Tecnologia operativa: quando i cibercriminali bloccano le macchine
Cosa succede se tutto si arresta all’improvviso? Se dei cibercriminali prendono il controllo e interrompono il flusso di produzione o apparecchi medici? La sicurezza di OT e dei sistemi ciberfisici (cyber physical system, CPS) assume sempre maggiore importanza. Per svariati motivi.
Februar 2025, Text: Andreas Heer Bild: Swisscom 6 Min.
È un’immagine che vediamo spesso in Svizzera: uno stabilimento di produzione in cui le macchine ronzano, martellano, punzonano, fanno rumore. Un quadro simile si presenta nell’approvvigionamento energetico, ad esempio in una centrale idroelettrica. Oppure in un ospedale. Spesso la struttura è in attività 24 ore su 24. Eventuali interruzioni, soprattutto quelle non pianificate, si rivelano costose poiché interrompono l’intera catena produttiva e logistica e, ad esempio, possono compromettere un intero lotto di produzione nel settore alimentare e chimico.
Assoluta disponibilità è la parola chiave che aleggia su tutti questi macchinari. Molte di queste macchine comunicano tra loro. Gestiscono a livello digitale il flusso della produzione e recepiscono istruzioni operative dal sistema ERP. I sistemi per immagini, come ad esempio la tomografia computerizzata (CT) negli ospedali, salvano le immagini in rete o nel cloud. Inoltre, molti di questi apparecchi sono dotati di sensori che monitorano il funzionamento e la produzione e trasmettono tali informazioni ai sistemi di controllo.
Operational Technology (OT) e IoT si fondono così in sistemi ciberfisici (cyber physical system, CPS), ereditando i problemi di sicurezza dell’IT. «A questi rischi non viene prestata sufficiente attenzione», afferma Thomas Dummermuth, responsabile della sicurezza fisica presso Swisscom.
Quando un ransomware arresta il flusso di produzione
E la minaccia degli attacchi informatici è reale e ha conseguenze nel mondo fisico, non solo in quello digitale. Il Waterfall Threat Report 2024 registra per il 2023 un totale di 68 attacchi a circa 500 stabilimenti di produzione e infrastrutture che hanno causato interruzioni della produzione e, in alcuni casi, danni per diverse centinaia di milioni di dollari. In altre parole: se succede qualcosa, il danno fisico è spesso ingente. E può mettere in pericolo vite umane, ad esempio perché, a causa di un guasto informatico in un ospedale, sistemi vitali non funzionano o le ambulanze devono essere dirottate in luoghi di cura più lontani. Solo un quarto di questi attacchi era mirato ai CPS. Il caso più frequente registrato sono stati attacchi ransomware in cui vengono crittografati sistemi di produzione nell’IT, con conseguente bisogno di disattivare sistemi e reti, arrestando così la produzione.
In alcuni casi è anche stato coinvolto un sistema ICS (Industrial Control System) scarsamente protetto e non sufficientemente isolato. «Attualmente il numero di attacchi ai CPS è inferiore rispetto a quello degli incidenti informatici a livello di IT», afferma Dummermuth. «Ma è solo una questione di tempo.» La volatilità della situazione mondiale e il facile accesso a strumenti di attacco, ad esempio Ransomware-as-a-Service, contribuiscono infatti a un aumento di tali attacchi. Ora ne sono colpite anche strutture sanitarie come gli ospedali, che in passato venivano risparmiate dalle bande di ransomware in virtù di una sorta di codice di condotta. La complessità delle catene di fornitura in cui possono «nascondersi» gli attacchi alla supply chain e i sistemi eterogenei e a volte obsoleti facilitano il lavoro dei cibercriminali.
Quali sono le sfide della sicurezza dei CPS
Le macchine industriali, dagli impianti di produzione alle gru portuali, hanno una durata nettamente superiore rispetto ai sistemi informatici. Questo fa sì che nella produzione si incontrino sistemi di controllo per i quali non vi sono più patch. E anche dove sono disponibili, non vengono implementati. L’interruzione d’esercizio necessaria a tal fine non è sostenibile o la versione modificata del software non è certificata ai fini dell’esercizio. Con l’aggiunta di nuovi macchinari, sensori e controlli nel corso del tempo, il mondo dei CPS si presenta eterogeneo e poco chiaro. Mancano trasparenza e una visione d’insieme di tutti i diversi ambiti di competenza.
