Negli ultimi anni stiamo assistendo ad una continua crescita di attacchi cyber a livello mondiale, con un evidente trend di cambiamento dei target attaccati. Mentre per anni il target principale sono stati utenti finali, con lo scopo di effettuare delle frodi on-line, o aziende con core business legato alle informazioni personali dei propri clienti (es. Ashley Madison il sito d’incontri extraconiugali colpito da un attacco hacker), oggi si sta assistendo a un notevole incremento di attacchi verso il mondo industriale. Il razionale principale si trova nella progressiva compenetrazione tra il mondo ICT (Information e Communication Technology, tipicamente indicato come IT) e quello ICS (Industrial Control System, tipicamente indicato come OT) e nella standardizzazione delle tecnologie di quest’ultimo.

Le tecnologie IT, infatti, hanno una diffusione e standardizzazione notevoli e di conseguenza sono molto conosciute anche ad eventuali attaccanti. Le vecchie tecnologie del mondo OT di tipo proprietario risultavano, invece, più difficilmente accessibili. Oggi, i due mondi si stanno sempre più intersecando e il mondo OT si sta dotando di tecnologie e protocolli tipicamente IT, anche grazie alla forte spinta innovativa legata alla nascita di tecnologie IIoT (Industrial Internet of Things) e alla rivoluzione industriale denominata Industry 4.0, determinando un aumento della superficie sfruttabile per eventuali attacchi cyber.

Quanto detto finora serve principalmente ad evidenziare un elemento chiave quando si parla di infrastrutture critiche e cioè che gran parte di queste sono anche delle realtà industriali, nel senso che dispongono di impianti (di produzione, generazione energia, distribuzione etc.) e dei relativi sistemi di controllo automatico. Le conseguenze sono ovvie: le infrastrutture critiche dovranno preoccuparsi di proteggere i propri ambienti IT al pari di quelli OT.

Tuttavia, mentre nel caso di attacchi verso realtà principalmente IT, i razionali sono tipicamente di carattere economico e finalizzati a un guadagno immediato (es. ransomware, un tipo di malware che limita il funzionamento del dispositivo colpito e prevede il pagamento di un riscatto per ripristinare le normali condizioni di operatività), un attacco a realtà industriali ha, in aggiunta, anche altri motivazioni. Si possono infatti considerare scenari che vanno dallo spionaggio tra competitor anche a livello internazionale, in cui l’obiettivo è carpire informazioni circa prodotti o soluzioni che consentano un certo vantaggio competitivo, fino ad azioni di vero e proprio Cyber Warfare in cui uno stato sovrano può cercare di influenzare dinamiche politiche ed economiche di altri stati. In questo secondo caso, lo scenario che rappresenta la preoccupazione principale per un paese è quello legato alle interruzioni di servizi essenziali erogati tipicamente da infrastrutture che sono ritenute critiche.

Negli ultimi anni abbiamo assistito a diversi eventi in cui sono state coinvolte realtà industriali: nel 2010 si ricorda il famoso caso di Stuxnet che ha determinato un rallentamento del programma di arricchimento dell’uranio in Iran; è invece del 2012 quando Saudi Aramco subisce un attacco veicolato tramite la rete ICT (quindi non industriale) che ha bloccato oltre 3.300 pc con un blocco prolungato del business; ancora, l’attacco a Black Energy in Ucraina nel dicembre 2015, durante il quale l’azienda elettrica ha perso il controllo della rete e 230.000 residenti sono rimasti in assenza di energia, nel caso più fortunato per qualche ora; si ricorda anche un tentativo di estorsione tramite ransomware ad una utility idrica in Michigan nel 2016, in cui l’azienda ha auto-imposto uno shut-down dei sistemi per due settimane e le cui conseguenze non sono state ancora rese note. E questo per citare i casi più eclatanti e soprattutto noti. Per voler guardare qualche dato, molti fornitori di tecnologie e servizi per la cyber security hanno inoltre evidenziato un trend di crescita significativo negli ultimi 2-3 anni del numero di incidenti cyber nel mondo industriale; secondo IBM MSS, per usare come esempio una fonte decisamente autorevole, l’incremento tra il 2015 e il 2016 è stato del 110%.

Quello che a questo punto è lecito domandarsi, è quali siano gli strumenti a disposizione per tutelarsi da eventuali impatti legati a un attacco cyber. Ovviamente non c’è una soluzione o una risposta unica.

Nella nostra esperienza abbiamo visto un grosso aumento di investimenti da parte delle aziende dei settori industriali principali (Elettrico, Oil & Gas, Trasporti, etc.) che tuttavia si basa principalmente sull’esistenza di standard internazionali (es. ISA-62443, NIST 800-82, ISO27019 etc.) e di best practice di settore. Al momento quindi, i vertici delle aziende hanno percepito l’entità degli impatti potenziali legati a un evento cyber e si stanno muovendo al meglio delle loro possibilità per limitare eventuali conseguenze. Un approccio consolidato prevede la definizione di una metodologia di cyber risk management che consenta all’azienda di valutare il livello di rischio per determinate tipologie di eventi e decidere di conseguenza come indirizzare gli investimenti per aumentare il proprio livello di protezione.

