13 Lug

Sicurezza informatica attraverso la tecnologia operativa (OT)

Nel contesto della digitalizzazione, anche la domanda di sicurezza informatica sta crescendo enormemente. “L’11% delle aziende tedesche ha registrato un incidente di sicurezza informatica negli ultimi 12 mesi. Tre aziende su dieci si aspettano di essere prese di mira da criminali informatici nei prossimi 12 mesi – le bande organizzate sono particolarmente temute. La guerra in Ucraina sta alimentando i timori di un aumento degli attacchi informatici. [1]” L’area delle infrastrutture critiche, cioè quelle che ci tengono virtualmente in vita ogni giorno, richiede un’attenzione particolare. Ad esempio, l’infrastruttura elettrica, di cui si parlerà in questo articolo. Il quotidiano svizzero Tagesanzeiger (TA), ad esempio, in un “Sondaggio sulla sicurezza informatica: i fornitori di elettricità svizzeri non sono sufficientemente protetti dagli hacker. Le aziende sono particolarmente carenti nel riconoscere gli attacchi e nel reagire ad essi. [2]”

Questo libro bianco affronta i pericoli fondamentali, lo status quo, le leggi applicabili nell’UE e le soluzioni attualmente praticabili e disponibili nel contesto degli strumenti di misura elettrici.

A causa della complessità dinamica e impegnativa dell’argomento, questo rapporto è da intendersi come una guida e non ha la pretesa di essere esaustivo.

Cyber Security auf OT-Level
Cyber Security auf OT-Level

Scenari di minaccia

Fondamentalmente, si può dire che conosciamo due categorie principali di possibili rischi. Una è il furto di dati [3] e l’altra è la manipolazione dei dati. [3] Intenzionalmente o involontariamente. Per caso o attraverso atti criminali.

Per una migliore segmentazione, elenchiamo, come sempre in modo non esaustivo, alcuni scenari di minaccia:

  1. Attacco di hacking a un’azienda con ricatti, criptazione di dati, furti, minacce, …
    (ad es. tramite ransomware (Lockbit, …), malware, …)
  2. Guasti e attacchi a servizi (ospitati esternamente)
    (ad esempio siti web, account di social media, servizi cloud, servizi di backup dei dati, …)
  3. Spionaggio e attacchi di phishing
    (ad esempio attraverso interviste, sondaggi, spionaggio virtuale e fisico, visitatori sconosciuti, fuga di carte di credito, ecc.)
  4. Attacchi informatici alle persone
    (ad es. ricatti e minacce contro individui, applicazioni per smartphone (ad es. fotocamera, microfono), …)
  5. Perdite
    (ad es. semplice perdita di dati, perdita di hardware, furto di hardware, …)
  6. Scambio consapevole di dati
    (ad esempio attraverso supporti dati esterni (chiavette USB, schede SD, smartphone…), EDI, API, …)
  7. Influenze fisiche e naturali
    (ad es. fulmini, incendi, acqua, vandalismo, sabotaggio, …)
  8. Malfunzionamento e guasto del backup dei dati
    (es. NAS, documentazione inadeguata, aggiornamenti inadeguati, lunghe interruzioni di corrente, supporti difettosi, invecchiamento, …)
  9. Mancanza di consapevolezza nell’azienda stessa
    (ad esempio, ignoranza e ingenuità generali, mancanza di conoscenze in materia di TIC, non è “questione per il capo”, mancanza di formazione, ecc.)
  10. Attrezzature inadeguate
    (es. guasti, sistemi vecchi, virus sullo smartphone, numero sconosciuto di client ICT, dispositivi di terzi nella rete ICT, …)

Soprattutto il punto “Dispositivi di terze parti nella rete ICT” dovrebbe interessarci in questo articolo, poiché riguarda anche gli strumenti di misura e quindi riflette anche gli scenari di minaccia sopra menzionati.

Conclusione intermedia (1):

Gli interventi non intenzionali sui dati significano che qualcosa non è più come era stato pianificato in principio. Pertanto, tali interventi hanno spesso un impatto diretto sui costi e sulla reputazione della persona o dell’azienda interessata. Il danno è quindi x volte superiore alla semplice difesa o cura dell’intervento avvenuto.

