I fornitori di sicurezza che hanno tradizionalmente operato nell’ambito informatico stanno cercando di traslare e codificare nell’ambiente industriale le competenze acquisite nella dimensione IT con l’obiettivo di elaborare una logica di difesa e protezione originale.

 

II primo episodio di attacco informatico che ha interessato impianti industriali e infrastrutture critiche risale al novembre 2008 quando fece la sua comparsa Stuxnet, un virus che aveva come bersaglio i sistemi Scada, tecnologia tipicamente dedicata al monitoraggio di gasdotti, oleodotti e reti di erogazione dell’acqua o dell’energia elettrica così come centrali elettriche e nucleari.

A seguire, nel 2016, è venuto alla ribalta Industroyer, malware particolarmente insidioso progettato per interrompere i processi industriali critici e utilizzato per mettere KO la rete di distribuzione elettrica ucraina. Infine – nel dicembre 2017 –  ricercatori di sicurezza hanno rivelato l’esistenza di un nuovo esemplare di malware, battezzato Triton (o Trisis) anch’esso messo a punto per attaccare sistemi di controllo industriali (ICS) in infrastrutture critiche.

Attenzione, abbiamo citato soltanto i casi più eclatanti, ma accanto a questi sono numerosi i vettori di attacco che sono stati sfruttati nel corso degli ultimi dieci anni per sabotare sistemi associati a infrastrutture del mondo delle utility o più genericamente, del mondo industriale.

L’industrial cybercrime è un fenomeno purtroppo destinato a crescere poiché significa confrontarsi con un ambiente IoT, fatto di “cose connesse” che utilizzano protocolli real time per scambiare informazioni. Su questo fronte stanno fortunatamente venendo alla ribalta soluzioni di difesa in grado di minimizzare e contrastare al meglio questo tipo di attacchi.

Ma perché ciò possa avvenire è necessario che venga avviata una sempre più stretta integrazione tra organizzazione informatica e organizzazione OT ovvero quella tipicamente associata alle tecnologie di controllo e automazione a supporto delle operation.

Un processo, quest’ultimo, ancora lontano dall’essere attuato in modo esteso. Nonostante la grande attenzione mediatica generata dalla convergenza digitale dell’IoT, il mondo IT e il mondo dell’automazione industriale sono due realtà pressoché distinte, con pochi punti di convergenza.

Ecco, quindi, che l’obiettivo di tutti coloro che si prefiggono di portare sul mercato soluzioni di sicurezza evolute nell’ambito OT è di estendere la logica informatica al mondo della sicurezza industriale. I fornitori di sicurezza che hanno tradizionalmente operato nell’ambito informatico stanno cercando di traslare e codificare nell’ambiente industriale le competenze acquisite nella dimensione IT con l’obiettivo di elaborare una logica di difesa cercando di sviluppare una soluzione di protezione originale.

Sforzo, quest’ultimo che è del tutto coerente con l’evoluzione dei sistemi di comunicazione nell’ambiente di produzione. Le vulnerabilità del mondo industriale, tradizionalmente associate a una comunicazione seriale, sono infatti diventate tali nel momento in cui i sistemi Scada hanno iniziato a essere interconnessi attraverso protocolli Tcp/Ip poiché si volevano ottenere dati in real time da infrastrutture critiche.

Da allora, quelli che erano per definizione dei mondi chiusi sono diventati aperti alle minacce di internet, che diventava così il gateway di accesso per virus e malware che hanno l’obiettivo di manipolare i dispositivi di controllo industriale.

Il modello di security delle soluzioni più innovative che sono emerse nell’ultimo periodo, si basa sull’analisi di processo ed è in grado di individuare eventuali deviazioni rispetto al funzionamento standard. Queste soluzioni sono in grado di individuare quelle che potremmo definire alterazioni dei parametri “neuro-vegetativi” di un impianto rendendo possibile individuare le possibili disfunzioni e, in ultima analisi, il virus che l’hanno generata.

L’analisi di processo che sottintende questo modello di security è quella che permette di contribuire in modo più efficace alla rilevazione di attacchi zero day, diventati ormai i vettori di attacco più insidiosi. In futuro il passo successivo sarà passare da soluzioni passive a soluzioni dinamiche, in grado di automatizzare la fase di recovery.

 

 

 

Per aggiornamenti in tempo reale su questo argomento, segui la nostra Redazione anche su Facebook, Twitter, Google+ o LinkedIn