L’ecosistema del settore energia coinvolge aziende di tutti i paesi europei e di tutti i settori industriali e merceologici, il mondo IoT è fortemente collegato a esso e c’è una forte componente di sistemi cosiddetti “legacy” che impone ulteriori controlli e un monitoraggio continuo per prevenire attacchi e vulnerabilità.
La sicurezza dei protocolli di comunicazione nelle reti del comparto energy risulta cruciale per la difesa dai futuri attacchi informatici. Ecco quali potrebbero essere le tecniche di attacco usate dai criminal hacker e le possibili strategie di difesa a protezione di queste infrastrutture critiche.
La Raccomandazione europea sulla cybersecurity
Con la Raccomandazione europea del 03/4/2019 (SWD 2019) riguardante la “cybersecurity in the energy sector”, la commissione UE ha voluto rafforzare l’urgenza di adottare misure di protezione che fossero in “tempo reale”, dando quindi precisi requisiti di performance oltre a quelli di carattere più gestionale contenuti nella ben nota Direttiva UE NIS (Network and Information Security) del 2016 (poi recepita in Italia con decreto legge nel 2018).
In particolare si chiede in questa Raccomandazione di:
- aggiornare i propri sistemi agli standard di settore
- realizzare requisiti di sicurezza fisica come ulteriore livello di protezione
- seguire i principali standard internazionali e adottare prodotti e comunicazioni che siano conformi ai requisiti di sicurezza in tempo reale
- valutare i requisiti di comportamento in tempo reale anche laddove esistono vincoli tecnologici contrari o trovare soluzioni alternative (es. reti di tipo privato)
- applicare i solidi principii di segregazione delle reti e dei sistemi
- utilizzare protocolli sicuri di comunicazione.
La storia dal 2010 a oggi del resto insegna che questo settore è sempre stato uno dei più colpiti da vari tipi di attacchi e sempre molto dannosi, come i ben noti Wannacry e NotPetya del 2017. Nella figura qui sotto riportata, ho riassunto in breve la storia dei principali attacchi degli ultimi anni.
Sottolineo i punti di attenzione del settore energy nei confronti di questi attacchi:
- presenza di sistemi legacy ICS/SCADA e forte convergenza del mondo IT e OT
- aumento della connettività sia su Internet che di tipo Wireless
- motivazioni geopolitiche e cybercrime
- phishing e campagne di tipo nation-state
Occorre quindi, come per altri settori critici (ad esempio i trasporti e la sanità), una chiara strategia di cybersecurity.
La famiglia di specifiche Open Smart Grid Protocol (OSGP)
Come visto in precedenza, uno dei punti fondamentali è quello di adottare standard internazionali di settore e best practice per i protocolli di comunicazione. Ad esempio una specifica nota del settore energy è quella pubblicata dall’ETSI (European Telecommunication Standards Institute).
È la cosiddetta Open Smart Grid Protocol (OSGP) cioè una famiglia di specifiche usata insieme allo standard di rete di controllo ISO/IEC 14908 per le applicazioni di smart grid. OSGP è ottimizzato per fornire una trasmissione efficiente e affidabile di comando e controllo (C&C) dell’informazione per i contatori intelligenti (smart meters), i moduli di controllo diretto del carico, i pannelli solari, i gateway e altri dispositivi di rete “smart”.
Le due specifiche OSGP originate da ESNA (Energy Services Network Association) e pubblicate da ETSI per uso globale sono:
- specifiche del gruppo GS OSG 001: Open Smart Grid Protocol, questo protocollo a livello di applicazione può essere utilizzato con più supporti di comunicazione.
- Specifiche tecniche TS 103 908: Powerline Telecommunications (PLT); Canale di linea di alimentazione a banda stretta per applicazioni di misurazione intelligente. Questa specifica definisce un canale powerline a banda stretta ad alte prestazioni per il controllo della rete nella smart grid che può essere utilizzato con più dispositivi smart grid. È stato prodotto dal Comitato tecnico ETSI per le telecomunicazioni elettriche (TC PLT).
OSGP è progettato per supportare i requisiti di comunicazione tra una distribuzione su larga scala di tali dispositivi smart grid e il fornitore o i fornitori utility ai fini della raccolta dei dati, principalmente a fini di fatturazione da parte dell’utility, ivi compresa la fornitura di informazioni sull’utilizzo dell’energia al consumatore e il controllo dell’uso da parte del consumatore di servizi vari.
