21 / 32
EON
EWS
n
.
614
- DICEMBRE 2017
21
compromettere la disponibilità
e sfruttarla per condurre attac-
chi di tipo ransomware. Questi
controlli di sicurezza aggiuntivi
si tradurranno in costi più ele-
vati per gli sviluppatori di siste-
mi ICS. Tali costi, tuttavia, non
possono essere trasferiti all’ac-
quirente. A tutt’oggi la maggiore
sicurezza sembra essere quasi
un “lusso”, ma in futuro gli ac-
quirenti richiederanno che un
grado di protezione adeguato
sia un requisito al quale i co-
struttori dovranno conformarsi.
D:
Esiste un problema di
competenze quando si tratta
di garantire un’adeguata pro-
tezione ai sistemi di controllo
computerizzati utilizzati nei
settori industriale e manifat-
turiero contro l’eventualità di
attacchi informatici basati su
ransomware? Ovvero esisto-
no delle evidenze che i pro-
fessionisti che operano nel
settore della sicurezza infor-
matica preferiscono lavorare
nel settore enterprise perchè
offre maggiori possibilità di
carriera e stipendi migliori?
R:
Esiste una carenza di com-
petenze quando si tratta di im-
plementare i controlli di sicurez-
za nei sistemi di controllo indu-
striali. In ogni caso la mancanza
di specialisti in sicurezza non è
una prerogative dei settori in-
dustriale e manifatturiero. Co-
munque anche all’interno del
settore IT vi è una penuria di
figure professionali di questo ti-
po. Al fine di colmare il divario
di competenze all’interno dei
settori industriale e manifattu-
riero, le aziende devono avere
le capacità di attrarre personale
qualificato in grado di valutare
le vulnerabilità della sicurezza
di un sistema e predisporre i ne-
cessari controlli per contrastare
eventuali attacchi.
D:
Secondo lei, qual è la le-
zione che hanno imparato i
C
onnettere i sistemi di controllo
industriali (ICS) in rete offre nu-
merosi vantaggi, tra i quali una
maggiore flessibilità e rapidità,
sia in termini di risposta alle si-
tuazioni critiche, sia per l’imple-
mentazione degli aggiornamen-
ti. D’altra parte, Internet espone
al rischio che i cyber criminali
possano controllare i sistemi da
remoto, apportare danni e met-
tere in pericolo l’intera infrastrut-
tura critica. Su queste temati-
che abbiamo intervistato Arun
Subbarao - Vice President, En-
gineering & Technology di Lynx
Software Technologies e Lynx
Representative per l’“Industrial
Internet Consortium” e l’“IIC Se-
curity Forum”
D:
I sistemi SCADA e per il
controllo industriale sono
spesso esclusi dalla con-
nessione a Internet. Questa
situazione è rimasta stabile
o ha subito qualche evolu-
zione?
R:
È vero, storicamente i si-
stemi SCADA e di controllo in-
dustriale non disponevano di
connessioni a Internet ma la
situazione sta evolvendo grazie
soprattutto a IIOT.
D:
Le tendenze in atto nel
settore ICT rendono di fat-
to inevitabile una maggiore
connettività tra i sistemi ICS
e Internet. A questo propo-
sito quale sarà l’influenza di
IoT nell’“affrancare” i sistemi
ICS/SCADA/PLC?
R:
Per poter implementare il
concetto di IIoT è necessario
riuscire a collegare queste tec-
nologie operative, meglio note
con la sigla OT, con i sistemi IT
tradizionali al fine di implemen-
tare funzioni quali gestione e
diagnostica da remote, manu-
tenzione predittiva e analisi dei
malfunzionamenti. Di conse-
guenza i sistemi ICS/SCADA/
PLC devono essere abilitati alla
connessione a Internet, il che
dà luogo a una nuova classe di
vettori d’attacco.
D:
Cosa è stato già fatto e
cosa resta da fare ai produt-
tori di prodotti di classe ICS,
sia nuovi sia già installati, per
renderli più sicuri di fronte a
minacce informatiche basate
su ransomware? Il maggior
livello di protezione, inoltre,
comporta un aumento dei
prezzi di acquisto?
R:
La mia impressione è che
il livello di attenzione relativa-
mente agli attacchi informatici
contro gli ICS sia relativamente
basso. Uno dei compiti princi-
pali di questa classe di prodotti
è il controllo diretto dei sistemi
fisici che ha un impatto diret-
to sulla salvaguardia delle per-
sone. Fra i tre principi chiave
della sicurezza, ovvero confi-
denzialità, integrità e disponi-
bilità, quest’ultimo è quello ca-
ratterizzato da un alto grado di
vulnerabilità. Disponibilità è la
caratteristica del sistema che
prevede che esso sia attivo e
operativo in qualsiasi momento.
Qualsiasi controllo di sicurezza
messo in atto per proteggere la
disponibilità del sistema è es-
senziale per la sicurezza dei
sistemi ICS. Viceversa, poten-
ziali attaccanti cercheranno di
Come proteggere
i sistemi
di controllo industriali
A
LESSANDRO
N
OBILE
costruttori di soluzioni OT,
come ad esempio PLC, da at-
tacchi condotti utilizzando vi-
rus come Stuxnet e similari?
R:
L’aspetto da sottolineare nel
caso dell’attacco eseguito uti-
lizzando Stuxnet è il fatto che
un malware che abbia come
obiettivo i sistemi ICS non è
sola teoria, ma una realtà. Ciò
ha senza dubbio contribuito ad
aumentare il livello di consape-
volezza riguardo alle minacce
informatiche in campo indu-
striale. Tuttavia non è chiaro se
ciò ha comportato cambiamen-
ti tecnologici per combattere
questa minaccia. Si può dire
che l’industria nel suo com-
plesso ha un’eccessiva fiducia
nei meccanismi di protezione
basati sulla rete, mentre la so-
luzione a questo problema sta
nella protezione della piatta-
forma.
D:
Quali sono secondo lei gli
scenari peggiori di attacchi
basati su ransomware che i
gestori di sistemi ICS critici
devono prendere in conside-
razione ed essere preparati
ad affrontare?
R:
Lo scenario peggiore di at-
tacco basato su ransomware
è quello che prevede un attac-
cante che assuma il controllo
di una centrale nucleare, di un
impianto per il trattamento delle
acque o di un impianto chimico
e minacci disastri su larga scale
nel caso non vengano accolte
le richieste avanzate. È impor-
tante riconoscere che uno sce-
nario di questo tipo è possibile
e quindi adottare misure pro-
attive atte a prevenire attacchi
come quelli appena descritti.
D’altro canto sono state messe
a punto diverse tecniche per la
progettazione di sistemi ICS si-
curi, molte delle quali sono do-
cumentate nell’IISF (Industrial
Internet Security Framework)
dell’Industrial Internet Consor-
tium. Un sistema progettato
con cura che utilizza queste
tecniche sarà molto più resilien-
te contro il ransomware e altri
attacchi informatici che potreb-
bero minacciare i sistemi ICS.
La vulnerabilità degli ICS
ad attacchi informatici è un
aspetto che deve essere tenuto
nella massima considerazione
ARUN
SUBBARAO
Vice President,
Engineering &
Technology di
Lynx Software
Technologies
A
TTUALITÀ