La diffusione dell'IoT e i problemi di sicurezza recentemente segnalati mettono in guardia contro i rischi che si corrono sia per i dati inerenti le tipiche attività IT che contro i rischi che si possono correre a livello industriale.
In quest'ultimo campo un potenziale elemento critico sono i sistemi SCADA. Il termine è l'acronimo dall'inglese di "Supervisory Control And Data Acquisition" (traducibile in Controllo di Supervisione e Acquisizione Dati), e si riferisce ad un sistema informatico, dall'architettura tipicamente distribuita e con gestione centralizzata, utilizzato per il monitoraggio e controllo elettronico dei sistemi industriali.
I sistemi da un lato monitorano i sistemi fisici, inviando segnali per controllare e gestire da remoto i macchinari e tutti i processi industriali, dall'altro acquisiscono dati per tenere sotto controllo il funzionamento dei macchinari ed inviare segnali nel caso di problemi.
La svolta per quanto concerne questi sistemi di controllo industriale si è registrata con l'avvento delle applicazioni Cloud prima e dell'Internet of Things più di recente, che li stanno rendendo di più facile fruizione. Ma come in tutte le medaglie il rovescio è costituito dall'aumento dei rischi.
L'Interconnessione dei sistemi SCADA, mette in guardia Paolo Emiliani, Industrial Security Lead Expert di Positive Technologies, costituisce da un lato un beneficio per tante applicazioni industriali, consentendo un'accessibilità maggiore, dall'altro espone le debolezze e le vulnerabilità dei sistemi, che in passato rimanevano confinate all'interno d un sicuro perimetro, a rischi molto più elevati.
"Per questo motivo è necessario affidarsi a produttori qualificati in grado di effettuare un'analisi globale della postura di sicurezza dell'intero sistema ora evoluto in eco-sistema, non limitandosi ad analizzarlo ma verificando ogni interconnessione o componente ed identificandone le rispettive vulnerabilità ed il relativo impatto che queste possono avere sui processi produttivi. In gergo definito come Comprehensive threat modelling", mette in guardia Emiliani. Difficile non essere d'accordo.
I rischi che si corrono per la produzione
I rischi di attacco verso i sistemi industriali sono concreti e reali: si tratta di obiettivi molto sensibili vista l'importanza dei processi che governano e dell'impatto che un disservizio può causare sulla collettività.
Proprio per la loro struttura distribuita sul territorio, colpendo un sistema SCADA si possono arrivare a colpire centinaia o migliaia di altri siti o impianti che diventano a loro volta ingestibili e quindi pericolosi.
Sono innumerevoli, osserva Emiliani, le organizzazioni e i fini che muovono interessi nel compiere o far compiere azioni e strategie di attacco sempre più sofisticate che vanno dalla frode (in tutte le sue accezioni possibili) al creare disservizi.
La sicurezza di questi sistemi non è quindi più procrastinabile ed è diventata una prerogativa assoluta, soprattutto con una produzione just intime e un'organizzazione del lavoro e del time to market sempre più stringente e rapida. Sono già numerosi i casi più o meno eclatanti e/o conosciuti di cyber attacchi verso infrastrutture critiche che si occupano di distribuzione di acqua, gas ed energia.
Se in un generico sistema IT attacchi e manomissioni incidono su fattori come risorse, tempi e finanze, nei sistemi di controllo industriale la mancanza di sicurezza può causare gravi danni, essendo per lo più collegati a tutto ciò che riguarda abitanti, ambiente e territorio.
Un rischio trascurato
Nonostante la pericolosità di un potenziale attacco verso i sistemi industriali sia quindi ampiamente riconosciuta, in larga parte, per circa il 90% delle ricerche effettuate in ambito internazionale su reali sistemi industriali nell'ultimo quinquennio, si è riscontrato un livello di sicurezza estremamente basso ed in alcuni casi critico.
La maggior parte delle aziende non ha recepito le raccomandazioni in termini di segregazione e filtraggio dei flussi comunicativi e "sanitizzazione" delle richieste e in molti casi non si sono adottate misure di protezione adeguate, trascurando così l'alto rischio e i danni effettivi che un attacco potrebbe determinare.
Un esempio tra tanti: in Ucraina nel Dicembre 2015 una compagnia di distribuzione di energia elettrica è stata bersaglio di un attacco hacker che ha causato un grave black-out di oltre 3 ore con gravissimi danni.
E non si è trattato di un caso isolato ma di una serie di azioni coordinate che hanno evidenziato come manomettendo il comando di sistemi SCADA si riesca a gestire centrali elettriche o infrastrutture sensibili, con conseguenze talmente gravi da avere ripercussioni su un'intera nazione.
I fenomeni del Cyber Crime e le Cyber Frauds sono in continua e rapida evoluzione e, mette in guardia Emiliani, è necessario fronteggiarli affidandosi a specialisti del settore, investendo nella ricerca, nella formazione e scegliendo soluzioni innovative nel monitoring, nella protezione delle infrastrutture critiche e specifiche per la propria area operativa.