ma, bisogna proprio proteggere anche le reti di fabbrica e ... · ma, bisogna proprio proteggere...
TRANSCRIPT
Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?
(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)
Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,
Controllo ed automazione in ambito Industriale & Industrial IoT
CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT
Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia
[email protected] – http://www.clusit.it
OT/ICS Cyber Security vs. IT Cyber Security
Ovvero come proteggere dal rischio
informatico i sistemi che gestiscono impianti,
macchinari ed oggetti (IoT, IIoT) nell’Industria,
Utility e nelle Infrastrutture.
OT: Operation Technology
ICS: Industrial Control Systems
Bisogna proprio proteggere anche le reti di fabbrica e IIoT?
A) Perché dovrei proteggere anche reti e sistemi in fabbrica che NON
sono collegati a internet!
B) Certo che si. L’anno scorso qualcuno in Sede ha aperto un allegato
e-mail e abbiamo avuto la fabbrica ferma due settimane per colpa
del ransomware «Wannacry»!
C) Perché dovrei? Abbiamo già speso un sacco di soldi per il GDPR
ed il nostro IT ha già messo in campo tutte le sicurezze!
D) Dipende dal disegno della rete di fabbrica: facciamo una Analisi del
Rischio ed un Assessment e poi decidiamo
Scegli la risposta giusta: (A) (B) (C) (D)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Rapporto CLUSIT sulla sicurezza ICT in Italia 2019
INDUSTRY 4.0:
La nuova frontiera dei cyber
criminali nell’anno del GDPR
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Dove sono i sistemi da proteggere per
proteggere gli impianti?Ovunque: Processi industriali, Fabbrica,
Edifici, Trasporti, Utility, Manufacturing,
Infrastrutture/OSE
5
DCS (Distributed Control Systems)
PLC e reti di campo (Controllori programmabili)
SCADA/HMI e reti di fabbrica
Storicizzatori (Historians, Database, ecc.)
DNC/CNC, Robot, AGV
MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.
LIMS, QA/QC, sistemi di taratura, analisi e misura
Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )
Reti di impianto, Sistemi Facility/Building BMS
…
Quali Reti e Sistemi di telecontrollo, controllo ed automazione nell’Industria e nelle Utility?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Industria4.0 e Cyber Security
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
OT/ICS: dove si trovano e come sono collegatisecondo il “The Purdue Model”
Requisiti Aggiunti:
• Visto che ora abbiamo tutti questi
preziosi dati nell’Historian,
vogliamo vederli!. Quindi creiamo
un'interconnessione con la rete
aziendale «corporate».
• Vogliamo dei Client sulla rete
aziendale in grado di visualizzare
i dati in tempo reale dall'impianto
• Gli ingegneri devono fare
modifiche sulla workstation di
ingegneria e cambiare altre
impostazioni direttamente dal
proprio desktop aziendale
• Dobbiamo permettere a chi ci fa la
manutenzione su PLC e SCADA di
potersi collegare da remoto
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
ANSI/ISA95 Functional Hierarchy www.isa.org e ISA99/IEC62443
Level 4
Level 1
Level 2
Level 3
Business Planning
& LogisticsPlant Production Scheduling,Operational Management, etc
Manufacturing
Operations ManagementDispatching Production, Detailed Production
Scheduling, Reliability Assurance, ...
Batch
Control
Discrete
ControlContinuous
Control1 - Sensing the production process,
manipulating the production process
2 - Monitoring, supervisory control and automated control of the production process
3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.
Time FrameDays, Shifts, hours, minutes, seconds
4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.
Time FrameMonths, weeks, days
Level 0 0 - The actual production process
Level 4
Level 1
Level 2
Level 3
Business Planning
& LogisticsPlant Production Scheduling,Operational Management, etc
Manufacturing
Operations ManagementDispatching Production, Detailed Production
Scheduling, Reliability Assurance, ...
Batch
Control
Discrete
ControlContinuous
Control1 - Sensing the production process,
manipulating the production process
2 - Monitoring, supervisory control and automated control of the production process
3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.
Time FrameDays, Shifts, hours, minutes, seconds
4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.
Time FrameMonths, weeks, days
Level 0 0 - The actual production process
Tutti gli standard informatici
aziendali, network, gestionale, cloud,
analytics.
• Sistemi non-deterministici
• Sistemi non-realtime
• o al più near-realtime
• Data Integrity
• Data security
• Patent Infringement
• Business Continuity
Le interfacce informatiche primarie
con grandezze fisiche e elettriche,
sensori, macchine e impianti, attuatori
e trasduttori fisici delle logiche
programmabili.