L’obiettivo principale delle industrie è quindi quello di capire quali siano le componenti maggiormente rilevanti per il loro business e definire delle strategie per la messa in sicurezza a fronte di eventuali incidenti legati al mondo cyber.

Tuttavia le imprese fanno i conti con la propria attitudine al rischio e con le proprie metodologie, che non necessariamente sono all’altezza di fronteggiare situazioni particolarmente complesse e con impatti estesi sul territorio nazionale, come nel caso dell’Ucraina. Da qui la necessità di identificare degli approcci condivisi e consolidati, in alcuni casi con carattere di obbligo, a livello di Comunità Europea e di singola nazione.

Dal punto di vista regolatorio, l’Europa si è mossa in diversi modi, dalla creazione di istituzioni con l’obiettivo di diventare un punto di riferimento per le aziende e per gli stati membri - come ad esempio la fondazione della European Network and Information Security Agency (Enisa) - alla promulgazione di Direttive Europee: come la Direttiva 2008/114/EC sull’identificazione e designazione delle Infrastrutture Critiche Europee e analisi del bisogno di innalzamento della loro protezione, la Cybersecurity Strategy of the European Union del 2013 o la recente Direttiva NIS (EU) 2016/1148 sulle misure per un livello comune di sicurezza delle reti e dei sistemi nell’Unione Europea.

Le normative precedenti alla NIS sono state recepite dagli stati membri ma non hanno portato a delle azioni effettive da parte dei destinatari. Il motivo principale sta nella difficoltà di definire in cosa consista un’infrastruttura critica. Nonostante nell’immaginario collettivo il senso risulti evidente, quando si entra nell’ambito di interpretazione di leggi e normative, la definizione esatta, e quindi l’esatto contesto di applicazione, risultano piuttosto eterei. La recente Direttiva NIS del 2016 cerca di indirizzare questa tematica rivolgendosi agli Operatori di Servizi Essenziali dove l’operatore rientra in ambito quando:

  1. È essenziale per il mantenimento di attività sociali e/o economiche fondamentali;
  2. La fornitura dei servizi dipende dalla rete e dai sistemi informativi;
  3. Un incidente ha effetti negativi rilevanti sulla fornitura dei servizi.

Spaccato esemplificativo di Operatori di Servizi Essenziali

Gli stati membri avranno tempo fino a maggio 2018 per recepire la normativa e identificare quali sono i reali destinatari all’interno del Sistema-Paese.

Nonostante le difficoltà di interpretazione delle Direttive europee, molti degli stati membri hanno comunque sostenuto notevoli sforzi nel cercare di dotarsi di leggi, regolamenti e normative in materia di cyber security per le cosiddette infrastrutture critiche, avviando anche azioni per la regolamentazione del settore.

In Francia nel 2011 è stata pubblicata la strategia nazionale per la cyber security (Information systems defence and security strategy) e nel 2013 è stato pubblicato il CIIP Framework, che definisce il livello minimo di cyber security per tutti gli operatori critici e rinforza il ruolo dell'ANSSI quale agenzia governativa che li supporta in caso di attacco cyber. Sempre nel 2013 è stato prodotto il French White Paper Defence and National Security, che cerca di sintetizzare quali siano i rischi derivanti da un malfunzionamento/attacco alle infrastrutture critiche, e nel 2014 è stato pubblicato il Vigipirate Plan, elencante le misure di sicurezza che gli operatori di infrastrutture critiche devono implementare. La Francia si è mossa, inoltre, per recepire la Direttiva NIS già dal 2017, attraverso la pubblicazione del Generic set of mandatory security rules for critical operators, in cui cerca di identificare quali siano i controlli minimi di cyber security che un operatore di servizi essenziali è tenuto a implementare nella propria organizzazione. La Francia ha altresì definito dei criteri per certificare il livello di sicurezza delle soluzioni dei fornitori degli ambienti industriali, passo fondamentale per iniziare a responsabilizzare i grandi player produttori di sistemi di controllo.

Anche la Germania si è dotata di una strategia nazionale per la protezione delle infrastrutture critiche nel 2009 e, successivamente, ha pubblicato l’IT Security Act che, tra gli altri aspetti, obbliga gli operatori ad implementare adeguate misure tecnico-organizzative per la sicurezza delle informazioni anche nell'ambito della disponibilità dei servizi critici per il paese.

Non si può poi trascurare la situazione in UK: oltre ad una strategia nazionale, il paese ha promulgato nel 2015 delle linee guida per l’identificazione di misure minime da implementare per la protezione di ambienti ICS. L’aspetto interessante in questo caso, oltre alle specifiche contromisure, risiede anche nel linguaggio impiegato. Il riferimento esplicito ai sistemi di controllo industriale, evidenzia chiaramente quale sia l’ambito di intervento e su cui è necessario intervenire per aumentare il livello di resilienza delle infrastrutture critiche.

