Il Pacific Northwest National Laboratory (PNNL), contraente del dipartimento dell’Energia statunitense (DOE – Department of Energy), in collaborazione con McAfee, ha pubblicato oggi i risultati di un’indagine intitolata “Technology Security Assessment for Capabilities and Applicability in Energy Sector Industrial Control Systems: McAfee Application Control, Change Control, Integrity Control.” (Valutazione delle tecnologie di sicurezza per funzionalità e applicabilità nei sistemi di controllo industriali del settore Energia: controllo delle applicazioni di McAfee, controllo delle modifiche, controllo dell’integrità.)
Per la prima volta, lo studio esamina in modo approfondito le sfide odierne che il mondo delle infrastrutture critiche e delle risorse primarie si trovano ad affrontare, oltre a identificare i rischi e le vulnerabilità specifiche, collocandole in un panorama di minacce informatiche in continua evoluzione. Il report analizza con attenzione il valore e l’efficacia delle soluzioni di sicurezza integrate necessarie per supportare la missione della sicurezza nazionale per proteggere gli ambienti dei sistemi di controllo industriali. Inoltre, la grande sfida per chi possiede e chi opera nel settore delle infrastrutture critiche e dell’energia, così come emerge dallo studio, è identificare quale sia il modo per proteggere efficacemente i propri sistemi di controllo all’interno della governance e delle tecnologie che utilizzano, in un ambiente in cui sono sempre più diffuse e presenti minacce persistenti avanzate , ovvero le cosiddette APT (advanced persistent threat).
"Quando sono state realizzate le prime infrastrutture critiche, non sono stati presi in considerazione né la sicurezza né i possibili abusi delle reti interconnesse,” ha dichiarato Philip A. Craig Jr, Senior Cyber Security Research Scientist, un ricercatore nella Direzione Sicurezza Nazionale (National Security Directorate) del Pacific Northwest National Laboratory. "Oggi, siamo ancora concentrati sul rafforzamento della sicurezza dei sistemi di controllo. Metodi di protezione obsoleti che usano una pletora di strumenti di sicurezza differenti, multi-vendor, e che non comunicano fra loro, che non faranno altro che ritardare un attacco informatico, offrendo numerose opportunità per un avversario informaticamente più avanzato e moderno per compiere attacchi informatici contro le infrastrutture critiche”.
Nel report, PNNL e DOE hanno individuato le seguenti vulnerabilità degli ambienti dei sistemi di controllo:
• Aumento dell’esposizione: le reti di comunicazione che collegano i dispositivi smart grid e i sistemi creeranno molti più punti di accesso a tali dispositivi, con un conseguente aumento dell’esposizione a potenziali attacchi.
• Interconnettività: le reti di comunicazione saranno sempre più interconnesse, esponendo ulteriormente il sistema a possibili errori e attacchi.
• Complessità: il sistema elettrico sarà molto più complesso dal momento che più sottosistemi saranno collegati tra loro.
• Tecnologie informatiche comuni: i sistemi Smart Grid utilizzeranno sempre più tecnologie informatiche comuni e saranno soggette alle loro debolezze.
• Maggiore automazione: le reti di comunicazione genereranno, raccoglieranno e utilizzeranno i dati in modi nuovi e innovativi man mano che le tecnologie smart grid saranno in grado di automatizzare molte funzioni. L’uso improprio di questi dati presenta nuovi rischi per la sicurezza nazionale e della nostra economia.
L’indagine inoltre osserva come nuove vulnerabilità emergenti dei sistemi di controllo continueranno ad affacciarsi sempre più velocemente. Gli attacchi informatici odierni si sono evoluti in armi digitali sofisticate e accuratamente progettate con intenti specifici, come Stuxnet e Duqu.
"Le infrastrutture che controllano i sistemi che possono avere impatto sulla nostra vita quotidiana, come le smart grid, sono sempre più diffuse, ma ancora manca una sicurezza adeguata necessaria per prevenire attacchi informatici sofisticati", ha aggiunto Phyllis Scheck, Vice President e Chief Technology Officer, Global Public Sector, McAfee. "Nella sicurezza delle infrastrutture critiche è essenziale considerare le problematiche di sicurezza sin dall’inizio della definizione e del progetto dell’architettura. La sicurezza informatica deve essere integrata nei sistemi e nelle reti proprio all’inizio del processo di progettazione in modo che diventi parte integrante del funzionamento sistemi".
Oltre ai sistemi di controllo, il report esamina anche l’effetto delle nuove tecnologie relative al settore dell’energia. A seguito dell’evoluzione e dell’integrazione delle tecnologie informatiche e di comunicazione nelle funzioni operative e di pianificazione dei sistemi di alimentazione, si creano le smart grid, reti intelligenti che consentono una maggiore visibilità sullo stato del sistema e un maggiore controllo con lo scopo di migliorare l’efficienza del sistema. Nonostante i notevoli vantaggi che derivano dalla natura dinamica della rete elettrica, questa non è stata progettata tenendo presente la sicurezza.
Il report offre alcuni suggerimenti nel tentativo di prevenire le vulnerabilità e mitigare gli attacchi ai sistemi di controllo:
• Whitelisting dinamico – offre la possibilità di negare applicazioni e codici non autorizzati su server, desktop aziendali e dispositivi a funzione fissa.
• Protezione della memoria – nega l’esecuzione non autorizzata, blocca e comunica le vulnerabilità.
• Monitoraggio dell’integrità dei file – Segnala qualsiasi modifica dei file, aggiunta, cancellazione, rinomina, modifica degli attributi, modifica delle liste di controllo accessi (ACL) e modifiche proprietarie, incluse le condivisioni di rete.
• Write protection – Autorizza solo la scrittura sul sistema operativo, la configurazione delle applicazioni e i file di log. Tutte le altre vengono negate.
• Read Protection – Autorizza unicamente la lettura per determinati file, directory, volumi e script. Tutte le altre vengono negate.
Il principale obiettivo del Dipartimento dell’Energia è rendere sicure le infrastrutture critiche e le principali risorse includono la generazione di energia elettrica negli Stati Uniti, la trasmissione e la distribuzione delle risorse, così come le risorse in ambito Oil & Gas. Il Pacific Northwest National Laboratory intende continuare a migliorare il valore delle tecnologie di sicurezza e il modo in cui vengono implementate all’interno di queste infrastrutture e risorse critiche.