Una tipica distribuzione di massa di misurazione e raccolta dei dati basata su EN 14908 e OSGP includerà:
• “Concentratori di dati”: server progettati per archiviare i dati raccolti e, facoltativamente, per avviare comandi di controllo sui dispositivi smart grid.
• “Proxy di comunicazione”: router intelligenti che formano un’infrastruttura al fine di supportare le comunicazioni tra il concentratore di dati e un numero molto elevato di dispositivi smart-grid.
• “Dispositivi OSGP Smart grid”: I dispositivi smart grid comunicano utilizzando i messaggi a livello di applicazione tramite il protocollo OSGP .
Con quasi 3 milioni di contatori intelligenti compatibili con OSGP e altri dispositivi già installati in Europa, OSGP è diventato uno standard de-facto per contatori intelligenti e comunicazioni delle infrastrutture di rete intelligenti in Europa.
Un altro recente documento “Recommendations for the European Commission on a European Strategic Framework and Potential Future Legislative Acts for the Energy Sector”, del gruppo EECSP (Energy Expert Cyber Security Platform) evidenzia le priorità strategiche del settore:
- istituire un efficace sistema di gestione delle minacce e dei rischi
- impostare un framework di risposta informatica efficace
- migliorare continuamente la resilienza informatica
- sviluppare la capacità e le competenze richieste
Ci spostiamo allora come strategia su aspetti più tecnici, facendo riferimento sempre agli standard e best practices dedicati al mondo energy.
Il settore energy come infrastruttura critica
Considerando i sistemi Smart Grid come dei veri e propri CPS (Cyber Physical Systems), potremo chiaramente intravedere la convergenza in atto di cui si parlava in precedenza tra l’infrastruttura industriale e quella informatica (IT e OT).
Un sistema CPS (dall’inglese Cyber-Physical System) è un dispositivo in grado di interagire in modo continuo con il mondo fisico in cui opera. Il sistema è composto da elementi fisici dotati delle cosiddette “tre C”: capacità computazionale, comunicazione e capacità di controllo. In ogni sistema CPS, il singolo elemento è il cosiddetto dispositivo “embedded”, ovvero un generico apparato di elaborazione elettronica; esempi di dispositivi embedded sono gli smartphone, le ECU (Electronic Control Unit dei veicoli), i vari sensori IoT, qualunque scheda di controllo domotica e più in generale dispositivi general-purpose con un hardware e un firmware a bordo di caratteristiche predefinite.
Considerando la convergenza tra IT e OT, due infrastrutture devono essere prese in considerazione:
- la “Power Infrastructure” ovvero la protezione dei sistemi SCADA, DER (Distributed Energy Resources), Sistemi di Trasmissione e Gestione dell’Energia.
- la “Information Infrastructure” (ICT) ovvero la protezione della rete TCP/IP, con protocolli sicuri ad esempio come HTTPS, SNMPv3, SSH etc..per quanto riguarda i dati, la rete, le informazioni.
Uno dei tanti problemi legati a questa convergenza è costituito da tecnologie legacy e di prossima generazione. Le nuove tecnologie stanno introducendo nuovi componenti intelligenti (ad esempio contatori di elettricità – Smart Meters) nell’infrastruttura energetica che comunicano in modo più avanzato (comunicazioni bidirezionali e wireless) rispetto al passato.
Questi nuovi componenti si basano in genere sulla tecnologia dell’informazione e della comunicazione (ICT) che può essere interconnessa alle reti locali.
Ma come mettere tutto questi aspetti insieme? Partiamo dall’architettura di rete, utilizzando un modello ben noto che è quello “Purdue” creato da membri della Purdue University negli anni ‘90.
Il modello divide la rete in 3 zone: Enterprise per sistemi di tipo business come ERP/SAP, Industrial Demilitarized, Industrial Secure (fabbrica) e 6 livelli:
Ritroviamo i sistemi SCADA a livello 2, i sistemi di gestione a livello 3. Da questo modello è evidente la necessità di porre attenzione ai componenti in tutti questi livelli e condurre Security Assessment su tutti gli asset coinvolti.
Ecco quindi che anche la legislazione si è mossa in termini di leggi vere e proprie e standard che impongono tutta una serie di operazioni e controlli per rendere sicure le reti elettriche.
Principali standard e linee guida del settore
NIS (Direttiva europea)
La direttiva NIS (2016) è un componente chiave della strategia globale per prevenire e rispondere alle interruzioni e agli attacchi informatici. La direttiva specifica le misure al fine di raggiungere un livello comune elevato di sicurezza delle reti e dei sistemi di informazione all’interno dell’UE al fine di migliorare il funzionamento del mercato interno, digitale.
