Un controllo degli impianti a prova di attacco informatico nei servizi idrici può contribuire a un approvvigionamento sicuro della popolazione. Scopriamo insieme come.
Nel corso degli ultimi anni sempre più servizi di pubblica utilità sono vittime di attacchi da parte di hacker professionisti. E il settore dell’acqua non fa eccezione. I servizi idrici che riforniscono almeno 500.000 persone appartengono alle infrastrutture critiche per le quali esistono già alcune disposizioni, ad esempio l’obbligo di rispettare gli standard minimi della Legge federale sulla sicurezza informatica. Secondo Manuel Atug, fondatore e portavoce del gruppo di lavoro AG Kritis, in Germania soltanto una piccola parte di essi rientra in questa categoria: dei quasi 5.000 servizi idrici solo meno di 30 sono considerati gestori di infrastrutture critiche. Per quanto riguarda il resto, un singolo attacco informatico può causare il collasso di un’intera rete di acque reflue, nonché danni ingenti alle pompe per decine di milioni, come è stato calcolato in uno scenario fittizio. Un’infrastruttura degli impianti sicura e affidabile – che tiene conto non solo della tecnologia dell’informazione (IT) ma anche dell’ambito sempre più connesso della tecnologia operativa (OT), come il livello di controllo – sta diventando più importante che mai.
La progressiva digitalizzazione non ha soltanto fatto emergere sempre più vulnerabilità di sicurezza dei prodotti hardware e software compatibili con Internet. Con l’aumento del numero di dispositivi intelligenti interconnessi sono comparsi molti altri potenziali punti deboli in termini di sicurezza. Negli ultimi anni anche i servizi idrici sono diventati sempre più sensibili agli attacchi di hacker professionisti, come dimostra uno studio di Alpha Strike, società di consulenza berlinese. Un’ispezione dell’architettura di sicurezza dei Berliner Wasserbetriebe (BWB), i servizi idrici di Berlino, ha fatto emergere gravi lacune che potrebbero avere conseguenze disastrose sull’approvvigionamento degli abitanti della capitale tedesca. Lo scenario inventato descrive il tracollo del sistema di gestione delle acque reflue causato da un attacco informatico. Una situazione di questo genere provocherebbe in poco tempo l’intasamento dei tubi di scarico e delle fognature e, nel peggiore dei casi, il collasso degli impianti sanitari, che a sua volta avrebbe gravi conseguenze per l’igiene e potrebbe causare la diffusione di malattie. Anche all’estero vengono registrati con crescente frequenza attacchi ai servizi idrici, ad esempio un gestore del North Carolina (Stati Uniti) fu vittima di un ricatto nel 2018, poco dopo il devastante passaggio dell’uragano Florence. Nello stesso anno avvenne anche un attacco anonimo alla criptovaluta – in questo caso di parla anche di “cryptojacking” – di un sistema idrico europeo. La particolarità di questo episodio è che il malware scoperto nella rete del gestore attacca i sistemi di controllo industriale (ICS) o i server SCADA (Supervisory Control and Data Acquisition). Alcuni anni prima, nel 2013, un gruppo di hacker iraniani aveva preso di mira il sistema di controllo di una diga di New York riuscendo ad accedere alla tecnologia di controllo e regolazione.
Gli standard di sicurezza IT sono già definiti in maniera sufficiente
Alla luce di questi episodi, il tema della sicurezza informatica è una priorità del legislatore già da diverso tempo, il che si riflette nei numerosi requisiti di legge a livello UE, ma anche nazionale, e nei relativi livelli delle disposizioni per la sicurezza informatica. Essi sono indispensabili sia per l’ampliamento e la modernizzazione degli impianti esistenti sia per la costruzione di nuovi impianti. Il legislatore promuove varie misure per la protezione delle infrastrutture centrali contro gli attacchi informatici attraverso il pacchetto composto dalla Legge federale sulla sicurezza informatica e dall’ordinanza Kritis dedicata ai settori critici da tutelare dell’Ufficio Federale per la sicurezza informatica (BSI). Anche i servizi idrici sono interessati da queste misure. Attualmente l’ordinanza Kritis si applica a tutte le aziende delle seguenti categorie di impianti: acquedotto, impianto di raccolta, impianto di trattamento, rete di distribuzione idrici e centrale di controllo, il cui volume annuale di acqua è di almeno 22 milioni di m³/anno. Ma dato che le aziende che forniscono l’acqua e gestiscono le acque reflue rientrano fondamentalmente nelle infrastrutture critiche, il BSI consiglia non da ultimo anche alle aziende più piccole di occuparsi dell’argomento sicurezza informatica. Per questo motivo lo standard di sicurezza tedesco supplementare, specifico per il settore delle acque/acque reflue (chiamato B3SWA), promuove una linea guida di sicurezza per concretizzare i requisiti di attuazione descritti. Essa si basa sullo standard internazionale DIN EN ISO/IEC 27001 e sulla creazione di un sistema di gestione della sicurezza delle informazioni (ISMS).