Inoltre, ai tempi dell’installazione di tali sistemi, l’attenzione era rivolta alla funzionalità e non tanto alla sicurezza. «Security by Obscurity» è un modello diffuso nel settore industriale: sistemi isolati («air gap») dal resto della rete e, quindi, apparentemente inattaccabili. Solo apparentemente però, poiché i malware possono penetrare nelle macchine anche attraverso il notebook del tecnico di servizio. In generale, l’architettura di sistema dei CPS è improntata alla disponibilità e a tempi di reazione brevi, il che in parte va a scapito della sicurezza, ad esempio in caso di comunicazione non crittografata.
La manutenzione di questi CPS avviene spesso tramite un accesso remoto, in modo che il tecnico possa accedervi senza dover essere sul posto. Accessi che, in funzione dell’età della tecnologia utilizzata, sono scarsamente o per nulla protetti o che sono stati «dimenticati» da tempo.
I requisiti normativi diventano più severi
Organizzazioni come fornitori di servizi sanitari ed energetici, istituti finanziari o aziende produttrici devono migliorare la propria sicurezza informatica anche per motivi normativi. Con l’avanzare della digitalizzazione e dell’interconnessione, aumentano infatti anche i requisiti in termini di sicurezza.
L’UE rafforza il quadro normativo introducendo la direttiva NIS 2 e il Cyber Resilience Act (CRA) con l’obiettivo di rafforzare la resilienza informatica delle organizzazioni. Queste regolamentazioni hanno un impatto diretto sulle aziende svizzere, ad esempio quando operano come fornitori per imprese dell’UE, servono clienti in territorio UE o hanno filiali nell’UE. Per questo motivo, molte aziende locali devono confrontarsi con queste norme e, se necessario, adeguare le proprie strategie, i processi e le misure di sicurezza.
Anche in Svizzera la strategia per la protezione delle infrastrutture critiche (PIC) iveste un ruolo importante e persegue obiettivi analoghi a quelli dei regolamenti dell’UE. Per i fornitori di energia elettrica svizzeri si applica inoltre un’estensione dell’Ordinanza sull’approvvigionamento elettrico (OAEl). L’articolo 5a del 2024 stabilisce le disposizioni per la protezione dalle minacce informatiche. Nel settore finanziario, sono i requisiti FINMA a puntare a un livello elevato di protezione, che comprende anche i sistemi OT e IoT, come ad esempio i bancomat e i sistemi di accesso.
Primi passi verso una maggiore resilienza informatica dei CPS
Il primo passo verso una solida resilienza informatica per i CPS è creare trasparenza in merito ai sistemi, sensori, ICS, PLC (programmable logic controller) e accessi utilizzati. «La mancanza di trasparenza è uno dei motivi per cui molte aziende non riescono a ponderare correttamente il rischio informatico», sottolinea Dummermuth.
La base per questa trasparenza è un inventario dettagliato dei sistemi e dei componenti esistenti, in base al quale le aziende possono identificare i punti deboli e pianificare le misure di sicurezza in modo mirato. Tali misure derivano da una strategia di resilienza informatica, che deve coprire tutti gli aspetti della sicurezza dei CIS, dalla prevenzione all’individuazione fino alla risposta agli incidenti informatici.
Un elemento essenziale di questa strategia sono regolari esercitazioni di casi di emergenza. Questi esercizi aiutano a testare l’efficacia delle misure e a preparare tutte le persone coinvolte ad affrontare un’emergenza. Un altro elemento fondamentale è la gestione globale del rischio. «Questo elemento è necessario per identificare e valutare tutti i potenziali rischi, il che consente di dare la giusta priorità alle misure di sicurezza», afferma Dummermuth.
La gestione del rischio è un processo continuo che verifica e valuta costantemente la situazione a livello di minacce. Ciò consente, in un certo senso, di adottare nuove misure «on demand» o di adattare quelle esistenti. Per individuare gli incidenti e reagire adeguatamente, è fondamentale che il Security Operations Center (SOC) sia ampliato con un supporto per i CPS. Un SOC di questo tipo è in grado di monitorare le minacce tramite monitoraggio e di reagire in modo rapido ed efficace agli incidenti.
Per migliorare la resilienza informatica per i CPS occorre partire da un approccio strutturato e sistematico. Un inventario completo, una strategia globale con regolari esercitazioni di emergenza, una gestione efficace dei rischi e un SOC ampliato sono gli elementi chiave per proteggere i CPS dalle crescenti minacce informatiche. Affinché le macchine possano continuare a ronzare, martellare, punzonare e fare rumore.