CYBERSECURITY & AUTOMAZIONE INDUSTRIALE
Perché oggi si sente parlare di Cyber security & Automazione industriale ?
Oggi il termine cybersecuruty , già molto utilizzato quando si parla di navigazione in Internet, è sempre più associato anche ai dispositivi industriali. Il mondo dell’automazione industriale fino a non molti anni fa era immune da queste problematiche in quanto per l’interconnessione dei dispositivi all’interno delle macchine si utilizzavano le comunicazioni seriali . Oggi moltissimi protocolli industriali sono migrati su Ethernet equiparando di fatto i dispositivi industriali ai PC in termini di ” vulnerabilità”. Quando comperiamo un PC una delle prime cose di cui ci preoccupiamo è quella di installare un antivirus. Quando invece acquistiamo un PLC o un’ azionamento oppure un controllo numerico non pensiamo minimamente al fatto di doverli proteggere da virus o da accessi indesiderati.
Il diffondersi dei protocolli di comunicazione industriali su Ethernet e la facilità con la quale riusciamo a connetterci anche da remoto ( attraverso Internet), ci ha sicuramente semplificato la vita da un lato, ma ci espone a dei rischi dall’altro.
Cosa é consigliabile fare ?
Cosí come ci siamo abituati a cercare ed a informarci sugli antivirus piú opportuni da installare sui nostri pc, dovremmo incominciare ad informarci anche quando andiamo ad acquistare un prodotto di automazione industriale che abbia una porta Ethernet a bordo.
Oggi le problematiche di vulnerabilità riguardano tantissimi prodotti attualmente in commercio e, nonostante quello che si potrebbe pensare, la cosa non riguarda solo i prodotti economici, magari provenienti dal Far east, ma non sono immuni da queste problematiche neanche i costosi dispositivi delle marche più note.
Dobbiamo dunque, come per tutte le cose nuove , informarci.
Innanzi tutto chiediamo al fornitore se il suo prodotto ha ottenuto delle certificazioni di cybersecurity, esattamente come quando ci accertiamo alla presenza del marchio CE o della rispondenza alla compatibilità elettromagnetica ( EMC). Al seguente link è possibile scaricare un esempio di certificazione di cybersecurity ottenuta da un costruttore di dispositivi di teleassistenza SECOMEA : https://www.dropbox.com/s/t1co3i6f9f5rnem/0_Security%20Certified.pdf?dl=0
Un’altra cosa che puó essere utile é andare a consultare il sito https://ics-cert.us-cert.gov/ e verificare se esiste qualche articolo sul prodotto o sul fornitore che stiamo acquistato.
La ICS-CERT é un’organizzazione che si occupa di testare tutti i prodotti che vengono immessi sul mercato per poi pubblicare una relazione tecnica nel caso di presenza di vulnerabilità nel prodotto.
Attenzione non si sta parlando di malfunzionamento dei prodotti, questo non è in discussione, ma di quanto questi prodotti, inseriti all’interno di una infrastruttura di rete, possano rappresentare un anello debole cioè una porta d’accesso per attacchi indesiderati.
Responsabilità dei fornitori e dei clienti
Oggi non esiste ancora una normativa che obblighi i costruttori di dispositivi per automazione industriale ad effettuare dei test sulla vulnerabilità, pertanto sul mercato si trovano tantissimi prodotti che hanno parecchi problemi a riguardo.
Il rischio di mettere in commercio o di acquistare un prodotto con molte vulnerabilità non è ancora molto percepito né da fornitori né dai clienti. Il tema è che si rischia di introdurre nella nostra azienda e nelle aziende dei nostri clienti un corridoio privilegiato per possibili accessi indesiderati che possono creare danni “ a catena” all’interno dell’ infrastruttura, al di là del semplice malfunzionamento della singola macchina nella quale è montato il nostro dispositivo.
Conclusioni
Dobbiamo entrare nell’ottica che Internet è di tutti e se qualcuno per negligenza e/o incompetenza contribuisce a renderlo meno sicuro la cosa riguarda tutti.
Abbiamo già sperimentato per argomenti di altra natura ( vedi l’Inquinamento atmosferico, vedi i tetti d’amianto etc..) che correre ai ripari “dopo” è molto sconveniente per una serie di ragioni.
Un possibile slogan dei prossimi anni rivolto a tutti potrebbe essere : “Internet è di tutti contribuisci anche tu a renderlo più sicuro ! “