Per quanto riguarda gli “operatori di servizi essenziali” (OSE), il settore dell’energia rientra nel campo di applicazione della direttiva. Le forniture di gas, petrolio ed elettricità sono servizi essenziali coperti dalla Direttiva NIS; l’allegato II della direttiva NIS descrive i sottosettori e i tipi di entità destinatarie.
Per il sottosettore dell’elettricità, come “imprese elettriche sono conteggiate «tutte le persone fisiche o giuridiche che svolgono almeno una delle seguenti funzioni: generazione, trasmissione, distribuzione, fornitura o acquisto di elettricità, che è responsabile delle attività commerciali, tecniche o compiti di manutenzione relativi a tali funzioni, ma non includono i clienti finali. “Questa impresa elettrica deve svolgere le attività di funzione di fornitura, che significa “la vendita, compresa la rivendita, di elettricità ai clienti. Per il settore elettrico, i gestori dei sistemi di distribuzione e i gestori dei sistemi di trasmissione rientrano anche nella definizione di operatori di servizi essenziali. La copertura della generazione di elettricità non è esplicitamente inclusa e dà spazio all’interpretazione.
Per il sottosettore petrolifero, gli operatori di oleodotti per la trasmissione di petrolio e gli operatori della produzione di petrolio, impianti di raffinazione e trattamento, stoccaggio e trasmissione rientrano nella definizione di operatori di servizi essenziali.
Per il sottosettore gas, le imprese di fornitura, i gestori dei sistemi di distribuzione, i gestori dei sistemi di trasmissione, i gestori dei sistemi di stoccaggio, i gestori dei sistemi di GNL, le imprese di gas naturale e gli operatori di impianti di raffinazione e trattamento del gas naturale rientrano nella definizione di operatori di servizi essenziali.
GDPR (Direttiva europea)
Il GDPR (2016) specifica le norme relative alla protezione delle persone rispetto al trattamento dei dati personali con mezzi automatizzati e le norme relative alla libera circolazione dei dati personali, di conseguenza è applicabile anche al mondo energy in generale laddove esistano problematiche di privacy. Cybersecurity e privacy sono ormai sempre più strettamente collegate.
NIST (Framework)
In Italia nel 2015 è stato presentato il Framework Nazionale per la Cybersecurity, frutto della collaborazione tra accademia, enti pubblici, e imprese private. Il Framework,
ispirato al Cybersecurity Framework ideato dal NIST (National Institute of Standards and
Technology), fornisce uno strumento operativo per organizzare i processi di cybersecurity
adatto alle organizzazioni pubbliche e private, di qualunque dimensione.
Il Framework è uno strumento di supporto alle organizzazioni e non può in alcun modo essere considerato uno strumento per il rispetto ai regolamenti vigenti. Ciononostante, la sua adozione può aiutare le organizzazioni nel definire un percorso volto alla cybersecurity e alla protezione dei dati coerente con i regolamenti stessi riducendo i costi necessari e aumentando l’efficacia delle misure realizzate.
Il core rappresenta la struttura del ciclo di vita del processo di gestione della cybersecurity, sia dal punto di vista tecnico sia organizzativo. Il core è strutturato gerarchicamente in diverse funzioni, categorie e sottocategorie. Le funzioni sono cinque: identify, protect, detect, respond,recover e costituiscono le principali tematiche da affrontare per operare una adeguata gestione del rischio cyber in modo strategico.
Il framework quindi definisce, per ogni funzione, categoria e sottocategoria, le attività abilitanti, quali processi e tecnologie da mettere in campo per gestire la singola funzione. Il framework core presenta inoltre dei riferimenti che legano la singola sottocategoria alle pratiche di sicurezza note previste da standard di settore (ISO, SP800-53r4, COBIT-5, ANS20 e altri) o da regolamentazioni generali vigenti (Regolamento UE 2016/679 General Data Protection Regulation, Direttiva UE 2016/1148 NIS).
La struttura del framework core è riportata nella figura seguente:
Identify – è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Le category all’interno di questa funzione sono: asset management, business environment; governance, risk assessment, risk management strategy, supply chain risk management e data management.
Protect – è associata all’implementazione di quelle misure volte alla protezione dei processi di business e degli asset aziendali, indipendentemente dalla loro natura informatica. Le category all’interno di questa funzione sono: identity management, authentication and access control, awareness and training, data security, information protection processes and procedures, maintenance, protective technology.
