"La maggior parte delle reti OT oggi è ancora autonoma".

Signor Hiestand, qual è lo scenario peggiore per gli attacchi informatici nel settore industriale?

Roger Hiestand: Dobbiamo distinguere tra sicurezza IT e sicurezza OT. Nel settore OT, la comprensione della sicurezza informatica e, in alcuni casi, la tecnologia sono in ritardo di dieci anni rispetto all'informatica. Questo è quindi anche il vettore di attacco più grande o lo scenario peggiore. Anche gli script kiddies, cioè gli utenti senza grandi conoscenze, possono attaccare gli impianti industriali con relativa facilità. Ad esempio, si può aumentare la temperatura di un sistema di refrigerazione in un impianto di lavorazione degli alimenti di cinque gradi senza che nessuno se ne accorga, e tutti gli alimenti sarebbero avariati. Questo passa al controllo della macchina CNC. Potrebbe trattarsi di millimetri quando si fresa un blocco motore, il che potrebbe portare alla perdita totale del motore. Dal lato OT, il settore industriale è ancora molto conservativo. Prima di tutto, si tratta di funzionalità, la sicurezza è a valle: ma ancora, per progettazione, molte cose non sono criptate negli impianti industriali. Per molto tempo non si è pensato alla sicurezza informatica, ad esempio con SNMP o BACnet, nell'industria e nella tecnologia degli edifici. Ci sono sforzi per rendere più sicuri i dispositivi e i protocolli di comunicazione, come SNMP v3 o BACnet Secure. Tuttavia, di solito la strada è lunga prima che i dispositivi finali e il software supportino pienamente gli standard.

Perché sono sempre più in voga gli attacchi ransomware ai sistemi di controllo industriale?

Un attacco informatico dipende sempre da ciò che si vuole ottenere. Se si vuole spiare un segreto commerciale, è più probabile che si utilizzi un Trojan classico. Poi ci si muove "in silenzio". Il danno arriva sempre dopo. Con il ransomware, l'aggressore vuole estorcere denaro, il più possibile: tuttavia, moltissimi sistemi di controllo industriale funzionano ancora oggi con Windows 7 o addirittura con Windows XP, e non, ad esempio, con una versione attuale (eventualmente temprata) di Windows 10. Poiché i due sistemi operativi citati non ricevono più aggiornamenti di sicurezza, un attacco ransomware è diventato di conseguenza più facile ed efficace. Per farlo, un aggressore non deve nemmeno fare molto social engineering. In teoria potrebbe mettere una chiavetta USB sulla scrivania di un custode, e la probabilità che questa chiavetta venga collegata per controllare il contenuto della chiavetta è molto alta, e con questo passo l'attacco è iniziato. Lo sforzo è quindi molto piccolo e il fattore di successo piuttosto grande che le aziende paghino il riscatto, ad esempio sotto forma di bitcoin, perché la maggior parte delle aziende non ha alcuna precauzione di sicurezza, ad esempio per i backup, e dipende quindi dalla decodifica dei dati da parte dell'attaccante.

Quali vettori di attacco rappresentano il rischio maggiore nell'area OT?

Gran parte delle reti negli impianti industriali sono piatte e con poche o nessuna misura di sicurezza. A titolo esemplificativo, una rete piatta è come un binario elettrico. Non ci sono misure di sicurezza che impediscano di collegare qualsiasi cosa e di ottenere energia; lo stesso vale per queste reti piatte. Chiunque abbia accesso a uno switch può collegare qualsiasi dispositivo e scansionare la rete alla ricerca di vulnerabilità. Il problema: nel settore OT, molti interruttori si trovano da qualche parte nel seminterrato, nei magazzini o nelle zone di risalita. Ciò significa che un attacco ha maggiori probabilità di passare inosservato, poiché il flusso di persone in queste stanze tende a essere inferiore rispetto a quello di un ufficio affollato. Poiché le reti sono piatte (livello 2), le telecamere di videosorveglianza o i controllori di ventilazione, ad esempio, possono essere individuati rapidamente e facilmente e compromessi se necessario.

Di chi è il compito di proteggere le reti industriali?

Nelle reti industriali, l'installatore di solito fornisce l'infrastruttura necessaria. Al contrario, se l'installatore fornisce l'infrastruttura, il reparto IT (se presente) spesso dice: non ha più nulla a che fare con il sistema. Qui siamo già in un campo di tensione, nel senso di "fuoco e oblio". Un sistema viene costruito, ma spesso non viene più fornito con le patch rilevanti per la sicurezza. Manca anche il monitoraggio che rileva, ad esempio, la presenza di dispositivi estranei. Per questo motivo tende a non esistere un team specifico che si occupi della sicurezza delle reti industriali. Nella migliore delle ipotesi, se esiste un contratto di assistenza, gli aggiornamenti di sicurezza necessari dei produttori vengono installati durante le ispezioni annuali. L'opinione che non si debba modificare nulla sui sistemi funzionanti (proverbio: "Mai toccare un sistema funzionante") è persistente ed errata.

Esistono "esperti di sicurezza OT" indipendenti o team di esperti che possono essere convocati per un'analisi mirata/reale sulla segmentazione della rete e sulla sicurezza OT in generale?

È proprio qui che siamo entrati in gioco noi dell'Associazione SES. Il nostro obiettivo è quello di affrontare questi problemi attraverso il nostro lavoro. Abbiamo prodotto opuscoli, linee guida, approcci alle migliori pratiche e formazione per sensibilizzare l'opinione pubblica su questo tema. Come indicato in una domanda precedente, il primo passo consiste nel creare una comprensione della sicurezza informatica. Una volta compiuto questo primo passo da entrambe le parti (installatore e cliente), gli esperti di sicurezza IT/OT possono fornire assistenza. E per rispondere chiaramente alla domanda: sì, esistono esperti indipendenti di questo tipo. Come esperto di sicurezza informatica, è un'impresa relativamente semplice familiarizzare con le peculiarità del mondo OT.

Cosa bisogna considerare quando si sceglie un fornitore di sicurezza OT?

È una domanda difficile. Poiché i requisiti e le possibilità sono talvolta piuttosto bassi, è certamente importante garantire l'utilizzo di hardware professionale che abbia una lunga durata sotto ogni aspetto. Ciò significa che non viene utilizzato hardware di consumo che è "a fine vita" dopo solo un anno, ad esempio. Ci sono produttori che offrono un ciclo di vita da sette a dieci anni in casi estremi, che include la sostituzione dell'hardware e gli aggiornamenti di sicurezza. Come secondo criterio, è importante garantire che vengano prese in considerazione le soluzioni legate al processo. Parole chiave: sensibilizzazione dei dipendenti, gestione delle patch e strategia di backup.

È possibile leggere l'intervista completa nell'edizione cartacea di SicherheitsForum del 3 marzo 2021.