Negli ultimi tre anni, anche grazie agli incentivi industria 4.0, moltissime aziende hanno connesso le loro macchine alla rete aziendale. In parte sicuramente solo per garantire la rispondenza ai requisiti della norma, in parte con una visione più a lungo termine di trarre un oggettivo vantaggio da questa interconnessione.
Quasi tutte le aziende, però, hanno seguito la strada dell’interconnessione delle macchine senza pensare alla sicurezza. Questo significa che la maggior parte delle macchine sono oggi raggiungibili con strumenti come VNC, FTP, client specifici per marca del PLC, client OPC-UA senza alcuna protezione.
Con un VNC aperto, una macchina può essere fermata o riconfigurata per creare un danno alla produzione.
Da un lato si prende alla leggera la questione perché le macchine sono in rete interna, quando va bene in una sotto-rete propria, e quindi la raggiungibilità dall’esterno è oggettivamente improbabile. Dall’altro si sa benissimo che gli attacchi possono avvenire dall’interno, sia per mano degli stessi dipendenti sia utilizzando questi ultimi come testa di ponte attraverso i loro PC o telefoni.
Il primo punto debole: le macchine
Il punto più debole in assoluto sono le stesse macchine.
Questi meravigliosi e geniali sistemi di produzione sono creati da tecnici che sanno tutto di meccanica ed automazione, ma, giustamente, non sono tenuti a sapere molto di interconnessione e sicurezza informatica. Gli stessi strumenti che utilizzano (PLC, HMI, PC industriali) non hanno la sicurezza by design e la sicurezza by default come priorità, anzi, spesso sono considerati dei fastidi perché rendono più lungo lo sviluppo.
Una macchina, quindi, una volta che viene inserito il cavo ethernet diventa un bel libro aperto, sia in lettura che in scrittura.
Ogni macchina che viene interconnessa deve obbligatoriamente richiedere delle credenziali per poterne modificare i parametri di funzionamento.
Se l’accesso alla macchina in lettura non è probabilmente un gravissimo problema, l’accesso in scrittura lo è. E’ quindi indispensabile chiedere al produttore di inserire un blocco in questo senso rappresentato almeno dalla richiesta di credenziali per operazioni di modifica. Quasi mai viene fatto perché il produttore stesso, nel momento della teleassistenza, dovrebbe avere a disposizione le credenziali che, come succede a tutti, nel tempo vengono perdute.
Teleassistenza: solo quando serve
Va di gran moda ultimamente avere le teleassistenza permanente: attraverso una VPN il produttore può accedere alla macchina in qualsiasi momento su richiesta del cliente. Questa incredibile comodità paga un prezzo: se il produttore subisce un attacco, le macchine del cliente risultano esposte.
La teleassistenza non è, di norma, qualcosa che si fa ogni giorno, ma solo su richiesta: modifiche al software, diagnostica, riconfigurazione. E’ uno strumento importantissimo (una volta si facevano chilometri in auto per queste attività con gran dispendio di tempo, energie e anche un verto impatto ecologico), ma per sua natura attivabile solo quando serve.
Il produttore deve garantire che l’accesso in teleassistenza possa agire sulla macchina solo se viene permesso sulla macchina stessa nel momento della necessità.
Questa regola sembra essere pesante e retrograda, in quanto richiede la presenza fisica sul posto di qualcuno. Non è ovviamente necessario: all’interno della fabbrica si può da remoto accedere con le credenziali e sbloccare l’accesso in teleassistenza.
Monitoraggio e configurazioni sono cose diverse
Con l’aumento delle macchine interconnesse si sfrutterà sempre di più la possibilità di fare monitoraggio, non solo internamente, ma anche appoggiandosi a servizi esterni del produttore o di centri di assistenza.
In questo caso la macchina deve sempre essere in grado di comunicare con l’esterno per fornire i propri parametri di funzionamento, ma deve rimanere protetta dalla possibilità di essere riconfigurata. La comunicazione deve essere solo una trasferimento di dati dalla macchina ad un altro sistema, non viceversa.
Non solo: il trasferimento di dati ottimale è realizzato con la macchina che trasmette non con la macchina che viene “letta” da qualcuno. La differenza sembra minima, ma una macchina bombardata da richieste di lettura può facilmente essere portata in condizioni critiche, mentre una macchina che controlla il trasferimento dati verso l’esterno ha modo di autoregolarsi.
Il trasferimento dati avviene dalla macchina al sistema esterno ed è controllato dalla macchina.
Protocolli ed architetture di comunicazioni moderne (MQTT per citarne una ma moltissime macchine implementano condizioni simili di pubblicazioni dei dati) sono ormai indispensabili. Quando non disponibili, la macchina può essere “nascosta” da un sistema intermedio che si occupa della comunicazione con l’esterno nel modo più consono, proteggendo le fragilità (in termini di sicurezza) del dispositivo.
Questa comunicazione unidirezionale è nota come data-diode: anche senza entrare nella complessità degli utilizzi su sistemi ad alto rischio, è importante averla in mente come principio.
Se non lo fa la macchina…
Non tutte le macchine sono correttamente predisposte all’interconnessione e non tutti i produttori sono pronti per adeguarle. Le tecnologie ci sono, chi produce sistemi di automazione le mette a disposizione da molti anni, ma hanno due problemi:
- costi elevati
- necessità di studiare da parte di chi le usa
Piccoli produttori non sempre possono permettersi le migliori tecnologie sulle macchine e quasi sempre non hanno una strategia di formazione/ricerca/sviluppo per utilizzarle.
E’ quindi indispensabile agire per altre strade, ovvero dotarsi di sistemi che proteggano le macchine ed espongano solo quanto necessario. Questi dispositivi, misto tra hardware e software, esistono in varie versioni anche se il primo elemento da considerare sono dei firewall ben configurati con controllino con dettaglio chi raggiunge chi e con quali protocolli.
Altri sistemi sono sistemi di aggregazione dei dati (dai più semplici data-logger ai più complessi sistemi di storicizzazione) che diventano punto di scambio senza esporre la macchina, gli OPC-UA server che possono essere configurati per garantire l’autenticazione e limitare l’accesso, gateway di vario genere e non ultimo sistemi sviluppati ad-hoc per quelle macchine vecchie e fuori standard.
Conclusione
Queste piccole considerazioni, ad un occhio esperto alquanto sciocche, sono però il riflesso della realtà che si trova nelle PMI. Anche se esistono dei framework per trattare la sicurezza in ambito industriale, forse mancano ancora dei decaloghi semplici per fare verifiche immediate sulle macchine che oggi vengono interconnesse.
Approfondimenti
Un approfondimento che va molto a fondo sui problemi degli SCADA e ben oltre queste iniziali considerazioni lo trovate qui. Alcuni considerazioni utili le trovate anche su ENISA – Industru 4.0 Cyber Security Challenges and Recommendations e su ENISA – Good Practices for Security.