Detect – è associata alla definizione e attuazione di attività appropriate per identificare tempestivamente incidenti di sicurezza informatica. Le category all’interno di questa funzione sono: anomalies and events, security continuous monitoring, detection processes.
Respond – è associata alla definizione e attuazione delle opportune attività per intervenire quando un incidente di sicurezza informatica sia stato rilevato. Le category all’interno di questa funzione sono: response planning, communications, analysis, mitigation, improvements.
Recover – è associata alla definizione e attuazione delle attività per la gestione dei piani e delle attività per il ripristino dei processi e dei servizi impattati da un incidente. Le category all’interno di questa funzione sono: recovery planning, improvements, communications
Gli standard ISO
ISO 62351
IEC 62351 è uno standard internazionale per la sicurezza nel settore energetico con il titolo di “Gestione dei sistemi di alimentazione e scambio di informazioni associato – sicurezza dei dati e delle comunicazioni”.
Il suo scopo è:
“Intraprendere lo sviluppo di standard per la sicurezza dei protocolli di comunicazione definiti da IEC TC 57, in particolare la serie IEC 60870-5, la serie IEC 60870-6, la serie IEC 61850, la serie IEC 61970 e la serie IEC 61968. Intraprendere lo sviluppo di standard e / o relazioni tecniche su questioni di sicurezza end-to-end”
La serie IEC 62351 consiste in:
• IEC/TS 62351-1: Introduction
• IEC/TS 62351-2: Glossary
• IEC/TS 62351-3: Security for profiles including TCP/IP
• IEC/TS 62351-4: Security for profiles including MMS
• IEC/TS 62351-5: Security for IEC 60870-5 and derivatives
• IEC/TS 62351-6: Security for IEC 61850 profiles
• IEC/TS 62351-7: Objects for Network Management
• IEC/TS 62351-8: Role-Based Access Control
• IEC/TS 62351-9: Key Management
• IEC/TS 62351-10: Security Architecture
• IEC/TS 62351-11: Security for XML Files
Lo standard IEC TC 57 invece ha lo scopo di preparare standard internazionali per apparecchiature e sistemi di controllo dei sistemi di alimentazione, tra cui EMS (Energy Management Systems), SCADA (Supervisory Control And Acquisition), automazione della distribuzione, teleprotezione e scambio di informazioni associate per informazioni in tempo reale e non in tempo reale, utilizzate nella pianificazione, gestione e manutenzione di sistemi di alimentazione.
Non esiste una correlazione individuale tra gli standard di comunicazione IEC TC57 e gli standard di sicurezza IEC 62351. Questo perché molti degli standard di comunicazione si basano sugli stessi standard sottostanti a diversi livelli. Le interrelazioni tra gli standard IEC TC57 e gli standard di sicurezza IEC 62351 sono illustrate nella figura seguente:
IEC 62443
La serie di standard ISA / IEC 62443, sviluppata dal comitato ISA99 e adottata dalla Commissione elettrotecnica internazionale (IEC), fornisce un quadro flessibile per affrontare e mitigare le vulnerabilità di sicurezza attuali e future nei sistemi di automazione e controllo industriali. Il comitato attinge al contributo e alla conoscenza degli esperti di sicurezza di tutto il mondo per sviluppare standard di consenso applicabili a tutti i settori industriali e alle infrastrutture critiche.
È una famiglia di standard suddivisa in 4 livelli come riportato nella figura seguente:
Il primo livello generale include documenti che affrontano argomenti comuni all’intera serie. Questi includono:
- ISA – 62443-1-1 introduce i concetti generali e i modelli utilizzati in tutta la serie .
- ISA – 62443-1-2 è un glossario generale di termini e abbreviazioni utilizzati in tutta la serie
- ISA – 62443-1-3 descrive una serie di metriche quantitative derivate dalla base requisiti, requisiti di sistema e associati.
- ISA – 62443-1-4 fornisce una descrizione più dettagliata del ciclo di vita sottostante per il SIGC sicurezza, oltre a diversi casi d’uso che illustrano varie applicazioni.
I documenti del secondo livello si concentrano sulle politiche e sulle procedure associate di sicurezza. Questi includono:
- ISA – 62443-2-1 descrive ciò che è necessario per definire e implementare un efficace cybersistema di gestione della sicurezza.
- ISA – 62443-2-2 fornisce una guida specifica su ciò che è necessario per far funzionare un efficace sistema di gestione della sicurezza informatica.
- ISA – 62443-2-3 fornisce una guida sull’argomento specifico della gestione delle patch.
