettura complessiva della rete aziendale. I sistemi nei livelli industriali non sono direttamente esposti ad attacchi.

Schema raffigurante una connessione tra i sistemi aziendali IT, l'area OT e la zona demilitarizzata industriale o IDMZ

Fonte: https://waterfall-security.com/dmz-the-industrial-context/

 

Se un attacco dovesse coinvolgere un sistema industriale, l’IDMZ potrebbe essere chiuso, la compromissione potrebbe essere contenuta (mitigata) e la produzione potrebbe continuare.
I sistemi tipicamente presenti nella zona industriale demilitarizzata includono server proxy (web), server di replicazione di database, controller di dominio Microsoft ecc.

Questa architettura segregata con IDMZ serve proprio per impedire il rischio più frequente: un attacco ai sistemi OT che arrivi attraverso la rete IT, tipicamente più esposta. Perché molti dei più famosi e gravi cyber attacchi ai sistemi industriali sono arrivati attraverso la rete IT e in molti casi hanno sfruttano l’errore umano.

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui


 

9. Casi di attacchi famosi e… molto istruttivi!

L’attacco Stuxnet nella centrale di iraniana di Natanz (2010)

Stuxnet ha rappresentato una pietra miliare nel cyberwarfare (guerra cibernetica), oltre che uno dei casi più famosi di attacco ICS.

Nel gennaio 2010, nella centrale nucleare di Natanz in Iran, le centrifughe dedicate all’arricchimento dell’Uranio 235 impazzirono, andarono fuori controllo ed esplosero. Questo mise fuori uso almeno 1.000 delle 5.000 centrifughe iraniane e comportò un ritardo di alcuni anni per il programma nucleare iraniano.

Foto raffigurante la centrale nucleare che ha subito l'attacco Stuxnet

Fonte: https://www.cybersecitalia.it/cybercrime-torna-ad-attaccare-stuxnet-il-malware-delle-centrali-nucleari-allarme-in-iran/7110/

Cosa era successo? Un sofisticato attacco informatico condotto da USA ed Israele attraverso l’operazione con nome in codice “Giochi Olimpici” realizzato per danneggiare il programma atomico iraniano, senza scatenare una guerra convenzionale.

L’operazione fu affidata a esperti americani della National Security Agency (NSA), in collaborazione con tecnici informatici israeliani (la mitica Unit 8200 dell’Israel Defense Force – IDF).

Fu creato un malware micidiale e molto sofisticato, denominato Stuxnet, che era in grado di agire sugli impianti industriali all’interno di Natanz, prendendo il controllo dei PLC Siemens Simatic S7-300, che comandavano il funzionamento delle centrifughe per l’arricchimento dell’uranio.

Una volta progettata e realizzata l’arma informatica, appunto Stuxnet, questa per agire doveva essere introdotta nella centrale. In qualsiasi attacco informatico, la fase di intrusione è sempre una delle fasi più delicate e difficili da realizzare: per realizzare l’attacco, l’attaccante deve prima di tutto entrare nel sistema target.

Grafico che descrive il funzionamento dell'attacco Stuxnet

Fonte: https://tech.everyeye.it/articoli/speciale-stuxnet-virus-che-sconvolse-mondo-30317.html

 

Come ha fatto Stuxnet a penetrare nella centrale di Natanz?
Ovviamente gli iraniani non erano così sprovveduti da mettere in rete le loro segretissime centrali.
Queste erano isolate dalla rete: si parla in questi casi di sistemi “air gapped”, cioè disconnessi fisicamente dal resto della rete per garantire maggiore sicurezza.

Il problema per gli attaccanti era perciò quello di riuscire a far entrare il malware Stuxnet a Natanz.
Ormai sembra assodato che l’inizio del contagio da parte di Stuxnet sia avvenuto dall’interno della centrale stessa tramite una chiavetta USB infetta, introdotto da alcuni fornitori iraniani.