• Sistemi deterministici
• Sistemi strettamente realtime
• Brand specifici
• People Safety / EHS
• Business, Operation and Service
Continuity
Industria4.0, Convergenza IT – OT & il Cloud
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Sistemi OT/ICS, la rete di fabbrica, la rete Enterprise, Edge e il Cloud
Fonte: Dragos/GE
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
DCS (Distributed Control Systems)
PLC e reti di campo (Controllori programmabili)
SCADA/HMI e reti di fabbrica
Storicizzatori (Historians, Database, ecc.)
DNC/CNC, Robot, AGV
MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.
LIMS, QA/QC, sistemi di taratura, analisi e misura
Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )
Reti di impianto, Sistemi Facility/Building BMS
…
Quali i Sistemi nell’Industria e nelle Utility che potrebbero utilizzare Cloud ? (IMHO)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Proteggere IoT e IIoT: come e quali standard seguire?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Manufacturing
Chemical
Food &Beverage
Oil& Gas
Power
Healthcare
DataCenter
Security Ops Center
Officers &Directors
B u s i n e s s U n i t
IT Next GenFirewall
P r o d u c t i o n O p s C e n t e r
MPLSINTERNET
TelCo
R e m o t e E m p l o y e e
IT Next GenFirewall
VPN
D M Z
DomainController
WebProxy Syslog
Router HMI HistorianEngineeringWorkstation
Engineering Server
DCS
PLC
PLC
PLC
PLC
PLC PLCPLC RTU
B a c k B o n e
I n t e g r a t o r / V e n d o r
Supply ChainPLC
“Old” IT vs OT
Priorities
1. Confidentiality
2. Integrity
3. Availability
4.Safety
5.Reliability
6.Product/Service
Impacted
“New” IT/OT/IoT, IIoT
Priorities
1. Authentication
2. Availability
3. Integrity
4. Confidentiality
5. Non-Repudiation
6.Safety
7.Reliability
8.Product/Service
Impacted
IT Security vs OT/IIoT Security: Requirements
OT/ICS Cybersecurity vs. Cyber Hygiene
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Education/Awareness +
3 cose essenziali:
• Visibilità
• Capire cosa c’è e
cosa succede
• Controlli
Alcune domande da porsi:
• Cosa possiamo oggi e cosa vogliamo vedere domani?
• Monitoraggio attivo o passivo?
• Infrastruttura, Hardware e Software di rete sonoadeguati (switch, firewall, span/mirror port, TAP, ecc.)?
• Partire con un VA ?
• Fare un POC/POV?
Cambiano le architetture: VISIBILITA è SICUREZZA
Non dimentichiamolo: IT vs OT i rischi sono diversi!
Sistemi IT:
perdita di dati e informazioni, file e documenti, provocano ritardi di transazioni
e incidono sul business (impatti su risorse, tempo, soldi), …
Sistemi di controllo OT:
oltre a quanto sopra per i Sistemi IT, la NON SICUREZZA dei sistemi può
incidere su
Integrità fisica di persone e ambiente (salute, incidenti sul lavoro, rischio
ambientale e territoriale)
Produttività, Efficienza e Conservazione di impianti di produzione e Asset
(risorse, materiali, tempo, soldi, macchinari, …)
Servono tool e skill OT per proteggere ICS/OT
(o bastano quelli IT)?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Quelli IT sono sempre necessari, spesso non sono sufficienti.
Cybersecurity e tool: A.I. & Machine Learning
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
I
Sperimentazione di Intelligenza Artificiale in
Diagnostica Medica:
• A.I. da sola può arrivare al 92% delle diagnosi
• Il Medico fa meglio: è al 96%
• A.I.+Medico insieme:
si supera il 99,5% di diagnosi corrette!
Le vere minacce oggi? vedi il 19 Marzo 2019 Norsk Hydro
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Ma … importante è ripartire! (e, in fretta!)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?
(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)
Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,
Controllo ed automazione in ambito Industriale & Industrial IoT
CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT
Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia
[email protected] – http://www.clusit.it
OT/ICS Cyber Hygiene: esempio 1
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Figure 35: Share of ICS computers attacked
by cryptomining malware
Visibilità per capire cosa c’è e succede
OT/ICS Cyber Hygiene: esempio 2
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
64% of the major incidents targeting
industrial control systems or networks were
ransomware.
Controlli: Segmentazione e Segregazione
OT/ICS Cyber Hygiene: esempio 3
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Operational technology (OT) networks of industrial enterprises is a
field of glory for espionage threat actors. These actors use remote
administrator tools (RATs) which are already installed in the industrial
control systems (ICS). (40% in Italia, solo 1 su 3 è legittimo e saputo)
Remote Access Tools installati
Cambiano le architetture: VISIBILITA è SICUREZZA