Tra gli altri stati che hanno promulgato leggi o definito linee guida con focus specifico sulla protezione delle infrastrutture critiche troviamo anche Danimarca, Svezia, Svizzera, Belgio, Spagna, Austria, Estonia, Polonia e Olanda con quest’ultimo che, nonostante sia un paese tecnicamente all’avanguardia e colmo di professionalità con competenze specifiche per la sicurezza degli ambienti industriali, sta ancora redigendo il proprio piano di protezione delle infrastrutture critiche.

Anche l’Italia si sta muovendo da tempo nella giusta direzione. Per esempio, nel 2011 è stata attuata la Direttiva 2008/114/CE riguardante l’individuazione e la designazione delle infrastrutture critiche europee; nel 2014 ci si è dotati di un Quadro Strategico Nazionale e di un Piano Nazionale che individuano profili e indirizzi operativi, gli obiettivi da conseguire e le linee d’azione per concretizzare il Quadro. Quest’ultimo, in particolare, esplicita chiaramente la necessità di potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il Sistema-Paese assicurando la Business Continuity e, al contempo, la compliance rispetto a standard e protocolli di sicurezza internazionali. Nel 2015 inoltre, l’Italia si è dotata di un Cyber Security Framework Nazionale per Aziende, Organizzazioni e Sistema-Paese, in cui sono stati identificati degli specifici controlli per la messa in sicurezza delle aziende, con differenti priorità per le PMI e le Large Enterprises. Per quanto riguarda il recepimento della Direttiva NIS, siamo ancora in attesa di una risposta formale da parte del Governo.

Tuttavia quello che emerge è un panorama ancora piuttosto frammentato e la speranza degli operatori di settore e dei grandi player di tecnologie del mondo industriale è che il recepimento della recente Direttiva NIS possa fornire degli indirizzi più specifici e con indicazioni (o prescrizioni) chiare per la messa in sicurezza delle infrastrutture critiche. Inoltre, molte normative non rispondono esattamente alle esigenze delle aziende che, nella nostra esperienza, non solo sono interessate a rispondere a una normativa, ma sono molto spesso propositive e vorrebbero velocizzare la propria messa in sicurezza.

Quello che a livello generale sembra ancora mancare è la presenza strutturata di indicazioni puntuali che aiutino gli operatori a indirizzare in modo organico lo sviluppo e la gestione della cyber security nel proprio dominio. Alcuni esempi per cercare di entrare nel concreto: molto spesso si assiste a una netta separazione tra il mondo IT e OT dal punto di vista di governance che, non riflettendo la realtà dei fatti in campo, porta a una mancanza di sinergia lasciando scoperte porzioni di perimetro che potrebbero essere facilmente impiegate per attacchi. Ancora, definire un set statico a livello normativo di controlli di sicurezza è sicuramente una buona iniziativa ma non è in grado di far fronte alle reali esigenze. Il panorama cyber è estremamente veloce e mutevole e quello che serve è sviluppare delle capacità di messa in sicurezza risk-based, che possano consentire alle aziende di cambiare rotta in corsa a fronte dell’emergere di nuove minacce. Altro punto fondamentale, che per esempio è indirizzato all’interno del nuovo GDPR(General Data Protection Regulation) e che va considerato come riferimento, è la necessità di dotarsi di strumenti di monitoraggio delle proprie infrastrutture e di capacità di risposta a fronte di eventi significativi. In questo è importante evidenziare che le tecnologie di monitoraggio per i mondi IT e OT non sempre sono le stesse: per esempio per il monitoraggio in ambienti ICS non si fa riferimento ai player standard IT ma ci sono aziende che propongono soluzioni brillanti di monitoraggio passivo (che quindi non inficiano il funzionamento degli ambienti produttivi) come, citando alcuni tra i big del settore, Security Matters, Nozomi, Claroty, CyberX.

Al momento quindi, la sicurezza delle infrastrutture critiche è ancora principalmente demandata alle iniziative delle singole industrie che definiscono i propri approcci appoggiandosi a standard e linee guida internazionali e, in alcuni casi, si stanno organizzando a livello di settore: ne è un esempio l’Osservatorio Nazionale per la sicurezza del settore elettrico, per l’identificazione degli scenari di rischio, la definizione di approcci metodologici per la gestione degli stessi e l’individuazione di controlli minimi per la messa in sicurezza degli ambienti industriali. L’obiettivo di questo tipo di iniziative è non solo dotarsi di uno strumento che si adatti perfettamente al proprio contesto industriale, ma iniziare a sviluppare delle linee guida che faciliteranno il Governo nel momento in cui sarà necessario legiferare in maniera puntuale per gli specifici settori.

Da qui il mio invito personale a tutti gli Operatori di Servizi Essenziali, di cercare di unirsi a questi gruppi o svilupparne di nuovi qualora non fossero ancora presenti, così da facilitare il proprio sviluppo in tema di cyber security ma anche per avere un ruolo attivo nella protezione del paese in cui operano.