Va inoltre notato che i dispositivi già attaccati possono essere utilizzati come piattaforma per la diffusione sostanziale dell’intercettazione e della manipolazione dei dati. Pertanto, l’accesso non intenzionale ha un potenziale di rischio x volte superiore a quello che potrebbe sembrare inizialmente.

Elektrische Netzebenen 1-7

La nuova importanza dei flussi di dati nelle reti di distribuzione elettrica

  • Le interconnessioni elettriche devono essere in grado di comunicare tra loro.
  • Integrazione nel World Wide Web (www)
  • È necessaria l’integrazione di più punti di misurazione a causa dei numerosi nodi (soprattutto nella rete a bassa tensione = smart grid)
  • Gli utenti del livello di rete 7 (rete di distribuzione locale <1kV) diventano specialisti di (app) (ad esempio SmartHome, approvvigionamento energetico, impronta di CO2, …)
  • Le applicazioni per le reti intelligenti sono necessarie e anche richieste (ad esempio, reti intelligenti, creazione di trasparenza, automazione, tempo reale, …).
  • La pianificazione con simulazione, i dati in tempo reale e le tendenze stanno diventando sempre più importanti per le reti.
  • Gestione dinamica del carico e dell’energia = controllo remoto (ad es. redispatch, §14a EnWG (Germania), impianti fotovoltaici senza controcarico, …)
  • Gli attuali centri di controllo sono collegati ad applicazioni parallele (ad esempio per le smart grid).
  • Le soluzioni cloud arrivano sulle reti elettriche
  • Le perturbazioni e i cambiamenti (dinamiche) devono essere registrati in tempo reale.
  • Compaiono nuovi fattori di disturbo e di influenza (ad esempio con le energie rinnovabili come la formazione di nuvole, il vento, il calore, …)

Excursus: Legge sull’industria energetica (EnWG) – Dispositivi di consumo controllabili:

La nuova versione del §14a EnWG (01.01.2023) della Germania prevede una riduzione delle tariffe di rete per quei consumatori che hanno stipulato un accordo con il gestore di rete sul controllo orientato alla rete di dispositivi di consumo controllabili o di connessioni alla rete con dispositivi di consumo controllabili. [4]

In breve: “A partire dal 2024, la rete a bassa tensione deve essere gradualmente trasformata in una rete intelligente nell’ambito del §14a EnWG. La prima fase di espansione per ogni gestore di rete di distribuzione è il controllo statico dei carichi scollegabili a livello di rete a bassa tensione, che deve essere sostituito da un controllo dinamico al più tardi entro il 2029.

Il termine carichi scollegabili nella rete a bassa tensione si riferisce a tutti i carichi con un carico collegato superiore a 3,7 kW. Si tratta principalmente di pompe di calore, accumulatori elettrici, infrastrutture di ricarica per veicoli elettrici o sistemi di condizionamento dell’aria.” [5]

Pertanto, i flussi e i volumi di dati aumenteranno in modo significativo e si può ipotizzare che altri paesi con infrastrutture urbane e complesse possano seguire un principio simile.

Conclusione intermedia (2)

I flussi e i volumi di dati sono in aumento e sono associati a minacce estreme e a ostacoli (ad esempio, la connettività).

Quali strategie di sicurezza dei dati e delle manipolazioni vengono utilizzate?

Questo paragrafo si occupa in linea di principio di quali possibili elementi di sicurezza informatica sono considerati. È sempre sorprendente quanto poco si parli specificamente di tecnologia operativa (OT) nel contesto dei dispositivi di campo integrati (ad es. sensori, strumenti di misura, ecc.).

  • Definizione di una politica I(C)T specifica per l’azienda
  • Impiego di specialisti IT interni ed esterni nelle rispettive aree di competenza
  • Gestire reti chiuse o isolate
  • Rigoroso rispetto delle linee guida e delle leggi sulla protezione dei dati specifiche per ogni paese
  • Ridurre i sistemi proprietari (ad esempio le interfacce proprietarie del produttore)
  • Uso di protocolli standardizzati (ad es. IEC61850, PQDIF IEEE1159.3, ecc.)
  • Utilizzo di soluzioni software aggiuntive per il monitoraggio
  • Centralizzazione dei sistemi (hardware, software, HR)
  • Esternalizzazione dei servizi a fornitori esterni
  • Insourcing dei servizi di outsourcing
  • Segmentazione della rete per ridurre al minimo le possibili superfici di attacco.
  • Utilizzo di standard di sicurezza verificabili (ad es. ISO27001, individuale, ecc.).