- ISA – 62443-2-4 specifica i requisiti per i fornitori.
- ISA – 62443-2-5 è una guida all’implementazione
I documenti nel terzo livello rispondono ai requisiti a livello di sistema. Questi includono:
- ISA – 62443-3-1 descrive l’applicazione di varie tecnologie di sicurezza.
- ISA – 62443-3-2 affronta la valutazione dei rischi per la sicurezza e la progettazione del sistema.
- ISA – 62443-3-3 descrive i requisiti e la sicurezza di base del sistema e livelli di garanzia.
Il quarto e ultimo livello include informazioni più specifiche e dettagliate per i requisiti associati allo sviluppo dei prodotti. Questi includono:
- ISA – 62443-4-1 descrive i requisiti derivati applicabili allo sviluppo di prodotti.
- ISA – 62443-4-2 contiene insiemi di requisiti derivati che forniscono una mappatura dettagliata di requisiti di sistema per sottosistemi e componenti del sistema in considerazione
In particolare il documento IEC 62443-4-2, definisce dei requisiti per valutare il livello di maturità:
I sette requisiti fondamentali sono:
a) controllo di identificazione e autenticazione (IAC),
b) controllo utente (UC),
c) integrità del sistema (SI),
d) riservatezza dei dati (DC),
e) flusso limitato di dati (RDF),
f) risposta tempestiva agli eventi (TRE) e
g) disponibilità delle risorse (RA).
Anche nel Framework nazionale italiano di sicurezza informatica (basato sul NIST) c’è un esplicito riferimento a IEC 62443 Possiamo individuare la seguente mappatura sulle funzioni:
“Identify”: 62443-2-1 / 3-3
“Protect” : 62443-2-1 / 3-3
“Detect”: 62443-2-1 / 3-3
“Respond”: 62443-2-1 / 3-3
“Recover”: 62443-2-1
Gli standard chiave della serie IEC 62443 sono in generale i seguenti:
IEC 62443-2-1, che copre il programma di sicurezza del sistema (politiche, procedure, pratiche)
IEC 62443-4-1, che copre i requisiti del ciclo di vita dello sviluppo sicuro
IEC 62443-4-2, che copre le specifiche di sicurezza dei componenti IACS
IEC 62443-3-3, che copre i requisiti di sicurezza e i livelli di sicurezza
I concetti di base espressi dallo standard si possono così riassumere:
Defense in depth , sicurezza in tutto il ciclo di sviluppo, segregazione delle reti, ovvero i punti già sollevati in precedenza come abbiamo visto riguardanti la strategia di cybersecurity.
Conclusioni
Capire come unire i due mondi dell’OT e IT nel modo più sicuro è una delle maggiori sfide del settore.
Da dove provengono i dati dei dispositivi di rete e come influiscono sulla sicurezza di queste informazioni? A volte è più facile per un attaccante esterno colpire la catena di fornitura dell’organizzazione con i protocolli di sicurezza deboli. Fornitori di apparecchiature, fornitori di servizi IT gestiti, e i siti Web per l’hosting di aggiornamenti software possono tutti essere un target di attacco.
Le organizzazioni dovrebbero valutare il rischio che devono affrontare e misurare la loro capacità di identificare gli attacchi all’interno delle loro reti, separando le reti critiche dal tradizionale ambiente IT e assicurarsi che non ci siano connessioni tra questi sistemi. DMZ e segregazione di rete definiti con precisione dovrebbe garantire che un attacco mirato sia contenuto in una zona ben definita e non possa propagarsi al resto dell’azienda.
Un altro metodo è quello di implementare più avanzate soluzioni di rilevamento e risposta degli endpoint (EDR). EDR è un modo rapido per impostare le capacità di rilevamento e rispondere a minacce avanzate e attacchi che potrebbero aggirare l’endpoint tradizionale. Le soluzioni EDR più avanzate possono automatizzare il monitoraggio per soddisfare le esigenze 24/7. EDR gestito (MDR) è una soluzione più efficace ancora per le organizzazioni che non vogliono implementare squadre di sicurezza informatica. In generale queste soluzioni offrono visibilità e intelligenza e capacità di risposta agli incidenti informatici (Threat Intelligence).
Recenti notizie di attacchi alle connessioni VPN (CVE-2020-14500/14511/14508/14510) usate per sistemi industriali/energia pongono di nuovo l’urgenza di mantenere alto il controllo della propria rete, aggiornare continuamente i sistemi e avere una policy di patching implementata.