Vi presentiamo KICS, la protezione per le industrie

Hurrà!

Abbiamo lanciato uno dei nostri nuovi prodotti per grandi aziende KICS (Kaspersky Industrial CyberSecurity), la cyber-cura contro i cyber-mali che protegge le fabbriche, le centrali energetiche, gli ospedali, gli aeroporti, gli hotel, i magazzini, il vostro ristorante preferito e tantissimi altri tipi di aziende che usano i sistemi di controllo industriali ICS. Oppure, detto in un altro modo, dato che è raro per le aziende non utilizzare ICS, abbiamo lanciato una cyber-soluzione per milioni di piccole e grandi aziende di beni e servizi sparse in tutto il mondo.

Quindi cosa ci offre KICS esattamente? A che scopo è stato pensato? Per poter rispondere, torniamo un attimo indietro…

Prima del 2000 un cyberattacco ad una rete industriale era pura fantascienza, ma il 14 agosto del 2003 nel nord-est degli stati uniti e nel sud-est del Canada, la fantascienza è diventata realtà.

Oops

A causa di alcuni bug che hanno interessato alcune installazioni elettriche, 50 milioni di nord-americani sono rimasti senza elettricità, alcuni per molte ore, altri per giorni. Sono state avanzate varie teorie che spiegherebbero la grande catastrofe, tra cui alberi maltenuti, un fulmine, scoiattoli “dannosi” e… un effetto collaterale causato da un cyberattacco che avrebbe usato il worm per computer Slammer (Blaster).

Per quanto ne sappia, quello che in realtà è successo è una combinazione di tutti questi fattori. Gli alberi e gli scoiattoli stavano creando problemi e il worm ha dato il colpo di grazia al sistema di comunicazione: un’emergenza localizzata e di piccole proporzioni, si è trasformato in una su grande scala perché i meccanismi di controllo a livello centrale non erano in grado di vigilare la situazione, creando un effetto domino che ha investito l’intera regione.

Incidenti di questo tipo sono già avvenuti in passato, dato che sia gli ICS che le reti di computer vengono utilizzate già da diversi decenni. Ma questo genere di incidenti normalmente vengono messi a tacere o nascosti per vari motivi. Ciò che è ancora più importante è che dal 2003 abbiamo assistito ad un grande aumento di casi di cyberattacco su oggetti industriali e sono sempre più frequenti. Nel 2010, l’attacco Stuxnet che ha colpito il programma nucleare iraniano ha dimostrato che tale questione ha una componente di natura militare.

Conclusione: le strutture industriali sono vulnerabili ai cyberattacchi, le conseguenze di ignorare questo fatto possono essere molto spiacevoli, qualche volta persino catastrofiche.

Ok, penso che ormai sia chiaro che le installazioni industriali abbiano bisogno di protezione. Ma come?

Bene, le soluzioni normali per endpoint proteggono solo una parte dell’infrastruttura delle aziende, in particolare quella parte che normalmente viene chiamata rete aziendale. La protezione dei processi di produzione (la rete industriale) richiede un approccio completamente diverso dato che le reti industriali sono tutta un’altra cosa, partendo dagli oggetti da proteggere (PLC, SCADA, HMI…), all’ambiente in cui si trovano e, cosa ancora più importante, alle loro funzioni e come le eseguono.

A differenza di un normale ambiente IT d’ufficio, quello che è fondamentale per i processi di controllo della produzione in un ambiente IT industriale è la non interruzione delle operazioni che sono continue, 24 ore su 24: questo è la cosa più importante. È così importante che i tre pilastri della sicurezza informatica confidentiality, integrity e availability (confidenzialità, integrità e disponibilità – in quello specifico ordine) sono stati riorganizzati in availability, integrity e confidentiality (disponibilità, integrità e confidenzialità). Ecco perché abbiamo deciso di rimboccarci per maniche per creare KICS.

Prima di tutto voglio chiarire una cosa: non ci troviamo di fronte ad un prodotto, ma a una soluzione.

La semplice installazione di un software non protegge una rete industriale. Al contrario, i processi interni, le tecnologie e le apparecchiature hanno bisogno di essere analizzati. Si deve sviluppare un modello di minacce e una strategia di protezione. Gli specialisti hanno bisogno di un training e un sacco di altre cose – e tutto questo per mantenere una delle cose più importanti: la continuità.

Tutto questo lo abbiamo fatto con l’aiuto di alcuni clienti del settore industriale e aziendale e analizzano le best practice. Al momento abbiamo due implementazioni di successo di KICS, una in una compagnia petrolifera e un’altra in un porto marittimo. I risultati iniziali in entrambi i casi sono davveeeeero interessanti…

… sfortunatamente, come potete immaginare, non posso darvi maggiori informazioni. Posso solo darvi un quadro generale, in questo modo potete farvi un’idea di quello di cui si sta parlando:

Nel giro di pochi giorni, da quando KICS è stato implementato all’interno della rete industriale di un cliente, abbiamo scoperto non solo una, ma diverse violazione di sicurezza molto serie, tra cui una connessione non autorizzata di un portatile di un impiegato (oops!). E come vi dicevo, questo nel giro di pochi giorni. Potete immaginare quello che potremmo scoprire in un mese o in un anno! Ebbene sì, chissà quali minacce! Ma questa ha la ragione per la quale è stato progettato KICS: protezione da tutto questo.

In un certo senso, le reti industriali sono persino meno protette degli ambienti IT aziendali standard. Davvero!

Esiste un luogo comune molto diffuso nel mondo industriale: “quando qualcosa funziona, non lo toccare”. Naturalmente, non dappertutto, ma questa massima è abbastanza predominante. Significa che se un processo di produzione computerizzato funziona, forse su questa macchina non sono stati installati gli aggiornamenti per più di 20 anni. Si può connettere a Internet… non importa, LASCIATELO IN PACE! In questi casi il dolore si impadronisce di tutti coloro che hanno un sacco di belle idee su come migliore la sicurezza: se fermano il processo anche solo per un minuto, vengono sbattuti fuori con la porta in faccia, prima ancora di poter pronunciare queste parole “Applichiamo le patch? Questo secolo? Ragazzi? Ci siete?”.

Ma non si può lasciare is sistemi di controllo industriali vulnerabili per sempre solo perché è necessaria la continuità. Non possiamo.

Alla fine di quest’anno abbiamo tenuto e lanciato un cyber-concorso che aveva come oggetto lo studio dei vettori di attacco contro le infrastrutture critiche. Abbiamo usato per il concorso una succursale elettrica reale costruita in base alle moderne tecnologie e ali standard IEC1850.

Sapete cosa è successo?

È stata hackerata in sole 3 ore con l’aiuto di due metodi di attacchi. E nel giro di quei 2 giorni, è stato attaccato 26 volte e molti di questi attacchi hanno portato la succursale a una completa paralisi. Tutti i dispositivi sono stati completamente affondati ed è stata scoperta persino una vulnerabilità zero-day.

Ma nessun paura, KICS è qui! Può bloccare ogni singolo attacco. Su di una rete reale avrebbe potuto prevenirli tutti. Ebbene sì, cari ingegneri: tutto questo è possibile senza bloccare la produzione per un secondo!

LEGGI I COMMENTI 0
Scrivi un commento