Approfondimento su ISO27001: un approccio praticabile?

Questo standard internazionale è stato sviluppato per specificare i requisiti per la creazione, l’implementazione, il mantenimento e il miglioramento continuo di un Sistema di gestione della sicurezza delle informazioni (ISMS).

L’introduzione di un sistema di gestione della sicurezza delle informazioni è una decisione strategica per un’organizzazione. La creazione e l’implementazione di tale sistema all’interno di un’organizzazione dipende dalle sue esigenze e dai suoi obiettivi, dai requisiti di sicurezza, dai processi organizzativi e dalle dimensioni e dalla struttura dell’organizzazione. Si può presumere che tutti questi fattori di influenza cambieranno nel tempo.

Il sistema di gestione della sicurezza delle informazioni mantiene la riservatezza, l’integrità e la disponibilità delle informazioni utilizzando un processo di gestione del rischio e fornisce alle parti interessate la certezza che i rischi sono gestiti in modo appropriato.

È importante che il sistema di gestione della sicurezza delle informazioni sia integrato nella struttura di governance generale dell’organizzazione come parte delle sue operazioni e che la sicurezza delle informazioni sia già presa in considerazione nella progettazione di processi, sistemi informativi e misure.

Si prevede che l’implementazione di un sistema di sicurezza (ISMS) sia scalabile in base alle esigenze dell’organizzazione.

Questo standard è affiancato dalla norma IEC62443. Questa descrive a sua volta un approccio olistico alla sicurezza informatica. E questo fino al livello dei componenti dell’automazione industriale.

 

Conclusione intermedia (3):

  • I singoli approcci riprendono solo aspetti parziali
  • Gli esperti IT si concentrano per lo più sulla tecnica e meno sul contesto generale.
  • ISO27001 è un sistema di gestione completo, olistico e molto complesso.
  • La norma IEC62443 è applicabile in linea di principio solo al settore dell’automazione industriale.
  • Non esiste ancora uno standard di sicurezza informatica conforme alle norme IEC per gli strumenti di qualità dell’energia e i dispositivi di monitoraggio dell’energia a livello di dispositivi. Questo è attualmente in fase di sviluppo nei comitati del TC 85/WG 20 della CE – Apparecchiature per la misurazione e il monitoraggio di grandezze stazionarie e dinamiche nei sistemi di distribuzione dell’energia con il titolo del progetto: “Aspetti di cybersecurity dei dispositivi utilizzati per la misurazione e il monitoraggio dell’energia, il monitoraggio della qualità dell’energia, la raccolta e l’analisi dei dati”. Resta da vedere quali standard si comportano in che modo.
  • Se non si utilizzano componenti temprati per la CS, è necessario investire maggiori sforzi nella gestione della CS per ottenere un controllo sulla sicurezza informatica. Questo è rischioso perché i componenti insicuri non possono essere gestiti in modo sicuro.
  • Il test di conformità alla sicurezza informatica di un prodotto costa solo una frazione dell’esborso per un certificato del sistema di gestione della sicurezza.
  • Molti produttori lasciano i costi di gestione della sicurezza ai clienti, invece di sviluppare essi stessi prodotti sicuri.

E cosa dice l’UE sulla sicurezza informatica?

L’UE ha già emanato una direttiva sulla sicurezza informatica nel 2019. Si tratta del “Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA (Agenzia dell’Unione europea per la cibersicurezza) e alla certificazione della cibersicurezza delle tecnologie dell’informazione e della comunicazione e che abroga il regolamento (UE) n. 526/2013 (Legislazione sulla cibersicurezza) (Testo rilevante ai fini del SEE) [6]”. L’origine di ciò si trova nell’Atto europeo sulla resilienza informatica (CRA) “Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO sui requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020. [7]”.