Queste aziende erano ignare di essere state attaccate e, una volta infettate, è stata solo una questione di tempo prima che la centrale di Natanz venisse colpita. Attraverso una chiavetta USB inserita nei computer all’interno di Natanz, l’infezione si è propagata dai computer Windows al software industriale Step7 (realizzato dalla Siemens) che controllava i PLC della centrale e ne ha modificato il codice.

Foto raffigurante una chiavetta USB a forma di granata

Fonte: https://www.bitmat.it/blog/news/chiavette-usb-e-cyber-security-vietarle-e-possibile/

 

Ancora oggi le chiavette USB sono un metodo relativamente facile e poco sospettabile per iniettare codice malevolo. La maggior parte delle persone, infatti, le inserisce nei computer senza preoccuparsi troppo di eventuali virus che queste possono contenere. Anche in questo caso il “fattore umano” è stato il punto più debole della sicurezza!

Maggiori informazioni sull’attacco Stuxnet qui

BlackEnergy “spegne” l’Ucraina (2015)

Un altro famoso cyber attacco ai sistemi industriali è quello che ha colpito le centrali elettriche ucraine nel 2015.

23 dicembre 2015 ore 15:35: la Ukrainian Kyivoblenergo, un distributore regionale di elettricità, subisce un attacco informatico. Vengono poi in breve tempo colpiti i sistemi di almeno 3 operatori elettrici regionali.

Foto raffigurante la centrale elettrica Ucraina che subì l'attacco malware BlackEnergy

Fonte: https://www.panorama.it/si-chiama-blackenergy-il-malware-che-ha-spento-tre-centrali-ucraine

 

Sette sottostazioni a 110 kV e ventitré a 35 kV vengono disconnesse per oltre tre ore. 225.000 persone rimangono senza energia elettrica.

L’attacco è portato da un paese straniero (si sospetta che sia la Russia),
L’agente usato per l’attacco è stato il trojan BlackEnergy che prende il controllo dei sistemi SCADA delle centrali, apre gli interruttori e causa un’interruzione di corrente in una vasta area dell’Ucraina.

Per ripristinare il servizio, i gestori delle centrali sono dovuti passare al controllo manuale degli impianti. Anche in questo caso il vettore utilizzato per penetrare nelle centrali ha sfruttato il fattore umano ed il social engineering: è stata utilizzata una email di spear phishing per accedere alle reti aziendali dei tre gestori.

Foto raffigurativa del trojan BlackEnergy inserito nelle Macros di Office

Fonte: https://www.cybersecurity360.it/nuove-minacce/blackenergy-il-malware-usato-per-colpire-i-sistemi-industriale-dettagli-ed-evoluzione/

 

L’email conteneva un allegato Excel armato con una macro (figura 4): l’attivazione della macro da parte dell’utente che l’ha ricevuta (probabilmente un obbiettivo accuratamente individuato) ha aperto la porta a BlackEnergy, scatenando l’attacco.

10. Conclusioni

In conclusione, è importante essere consapevoli che i sistemi ICS per quanto possano essere protetti e segregati, devono avere necessariamente avere collegamenti di rete (o comunque comunicare con l’esterno, anche solo per interventi di manutenzione ed aggiornamento).
Questo rappresenta il punto di vulnerabilità del sistema, attraverso cui l’attaccante può entrare.
E – lo ribadiamo – l’intrusione, anche in questo tipo di attacchi, passa soprattutto attraverso l’errore umano, con tecniche di social engineering e phishing.
I sistemi di protezione che FlashStart fornisce sono finalizzati proprio a contenere e prevenire questi tipi di attacchi, agendo per prevenire ed impedire che il phishing possa agire.

L’autore

Giorgio Sbaraglia (https://www.giorgiosbaraglia.it), ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.

Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali la 24Ore Business School. (maggiori informazioni qui)
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.

È autore dei libri:
» GDPR kit di sopravvivenza” (Editore goWare),
» Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
» iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine,  per Agenda Digitale e per la rivista CLASS.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui