Lo standard IEC 62443/ISA 99

E’ un dato di fatto che sempre più speso gli impianti industriali sono presi di mira da attacchi informatici, sempre più specifici e sempre più pericolosi. Dopo Trisis/Triton, non parliamo più di una possibile “semplice” mancata produzione quando un impianto viene attaccato, ma di una minaccia alla sicurezza fisica delle persone (Safety), che in seguito ad un attacco informatico potrebbero pagare anche con la vita.

Alla luce di questo, si può affermare che in un impianto industriale, la Security è importante quanto la Safety, visto che se la prima viene compromessa, anche la seconda è a forte rischio.

Sempre più spesso si sente parlare di Standard IEC 62443 anche detto ISA 99. Ma che cos’è? E’ un obbligo ? Dove si applica ? E soprattuto come si implementa dal punto di vista informatico ? In questo articolo cerchiamo di rispondere a queste domande.

Che cos’è IEC 62443 / ISA 99?

International Society of Automation (ISA) ha creato questo standard con l’intenzione di rendere le infrastrutture Industrial Automation Control Systems (IACS) sicure rispetto alle minacce informatiche.

Questo standard è largamente diffuso e fortunatamente la richiesta di adeguamento sta crescendo, grazie alla sensibilizzazione che l’ambiente (clienti finali, produttori, fornitori, installatori) sta maturando.

Lo standard ISA 99 è suddiviso in 4 macro aree:

  • Documenti generali, descrivono i punti fondamentali dei processi industriali interessati;
  • Policy e procedure, evidenzia l’importanza di seguire le procedure coinvolgendo tutte le persone interessate dai processi, e non affidando la sicurezza a semplici strumenti;
  • Sistemi, procedure e documentazione sull’implementazione dei sistemi di sicurezza,
  • Componenti, descrive i requisiti tecnici di sicurezza da soddisfare.
Schema IEC 62443 / ISA 99

E’ un obbligo l’adozione IEC 62443 / ISA 99?

No, tranne in alcune infrastrutture critiche (grandi infrastrutture di trasporto e produzione di energia di interesse nazionale).

Purtroppo ad oggi esisto importanti normative che coinvolgono l’ambito Safety, ma non la Security. Come già detto queste aeree sono strettamente legate, e con ogni probabilità presto saranno integrate in norme specifiche.

Dove si applica?

Lo standard dovrebbe essere adottato da tutta la catena dei soggetti coinvolti nella progettazione, implementazione e manutenzione degli impianti produttivi.

I settori di applicazione sono eterogenei, ovvero tutti i campi i cui sono presenti sistemi ICS, ecco alcuni settore d’esempio:

  • Energetico (nucleare, idroelettrico, energie rinnovabili, ecc.);
  • Trasporti (ferroviario, impianti a fune ecc.);
  • Farmaceutico/medicale;
  • Produttivo (metalmeccanico, chimico, siderurgico ecc.).

Come si implementa

Lo standard IEC 62443 / ISA 99, richiede diverse fasi per essere raggiunto, e fin da subito va evidenziato che non si tratta di semplici strumenti informatici e/o configurazioni.

Come già evidenziato la sicurezza è un processo. E nella specifico la sicurezza è un processo che coinvolge non solo gli oggetti ICS (plc, rtu, attuatori, motori, valvole, pc, software ecc.), ma al centro vi sono le persone.

Concentrandosi sull’aspetto prettamente informatico dello standard introduce diversi concetti:

  • Sicurezza multi-strato;
  • Conoscere i dispositivi connessi;
  • Definizione delle autorizzazione ed autenticazione;
  • Cifratura dei protocolli;
  • Registro log.

Sicurezza multi-strato

E’ evidente che tutti i punti sopra elencati sono fondamentali per raggiungere l’obbiettivo. Tuttavia il concetto di sicurezza multi-strato è quello più sviluppato nei documenti ISA 99.

Uno dei problemi principali degli impianti di una rete , è la presenza di dispositivi eterogenei. Lasciare una webcam nello stesso segmento di rete di un plc che comanda una turbina idraulica, non è affatto una buona idea. Una possibile vulnerabilità di una webcam (vedi Mirai Botnet), può compromettere l’intero sistema produttivo.

In questo modo ISA 99 ha introdotto il concetto di sicurezza a più strati, dove in base al fattore di rischio si devono collocare i dispositivi/servizi. In particolare vengono individuati diversi livelli di sicurezza, dove gli strumenti produttivi (es. valvole, turbine, motori ecc.) devo essere posti nel livello più difficile da raggiungere per una minaccia informatica.

Di seguito uno schema ipotetico di segmentazione proposto da Fortinet:

Conoscere i dispositivi connessi

Come abbiamo giù sottolineato in altri casi, è fondamentale conoscere quali sono i dispositivi presenti nella rete, se ne vengo aggiunti in un segmento di rete non autorizzato, e se gli stessi hanno delle vulnerabilità.