In seguito alla fusione di diversi Paesi (Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), United Kingdom’s National Cyber Security Centre (NCSC-UK), Germany’s Federal Office for Information Security (BSI), Netherlands’ National Cyber Security Centre (NCSC-NL), Computer Emergency Response Team New Zealand (CERT NZ) e New Zealand’s National Cyber Security Centre (NCSC-NZ)), questa organizzazione, denominata “Cybersecurity and Infrastructure Security Agency”, ha pubblicato un documento sulla sicurezza informatica. Questa guida, intitolata “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default” (Spostare l’equilibrio del rischio di cybersecurity: principi e approcci per la sicurezza di progettazione e di default), intende contribuire a rendere gestibile il tema della sicurezza informatica e quindi della protezione informatica (OT). [8]

Conclusione piccola o grande?

È quindi assolutamente chiaro che i temi della sicurezza informatica devono essere affrontati costantemente anche a livello locale, in questo caso per quanto riguarda gli strumenti di misura. I produttori di strumenti di misura non possono più affermare che la sicurezza informatica sia una responsabilità esclusiva dell’utente del prodotto. La sicurezza informatica per gli strumenti di misura rientra quindi nel tema della “Tecnologia operativa (OT)” ed è indispensabile nel prossimo futuro, almeno per le aree critiche.

Tuttavia, è anche chiaro che gli strumenti di misura esistenti non possono essere semplicemente dotati di sicurezza informatica a livello OT, o meglio, di protezione informatica. Per questo, i limiti tecnologici sono tracciati dalle tecnologie embedded. Ad esempio, se gli strumenti di misura non sono stati progettati per questo scopo. Oppure se le prestazioni del processore sono già pienamente utilizzate per altre applicazioni informatiche. Ciò riguarda soprattutto gli strumenti di misura già presenti sul mercato.

Ma anche se i progetti consentissero la protezione informatica, spesso mancano le competenze che definiscono la protezione informatica a livello di campo e che possono poi essere sviluppate. Almeno dal punto di vista odierno, la tecnologia IT, ovvero tutto ciò che riguarda le normali applicazioni e infrastrutture, non deve essere equiparata alle tecnologie embedded. E anche se lo fosse, la sicurezza informatica nel mondo IT ha ancora abbastanza argomenti da affrontare. A volte anche argomenti di base essenziali. Per non parlare della connettività mobile. Ma questo è un altro argomento che riempirebbe un libro bianco a sé stante.

Un altro ostacolo alla semplice osservanza delle normative UE è rappresentato dalle incertezze derivanti dagli standard IEC. Va notato che gli standard adottati, ad esempio per PQI o PMD, non sono ancora stati specificati come standard di sicurezza informatica. Certo, si sta lavorando su di essi. Ma quando e quali standard entreranno in vigore è completamente aperto. Pertanto, i produttori di strumenti di misura non possono fare riferimento a univocità e sono quindi limitati. Un’eccezione è rappresentata da Camille Bauer con i suoi strumenti di misura. In questo caso, Camille Bauer segue già da diversi anni lo standard ENEL GSTQ901, ad esempio per quanto riguarda gli analizzatori di qualità della rete, in una posizione pionieristica.

Cyber_Happy

Approcci risolutivi per aumentare la sicurezza informatica con l’OT

Nonostante la mancanza di standard, gli utenti dei prodotti non dovrebbero rinunciare alla sicurezza informatica nell’area OT, ovvero alla protezione informatica. E certamente non nell’ambito delle infrastrutture critiche. Per l’integrazione degli strumenti di misura, si può fare riferimento agli aspetti della ISO27001 (Allegato A; obiettivi e misure di riferimento) come segue:

  • Controllo degli accessi per sistemi e applicazioni
  • Misure crittografiche
  • Sicurezza fisica e ambientale
  • Protezione contro il malware
  • Protezione dei dati
  • Registrazione e monitoraggio

L’osservanza di questi criteri negli strumenti di misura contribuisce già enormemente ad aumentare la sicurezza informatica con l’aiuto dell’OT.

