La sicurezza degli impianti per la depurazione e la gestione delle acque è un tema estremamente attuale, visto il vertiginoso incremento di cyberattacchi diretti verso le infrastrutture critiche a causa della crisi geopolitica internazionale in seguito all’invasione Russa dell’Ucraina. Ma quali sono i veri rischi e soprattutto, esistono contromisure preventive che riducano il rischio di essere colpiti? Fortunatamente la risposta è sì.
Sicurezza impianti: un problema non nuovo, ma attuale
Come abbiamo accennato, la sicurezza degli impianti industriali, in particolare per quanto riguarda il settore water & waste water: ci sono infatti casi particolarmente eclatanti lungo tutta la storia recente degli ultimi 20 anni. Perché dunque l’attenzione si riaccende proprio nel 2023? Fondamentalmente per motivazioni che riguardano tutto il settore industriale: Ovvero difese non adeguate o non in grado di sopportare minacce continue e persistenti e una grande “appetibilità” del bersaglio, sia dal punto di vista economico che da quello bellico o terroristico.
D’altro canto, nemmeno il mondo dei difensori rimane fermo: per esempio, proprio a giugno del 2023 NIST, il celebre ente statunitense dedicato alla sicurezza informatica, ha pubblicato una guida intitolata “Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems”. Insomma, con l’OT sempre più nel mirino, anche i difensori devono aggiornarsi e stare in guardia. Ma come ?
Alcune indicazioni di carattere generale si possono recepire dalle Direttiva NIS EU 2016/1148, meglio conosciuta come NIS. Tale normativa introduce per la prima volta l’idea di uno sforzo comunitario sulla cybersecurity per tutti i paesi dell’Unione Europea, con linee guida definite. La direttiva, adottata dall’Unione Europea nel 2016 e recepita in Italia dal Decreto Legislativo del 18 maggio 2018 è stata rivista recentemente con l’introduzione della NIS2 (UE 2022/2555), in attesa di essere recepita dall’ordinamento italiano. Si tratta di una norma che impatta notevolmente il settore Water e Wastewater, dal momento che gli acquedotti, che nell’ultima revisione della normativa vengono classificati come settori ad alta criticità. Fra i temi che ritroviamo in questa normativa, meritano di essere ricordati la richiesta di risk e vulnerability assessment, la capacità di gestione degli incidenti informatici, l’esigenza di monitorare in modo costante le infrastrutture IT. Grande spazio trova anche la cyber resilience: sarà necessario avere un piano di incident response, uno di business continuity e il controllo della sicurezza lungo tutta la supply chain.
La sicurezza dei sistemi OT e le sue criticità
I sistemi di gestione delle acque, che si tratti di fornitura idrica o acque reflue, sono infrastrutture critiche e per questa ragione devono essere trattate con una particolare attenzione, anche per quanto riguarda i tempi di risposta a eventuali attacchi. Per fare questo ci sono alcune particolari aree di attenzione e di intervento.
La prima è certamente quella dei sistemi OT propriamente detti. In quest’area di intervento ci sono due contromisure in cui è particolarmente necessario concentrarsi: l’aggiornamento dei sistemi, che devono essere controllati periodicamente, e la mappatura della rete: gestori e manutentori, infatti, devono sempre essere pienamente consapevoli della condizione dell’inventario dei dispositivi della propria rete e della relativa mappatura. In questo contesto, particolare attenzione deve essere rivolta alla connessione con i macchinari: HMI, SCADA e altri tipi di interfacce operatore sono un comune punto di attacco.
Altra area critica è l’interfacciamento dei sistemi OT con l’IT aziendale. La criticità è legata certamente al maggior uso della rete pubblica “untrusted” da parte dei sistemi office che li rendono più esposti alle minacce esterne e quindi facilmente trasmissibili ai sistemi in produzione (in molti casi meno protetti ed estremamente critici per la business continuity). Basti pensare ai possibili effetti disastrosi della propagazione incontrollata di ransomware dalla rete office alla rete degli SCADA e dei server di produzione.
Per far fronte a questi problemi la segmentazione della rete è fondamentale come prima linea di difesa: nel passato (anche recente) si aggirava il problema evitando o quantomeno limitando gli accessi diretti dell’OT verso Internet. Ovviamente l’evoluzione tecnologica e i nuovi paradigmi produttivi (tra tutti l’Industry 4.0 e fra non molto il 5.0) impongono una protezione sempre più in profondità mediante l’utilizzo di firewall di nuova generazione (in grado di analizzare anche i protocolli industriali) di sistemi evoluti di anomaly & threat detection e molto altro.
Affrontare le sfide della sicurezza degli impianti per le acque e le acque reflue
Abbiamo visto come, in uno scenario sempre più minaccioso, è necessario agire preventivamente per evitare infiltrazioni e attacchi, il cui rischio è sempre più concreto . Al di là degli aspetti legati al rischio, ricordiamo che la direttiva NIS2 citata in apertura si affianca alle direttive europee esistenti, imponendo alle attività critiche e altamente critiche una serie di controlli e adempimenti. Ricordiamo, in chiusura, alcuni di quelli principali:
- Analisi dei rischi e politiche di sicurezza dei sistemi informativi
- Gestione degli incidenti (prevenzione, rilevamento e risposta agli incidenti)
- Continuità operativa e gestione delle crisi
- Sicurezza della catena di fornitura: inclusi gli aspetti relativi alla sicurezza dei fornitori, compresi service provider di terze parti
- Sicurezza nell’acquisizione, sviluppo e manutenzione di reti e sistemi informativi, inclusa la gestione e la divulgazione delle vulnerabilità
- Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio legato alla cybersecurity
Vista la complessità sempre crescente delle infrastrutture di controllo e gestione, tuttavia, è fondamentale che le buone pratiche siano applicate da partner esperti, che conoscano il settore e sappiano conciliare le competenze e i bisogni del mondo water & waste water con le buone pratiche di sicurezza, a partire da quelle più generali fino ad arrivare a quelle più specifiche per il settore.
