Negli ultimi anni, grazie agli incentivi per l’industria 4.0, nelle aziende si sono moltiplicate le macchine che hanno a bordo uno o più sensori o controller che richiedono di essere connessi alla rete. Questi dispositivi vengono indentificati in gergo come OT (Operational Technology – Tecnologia Operativa).
I dispositivi OT possono rappresentare una facile porta di accesso per gli aggressori, causando interruzioni alla produzione e gravi danni alle aziende.
Uno dei ritornelli che si sente spesso dai responsabili IT è che le loro risorse OT sono di scarso valore. I produttori di macchine, ad esempio, non credono che i loro sistemi di controllo siano di alcun valore per gli hacker, in quanto non contengono informazioni critiche e sono facilmente ripristinabili ai valori di fabbrica in caso di violazione. Gli hacker, invece, considerano i dispositivi OT come obiettivi molto preziosi.
Ecco cinque semplici passaggi per proteggere l’OT aziendale da eventuali compromissioni, anche se si dispone di un budget limitato.
1. Identificare i dispositivi OT
I dispositivi OT più comuni includono telecamere di sicurezza, sistemi di illuminazione industriale, sistemi di rilevamento e controller di produzione gestiti da una soluzione basata sul Web. Un altro esempio di OT è un telefono IP collegato un centralino PBX basato su cloud. In definitiva, un dispositivo OT è qualsiasi dispositivo non tradizionale che sia collegato in rete e abbia un indirizzo IP. Sono questi sistemi che possono cadere nel dimenticatoio e diventare bersagli.
Alcuni dispositivi OT comunemente trascurati sono le stampanti, i lettori di badge e gli scanner barcode collegati in rete. Un punto di partenza per identificare i dispositivi OT è dare un’occhiata alla lista degli indirizzi IP in uso sulla rete. Dalla lista degli indirizzi si possono identificare tutti i dispositivi che non sono PC, server o dispositivi di rete e ottenere così una lista dei probabili dispositivi OT connessi.
2. Isolare i sistemi
Una buona tecnica di mitigazione del rischio consiste nell’isolare i dispositivi dalla rete di produzione. Raramente c’è una buona ragione per cui i dispositivi OT gestiti o non gestiti, debbano risiedere sulla stessa rete logica dei dispositivi e dei server degli utenti finali.
Un approccio solido consiste nel creare VLAN specifiche per i dispositivi OT. Collocando i dispositivi in una o più reti rete isolate, gli amministratori hanno la possibilità di applicare i criteri di sicurezza di livello IP ad ampie porzioni della rete. L’isolamento della rete tramite VLAN consente di utilizzare le liste di controllo degli accessi esistenti sui router e sui firewall tradizionali per controllare il flusso di comunicazione tra i dispositivi OT e la rete di produzione. Questo approccio consente di mitigare il rischio associato all’attacco dei dispositivi OT ai sistemi IT di produzione, come le workstation e i server. In caso di compromissione della rete aziendale, si protegge la rete di produzione e viceversa.
3. Limitare l’accesso a Internet
La collocazione dei dispositivi OT in una rete isolata offre anche la possibilità di negare l’accesso a Internet per impostazione predefinita. Gli operatori delle botnet cercano risorse di sistema da indirizzare verso obiettivi su Internet. Se i dispositivi sono isolati e quindi non hanno la possibilità di accedere a Internet né di infettare altri dispositivi con una connessione a Internet, l’appetibilità di questi dispositivi per gli intrusi risulta molto ridotta.
4. La sicurezza delle password è essenziale
Gli attacchi ai dispositivi OT sono facili da realizzare perché molti di questi dispositivi hanno ancora password predefinite. Abbiamo riscontrato che questo è il caso di circa il 50% dei dispositivi OT in generale, ed è ancora più elevato in categorie specifiche di dispositivi. Ad esempio, si calcola che il 95% dei dispositivi OT per apparecchiature di videosorveglianza sia installato con le password predefinite. Anche quando i dispositivi non utilizzano password predefinite, abbiamo riscontrato che la maggior parte di essi ha subito una sola modifica della password in ben dieci anni. Idealmente, i dispositivi OT, come i PC, dovrebbero essere dotati di password uniche e complesse che vengono ruotate periodicamente. Tuttavia, non tutti i dispositivi supportano password complesse. Alcuni vecchi dispositivi OT possono gestire solo PIN di quattro cifre, mentre altri consentono solo otto caratteri e magari non accettano caratteri speciali. In ambiti dove la sicurezza è particolarmente importante, è opportuno considerare la possibilità di sostituire i dispositivi legacy che non sono in grado di fornire un buon livello di autenticazione con prodotti più moderni che consentano migliori pratiche di sicurezza.
5. Gestire il firmware dei dispositivi
La maggior parte dei dispositivi OT si basa su un firmware obsoleto, che comporta rischi significativi per la sicurezza, dal momento che le vulnerabilità sono molto diffuse. Le vulnerabilità del firmware rendono i dispositivi esposti ad attacchi che includono malware di base, malware sofisticati e backdoor, attacchi di accesso remoto, furto di dati, ransomware, spionaggio e persino sabotaggio fisico. Alcune ricerche riportano che il firmware medio dei dispositivi ha sei anni e che circa un quarto dei dispositivi è a fine vita e non più supportato dal produttore.
Come i computer, anche i dispositivi OT devono essere aggiornati con l’ultima versione del firmware e con le patch di sicurezza fornite dai fornitori. Certo, questo può essere un problema, soprattutto nelle grandi organizzazioni dove ci sono letteralmente migliaia di dispositivi. Ma in un modo o nell’altro, è necessario pianificare una strategia di aggiornamento per mantenere la rete sicura.
Tuttavia, a volte il firmware dei dispositivi deve essere declassato, piuttosto che aggiornato. Quando una vulnerabilità viene ampiamente sfruttata e non è disponibile una patch – poiché i fornitori OT spesso impiegano più tempo a rilasciare patch rispetto ai produttori di dispositivi IT tradizionali – può essere consigliabile declassare temporaneamente il dispositivo a una versione precedente del firmware che non contiene la vulnerabilità.