Definizione delle autorizzazione ed autenticazione

Costruire una rete con una struttura gerarchica di autorizzazioni è molto importante. Dare i giusti privilegi di accesso alle persone, evita che eventuali violazioni di un account rendano l’intero sistema vulnerabile.

Cifratura dei protocolli

I protocolli legacy usati nei sistemi ICS (modbus, profibus, 104 ecc..) sono per loro natura insicuri, ed esposti a tipici attacchi man-in-the-midle. Per questo è necessario o scegliere protocolli più sicuri come OPC UA, o proteggere l’intero segmento di network con una cifratura robusta come TLS. Questo aspetto è ampiamente raccomandato dallo standard IEC 62443.

Registro Log

In fine è molto importante tenere traccia di tutti gli eventi che si verificano nella rete, in modo da mantenere costantemente monitorato l’andamento della sicurezza. In caso di violazione i log saranno fondamentali per facilitare una analisi forense. E’ chiaro che in ambienti così critici l’adozione di sitemi SIEMS facilita molto l’analisi delle minacce nonchè rende possibile l’uso di automatismi per limitarle.

Conclusioni

Lo standard IEC 62443 anche conosciuto come ISA 99, è un ottimo riferimento per costruire una infrastruttura ICS sicura dalle minacce informatiche sempre più pressanti. Così come il GDPR è diventata una norma alla quale tutte le aziende devono adeguarsi, è auspicabile che anche ISA 99 diventi una norma obbligatoria da applicare in tutti gli impianti ICS, qualora vi sia una potenziale minaccia per l’incolumità delle persone, qualora il sistema informatico venisse compromesso.

Read More

Mancanza di visibilità nei sistemi ICS

Uno dei problemi principali in una rete industriale è la mancanza di visibilità della rete. Ovvero molto spesso non si conoscono gli oggetti ad essa connessi. Se si prova a chiedere ad un manutentore responsabile d’impianto se è a conoscenza di tutti i dispositivi (pc, plc, router, telecamere, webcam ecc.) connessi alla rete, probabilmente la risposta sarà negativa.

Quali sono i dispositivi connessi

I dispositivi che compongono una rete ICS possono essere di molti, diversi tra loro per tipologia ed funzioni:

  • PLC, RTU ecc
  • Server SCADA
  • Telecamere
  • Telefoni IP
  • Sistemi SIS
  • PC
  • Sistemi IoT
  • Router (xDSL, 4G ecc.)
  • Firewall
  • Switch
  • Dispositivi di acquisizione dati e statistiche

Molti di questi device interagiscono di frequente tra loro, altri invece sono fini a se stessi, ma insistono sulla stessa rete.

Perchè è difficile sapere quanti e quali sono i dispositivi presenti

Un impianto industriale è tipicamente un ambiente difficile dal punto di vista ambientale, in alcuni casi gli spazi sono angusti, altre volte gli spazi sono giganteschi e distribuiti in aree difficilmente controllabili.

Tenere traccia di tutti i dispositivi installati è difficile perchè:

  • Esistono diversi fornitori che installano dispositivi in rete
  • Cambiano le esigenze nel tempo ed il numero di dispositivi aumenta
  • Spesso gli installatori non rilasciano la documentazione e l’elenco degli apparati
  • Alcuni installatori/fornitori si prendono la libertà di aggiungere device senza comunicarlo

Quali sono i rischi associati alla mancanza di visibilità?

I rischi legati alla scarsa visibilità di rete sono potenziale molto pericolosi, infatti non conoscere che tipo di dispositivi sono presenti in rete potrebbe esporre i sistemi a criticità di sicurezza.

Immaginando ad esempio che un fornitore/installatore configuri un router 4G nella rete per raggiungere un suo servizio Cloud in modo da gestire un sensore o apparato. Questo tipo di azione rappresenterebbe un “bypass” di tutte le policy di sicurezza dell’impianto.

In altri casi potrebbero essere presenti dispositivi con vulnerabilità gravi, con il forte rischio di esporre tutta la rete a problemi di sicurezza. Di recente è stato scoperto un raspberry installato e dimenticato nella rete NASA, il quale è stato compromesso e sono stati trafugati informazioni importanti circa il progetto Marte.

Come risolvere il problema di visibilità

Per avere sempre sotto controllo lo stato della network, esistono prodotti specifici in grado di mantenere la consistenza e la topologia dell’intera rete.

Grazie a questi strumenti è sempre possibile conoscere quanti e che tipo di dispositivi sono presenti nella rete e scovare le vulnerabilità associate.

Conclusioni

Conoscere i dispositivi connessi alla rete degli impianti è un passo fondamentale per mantenere la sicurezza dell’intera catena di processo.

Read More