1. Autorizzazione all’accesso basata sui ruoli (RBAC)

  • Concedere all’utente diritti necessari e non eccessivi:
    • Accesso ai dati di misura: Visualizzazione, cancellazione, download
    • Dati di configurazione: Visualizzazione, modifica
    • Amministrazione completa degli utenti
    • Accesso remoto tramite sito web / software
    • Accesso locale
  • Nessuna trasmissione in chiaro delle informazioni di login
  • I tentativi di accesso ripetuti aumentano la latenza
  • Memorizzazione delle impostazioni RBAC solo crittografate
Role Based Access Control (RBAC)

2. Protocollo di trasferimento ipertestuale sicuro (https)

  • Protocollo di trasmissione ipertestuale sicuro (a prova di intercettazione grazie alla crittografia del trasporto)
  • Crittografia bidirezionale tra server e client
  • Certificati radice come elemento di crittografia
  • Autenticazione protetta
  • Crittografia del contenuto dei dati
  • Crittografia con certificato Camillebauer o certificato definito dall’utente
Hypertext Transfer Protocol Secure (https)

3. Whitelist client / Whitelist client IEC61850 [Firewall].

  • Elenco con un massimo di 10 partecipanti autorizzati (computer) con:
    • Indirizzo vIPv4
    • Indirizzo vIPv6
  • Tutti gli altri accessi dei partecipanti sono bloccati
Informationstechnik; 09.08.2021]
Möglichkeiten zur Daten-und Manipulationssicherheit

Quelle: Camille Bauer Metrawatt AG
Kontakt
Rollenbasierte Zugriffsberechtigung (RBAC)

    Gewähren von Nutzer-Rechten, die notwendig sind und nicht darüber hinaus
        Zugriff auf Messdaten: Visualisierung, Löschen, Herunterladen
        Konfigurationsdaten: Anzeigen, Ändern
        Benutzerverwaltung
        Fernzugriff über Website / Software
        Lokaler Zugang
    Keine klare Textübertragung von Login-Informationen
    Wiederholte Anmeldeversuche erhöhen die Latenz
    Speicherung der RBAC-Einstellungen nur verschlüsselt

RBAC
Hypertext Transfer Protocol Secure (https)

    Sicheres Hypertext-Übertragungsprotokoll (abhörsicher durch Transportverschlüsselung)
    Bidirektionale Verschlüsselung zwischen Server und Client
    Stammzertifikate als Verschlüsselungselement
    Geschützte Authentifizierung
    Verschlüsselung des Dateninhalts
    Verschlüsselung mit Camillebauer Zertifikat oder benutzerdefiniertem Zertifikat

RBAC
Client Whitelist / Client IEC61850 Whitelist [Firewall]

4. Registro di controllo [Registrazione di tutte le manipolazioni]

  • Registrazione sicura con informazioni sull’utente per tutti:
    • Tentativi di connessione
    • Processi di login e logout degli utenti
    • Visualizzazioni del protocollo di monitoraggio
    • Modifiche alla configurazione Reset / cancellazione dei dati
Audit-Log

5. Sys-Log

  • Monitoraggio centrale della rete
    • Trasferimento delle voci del registro di monitoraggio a un server di sicurezza
SysLog-Server Transfer

6. Aggiornamenti sicuri del firmware

  • Verificare se il firmware è originale
    • Le immagini del firmware sono firmate digitalmente
    • Il controllo di plausibilità della validità è garantito
Secure Firmware

7. Data logger e gruppo di continuità (UPS)

  • Memoria della scheda SD nel dispositivo
  • 16 GB di memoria dati per molti anni di funzionamento tipico
  • UPS con 5×3 minuti in caso di interruzione di corrente sull’alimentazione
Datenlogger und unterbrechungsfreie Spannungsversorgung (USV)

8. Esportazione dei dati

  • Esportazione manuale dei dati tramite CSV e PQDIF
  • Esportazione automatica dei dati csv e PQDIF (scheduler)
  • Push degli eventi (PQDIF) al server SFTP
Datenexport

9. Soluzione di piattaforma sicura con connettività sicura

  • Soluzione di piattaforma sicura grazie a un fornitore certificato secondo la norma ISO27001
  • Non è necessario investire in un’infrastruttura IT propria grazie alla completa verticalizzazione.
  • La potenza di calcolo del sistema rimane sempre ad un livello elevato (hub di dati autosufficiente)
  • Non sono necessarie barriere di protezione ICT proprie (ad es. firewall, protezione da virus, …).
Plattformlösung BentoNet

10. Strumenti di misura nonµP

Il modo più semplice per sostenere la sicurezza informatica.

  • Trasmettitore per I/U/P/Q
  • L’hardware “stupido” impedisce gli attacchi informatici (nessun indirizzo IP)
  • Elevata disponibilità e longevità per decenni
  • Tecnologia collaudata a livello globale
Unifunktionale Messwandler

Related Posts

Leave A Comment