Pertanto, la linea guida di sicurezza IT rappresenta un passo fondamentale per la protezione delle aziende del settore idrico, ma non è assolutamente sufficiente. Infatti, essa tiene conto in prima linea i sistemi informatici e di telecomunicazione, escludendo un campo cruciale: le tecnologie operative (OT).
IEC 62443 regola la sicurezza informatica OT
A differenza dell’IT, l’OT si occupa della gestione dei processi fisici come i sistemi di controllo industriale, i controllori, i sensori e i sistemi integrati (embedded system). Mentre le disposizioni relative all’IT si concentrano principalmente sulla riservatezza dei dati, gli obiettivi di protezione primari di IEC 62443 sono la disponibilità e l’integrità dell’impianto, per cui la sicurezza funzionale rappresenta il punto focale dello standard.
Per questo motivo, nel settore si utilizza spesso la serie di norme IEC 62443 (1), che ha origine nella tecnologia di automazione dell'industria di processo e il cui campo di applicazione copre tutti i settori industriali e le infrastrutture critiche. Qui la priorità è la sicurezza informatica dei sistemi di automazione e controllo industriali (Industrial Automation and Control Systems, IACS), che includono tutti i componenti necessari per un funzionamento affidabile e sicuro di un impianto automatizzato, ma anche i processi organizzativi per la costruzione e il funzionamento.
Le due serie di norme ISO/IEC 27000 e IEC 62443 si contraddistinguono per il proprio campo di applicazione. Ciononostante, non si escludono a vicenda, bensì sono complementari. I due campi di applicazione permettono ai servizi idrici di coprire sia la gestione delle informazioni (IT) sia la gestione dei processi fisici negli impianti (OT).
Un concetto di difesa a più livelli è decisivo
Nella pratica, un concetto di sicurezza completo dovrebbe fondamentalmente tenere conto di tutti gli ambiti rilevanti che potrebbero essere coinvolti in un potenziale attacco. Il cosiddetto approccio di difesa in profondità (defense in depth) considera diversi livelli o misure di sicurezza che un hacker dovrebbe superare per raggiungere il suo obiettivo. Eppure, questo concetto globale funziona solo se diverse parti interessate collaborano. Nel regolare la difesa in profondità, IEC 62443 descrive tre ruoli fondamentali, ovvero il gestore stesso, i partner di integrazione e i produttori dei componenti dell’impianto:
- I gestori sono responsabili del primo livello, che comprende principalmente l’educazione del personale e la protezione fisica dell’impianto. Corsi di formazione sensibilizzano il personale ai pericoli legati agli attacchi informatici. Inoltre, è importante creare all’interno dell’organizzazione strutture trasparenti con ruoli e diritti corrispondenti. Oltre alle misure di protezione fisica, come la separazione e la limitazione di determinate aree di sicurezza, i requisiti di base per tutti i livelli successivi includono anche il controllo degli accessi.
- Il secondo livello di difesa, di cui è responsabile il partner di integrazione, si trova a livello di rete o di sistema. Il catalogo delle misure include ad esempio la realizzazione di cosiddetti zone e condotti (“Zones and Conduits”). Una zona di sicurezza è un raggruppamento di più componenti fisici correlati funzionalmente nella rete, che hanno lo stesso requisito di protezione e che richiedono un determinato livello di misure di sicurezza. Le due zone i maggiori requisiti di protezione sono in genere i sistemi di automazione per la misurazione, il controllo e la regolazione dell’impianto. I condotti, invece, sono i canali di comunicazione tra queste singole zone. Qualsiasi tipo di scambio di informazioni avviene attraverso questi canali sicuri.
- Il livello di sicurezza più interno contiene i dispositivi e i componenti che sono necessari il funzionamento continuo dell’impianto. A questo livello sono i produttori ad avere la responsabilità principale di dotare i loro dispositivi di funzioni di sicurezza informatica adeguate affinché essi non permettano agli hacker di accedere all’impianto. Più avanti descriveremo in dettaglio una delle aree critiche dell’impianto, ovvero il suo controllo.
