La rapidità dell'evoluzione tecnologica sta spingendo le aziende utility a cercare nuovi modi per mitigare i rischi di sicurezza informatica.
Rispetto al settore IT, l'industria dell'energia sta muovendo i primi passi nell'ambito della connettività. Man mano che il settore avanza nel percorso di digitalizzazione e di integrazione tecnologica, le aziende si trovano a confrontarsi con minacce crescenti in termini di cybersecurity. Basti pensare che negli USA, secondo i dati dell'Industrial Control Systems Computer Emergency Response Team che fa parte del dipartimento della sicurezza interna, nella prima metà del 2013 ben il 53% degli incidenti di sicurezza informatica ha interessato il settore energia.
La rapidità dell'evoluzione tecnologica sta spingendo le aziende utility a cercare nuovi modi per mitigare i rischi di sicurezza informatica. Come affrontare questa sfida? Oltre naturalmente a supportare la diffusione di standard di sicurezza specifici per i device tipici del settore, gli operatori possono seguire alcune buone pratiche che consentono di rendere sicure le sottostazioni, approcciare nel modo giusto la gestione dei loro asset di rete, e sfruttare una serie di strumenti che sono già disponibili. Schneider Electric (www.schneider-elecric.it), lo specialista globale nella gestione dell'energia, ha sviluppato con i suoi massimi esperti di cybersecurity un White Paper che offre una guida dettagliata al tema: "A Framework for Developing and Evaluating Utility Substation Cyber Security". Il documento può essere scaricato alla pagina web http://download.schneider-electric.com/files?p_Doc_Ref=998-2095-07-21-14AR0_EN. Ripercorriamo insieme i punti salienti del White Paper per individuare gli elementi chiave da considerare in un settore sempre più a rischio.
RISCHI EMERGENTI
Nel tentativo frenetico di affrontare le crescenti preoccupazioni in termini di sicurezza informatica, i gestori delle utility stanno imitando i loro colleghi delle aziende informatiche, mettendo ordine nelle proprie infrastrutture di sicurezza interne. Nonostante ciò, dal momento che i produttori di soluzioni per le sottostazioni elettriche spesso utilizzano metodologie proprietarie o specifiche per i vari tipi di prodotto per gestirne la sicurezza, nel settore energia manca una standardizzazione e la gestione di insieme della protezione dalle minacce è più complicata.
In più, il monitoraggio a fini di sicurezza non è un elemento centrale nella progettazione della gran parte dei device che sono parte della rete, né nelle applicazioni dedicate ai sistemi di alimentazione elettrica. Pertanto, rafforzare la sicurezza resta una sfida molto difficile quando si tratta di rendere più sicuri i sistemi OT (Operations Technology), e cioè i sistemi di automazione e controllo e i componenti che monitorano, misurano e proteggono le infrastrutture critiche.
Numero di incidenti di cybersicurezza e percentuale del totale per ogni settore negli USA, durante la prima metà del 2013 (courtesy of U.S. Homeland Security Department).
DEVICE PROTETTI
Le aziende che propongono prodotti per l'automazione delle sottostazioni hanno sviluppato soluzioni bolt-on (che possono aggiungersi all’occorrenza) che offrono un livello di controllo e monitoraggio accessi. Le soluzioni bolt-on hanno il vantaggio di poter essere implementate facilmente, e riducono i rischi di attacchi informatici sui device OT, ma lasciano la cybersecurity funzionalmente separata da tutti gli altri device OT che non hanno elementi di sicurezza.
Ciò significa che se avviene un’intrusione nel livello di sicurezza costruito attorno alle applicazioni per l'alimentazione elettrica, i device restano comunque vulnerabili. Chi gestisce le sottostazioni dovrebbe prendere in considerazione l'idea di aggiornare i propri device OT adottando nuovi prodotti che contengano funzionalità di sicurezza integrate. Facendo in questo modo, tutto è più semplice: ad esempio la disponibilità di una funzione di identificazione univoca degli utenti di un sistema consentirebbe ai responsabili security di migliorare l'affidabilità complessiva del sistema, grazie alla possibilità di esaminare in modo completo e approfondito tutte le azioni che i singoli utenti compiono all'interno di esso.
Esempio di un modello di policy di sicurezza.
GESTIONE DELLA RETE
Gli operatori del settore utility possono anche adottare metodi di monitoraggio tipici del settore IT, come il Simple Network Management Protocol (SMNP), che consente agli operatori IT di gestire tutti i device basati su IP – come switch, workstation, router e stampanti – attraverso un sistema di Network Management (NMS). Nel settore energia, gli operatori possono utilizzare un approccio SNMP per monitorare i dati provenienti dai device OT al livello del sistema di gestione della rete in vario modo: possono monitorare lo stato dei device, controllare le loro performance e la loro attività di comunicazione, individuare eventuali intrusioni nel sistema e anche gestire la configurazione dei vari device.
CYBERSECURITY: UN PROCESSO IN CONTINUA EVOLUZIONE
Non sono solo gli operatori delle utility a dovere implementare nuove tecnologie e layer di sicurezza per richiudere i “buchi” che gli hacker possono sfruttare; tutti gli stakeholder del settore energia – dalle squadre che operano sul campo ai fornitori, fino a chi si occupa di manutenzione e ai team che si occupano di commissioning – dovrebbero essere formati adeguatamente in tema di pratiche di sicurezza. Per implementare questi cambiamenti, e assicurarsi che tutti rispettino le norme di cybersecurity, le aziende utility devono fare sì che tutti recepiscano i concetti base della sicurezza, adottando alcuni provvedimenti: in primis, definendo delle policy di sicurezza; in secondo luogo, stabilendo i processi che governano le questioni di sicurezza; poi scegliendo e implementando le tecnologie più adeguate; e infine creando un’adeguata documentazione rispetto a tutto quanto viene realizzato.
Comunque le tecnologie di cybersecurity in sé possono affrontare solo in modo parziale la questione delle minacce informatiche. Le utility devono mettere in atto la giusta struttura organizzativa e i giusti processi a supporto delle tecnologie di protezione. Una potenziale soluzione per ottenere questo obiettivo sarebbe che le utility e i vendor che offrono loro prodotti sviluppassero insieme processi standardizzati da applicare, così che operazioni quali la configurazione dei device in rete possano essere realizzate in modo efficace anche in ambienti multivendor.
Non sono solo gli operatori delle utility a dovere implementare nuove tecnologie e layer di sicurezza per richiudere i “buchi” che gli hacker possono sfruttare; tutti gli stakeholder del settore energia dovrebbero essere formati adeguatamente in tema di pratiche di sicurezza.