Tutto ruota attorno al livello di sicurezza
Per pianificare e creare zone di sicurezza e condotti di questo tipo è molto importante individuarne i requisiti di protezione, in quanto solo da essi è possibile dedurre il catalogo concreto delle misure di sicurezza. A tal fine è indispensabile che i gestori di tutti gli impianti eseguano o facciano eseguire un’analisi dei rischi e delle minacce. In questo senso è necessario chiedersi a quali minacce potenziali è esposto l’impianto e qual è il livello di sicurezza appropriato per affrontarle. Esistono quattro classificazioni:
- Protezione contro attacchi casuali e non intenzionali
- Protezione contro attacchi intenzionali con mezzi semplici, minimo sforzo, competenze generiche e bassa motivazione
- Protezione contro attacchi intenzionali con mezzi avanzati, medio sforzo, competenze specifiche e media motivazione
- Protezione contro attacchi intenzionali con mezzi avanzati, notevole sforzo, competenze specifiche e motivazione elevata
Il ventaglio spazia quindi da attacchi piuttosto casuali ad attacchi mirati con un obiettivo specifico con un livello elevato di preparazione e impiego di mezzi. Dalla pratica è già emerso che il settore idrico appartiene raramente alla prima categoria. Il catalogo delle misure di sicurezza e dei relativi mezzi organizzativi e finanziari cresce all’aumentare del livello di sicurezza. Ciononostante, al momento di identificare la categoria corretta per il proprio impianto è necessario essere rigorosi in quanto una “protezione a metà” non ha alcun effetto.
Il punto di partenza? Il livello di controllo
Una volta individuato il livello di sicurezza corretto, i gestori degli impianti devono fare in modo che i loro partner di integrazione dei sistemi creino le zone e i condotti in conformità alle disposizioni del livello di sicurezza. Questo processo include anche l’implementazione di hardware e software corrispondenti. Ma da dove iniziare? Perché non dalla zona più importante, ovvero dal livello di automazione? Il controllo dell’impianto è uno dei sistemi cruciali per garantire un funzionamento corretto. In questo senso i produttori si sono già portati avanti: se in passato venivano richiesti sistemi aperti, in futuro i requisiti di sicurezza informatica richiederanno controlli protetti crittograficamente affinché i nuovi standard di sicurezza vengano soddisfatti.
Ad esempio, di recente Saia Burgess Controls presentato Saia PCD® QronoX, il suo primo sistema dotato di tecnologia PLC che soddisfa pienamente i requisiti di sicurezza informatica IEC 62443 per il livello di sicurezza 3 sia per il lato software sia per quello hardware. Come funziona? Con moderne procedure software e hardware per crittografare e firmare programmi e dati utenti che, insieme alla gestione degli utenti basata sui ruoli, garantiscono esclusivamente l’accesso autorizzato. Le installazioni esistenti possono essere aggiornate con facilità ai nuovi controlli IEC, riducendo i costi di investimento e installazione.
Conclusioni
La sicurezza informatica è un aspetto essenziale e dovrebbe rimanere una priorità non solo dei servizi idrici che sono considerati gestori di infrastrutture critiche. Non c’è dubbio che un controllo avanzato dell’impianto mediante componenti intelligenti e interconnesse comporti enormi vantaggi, ma per fare la differenza è necessario riconoscere l’impatto delle nuove tecnologie sulla sicurezza della catena di approvvigionamento degli impianti. Infatti, con le nuove tecnologie aumentano le minacce e allo stesso tempo la portata delle potenziali conseguenze di un attacco informatico. In prima linea è fondamentale comprendere che la vulnerabilità di un impianto va ben oltre la sua infrastruttura IT: anche i sistemi OT costituiscono bersagli appetibili per gli hacker. Secondo le linee guida attualmente in vigore i servizi idrici non sono le uniche realtà a dover assumersi la responsabilità di proteggere i propri impianti e processi operativi contro gli attacchi informatici. Va da sé che il loro compito richiede una valutazione precisa del proprio rischio e la classificazione nel livello di sicurezza corretto. La responsabilità per la successiva implementazione delle misure tecniche è invece dei progettisti tecnici – attraverso i relativi capitolati – e degli integratori dei sistemi. I produttori dei nuovi sistemi, concepiti in conformità alle linee guida di sicurezza informatica, forniscono a loro volta la base per la realizzazione di zone di sicurezza e di canali di comunicazione, nonché la protezione appropriata di ciascun livello. Possiamo quindi affermare che un controllo affidabile dei sistemi può rappresentare un approccio valido per un controllo affidabile dell’intero impianto.
Autore: Oliver Greune, responsabile tecnico di prodotto per l’automazione degli edifici di Saia Burgess Controls
(1) Nota anche come ANSI/ISA-62443. Vista la cooperazione con IEC, la numerazione dei documenti è stata adattata alle norme IEC corrispondenti.
