Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere...

Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?

(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)

Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,

Controllo ed automazione in ambito Industriale & Industrial IoT

CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT

Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia

[email protected] – http://www.clusit.it

mailto:[email protected]

http://www.clusit.it/

OT/ICS Cyber Security vs. IT Cyber Security

Ovvero come proteggere dal rischio

informatico i sistemi che gestiscono impianti,

macchinari ed oggetti (IoT, IIoT) nell’Industria,

Utility e nelle Infrastrutture.

OT: Operation Technology

ICS: Industrial Control Systems

Bisogna proprio proteggere anche le reti di fabbrica e IIoT?

A) Perché dovrei proteggere anche reti e sistemi in fabbrica che NON

sono collegati a internet!

B) Certo che si. L’anno scorso qualcuno in Sede ha aperto un allegato

e-mail e abbiamo avuto la fabbrica ferma due settimane per colpa

del ransomware «Wannacry»!

C) Perché dovrei? Abbiamo già speso un sacco di soldi per il GDPR

ed il nostro IT ha già messo in campo tutte le sicurezze!

D) Dipende dal disegno della rete di fabbrica: facciamo una Analisi del

Rischio ed un Assessment e poi decidiamo

Scegli la risposta giusta: (A) (B) (C) (D)

© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security

Rapporto CLUSIT sulla sicurezza ICT in Italia 2019

INDUSTRY 4.0:

La nuova frontiera dei cyber

criminali nell’anno del GDPR


Dove sono i sistemi da proteggere per

proteggere gli impianti?Ovunque: Processi industriali, Fabbrica,

Edifici, Trasporti, Utility, Manufacturing,

Infrastrutture/OSE

5

DCS (Distributed Control Systems)

PLC e reti di campo (Controllori programmabili)

SCADA/HMI e reti di fabbrica

Storicizzatori (Historians, Database, ecc.)

DNC/CNC, Robot, AGV

MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.

LIMS, QA/QC, sistemi di taratura, analisi e misura

Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )

Reti di impianto, Sistemi Facility/Building BMS

…

Quali Reti e Sistemi di telecontrollo, controllo ed automazione nell’Industria e nelle Utility?


Industria4.0 e Cyber Security


OT/ICS: dove si trovano e come sono collegatisecondo il “The Purdue Model”

Requisiti Aggiunti:

• Visto che ora abbiamo tutti questi

preziosi dati nell’Historian,

vogliamo vederli!. Quindi creiamo

un'interconnessione con la rete

aziendale «corporate».

• Vogliamo dei Client sulla rete

aziendale in grado di visualizzare

i dati in tempo reale dall'impianto

• Gli ingegneri devono fare

modifiche sulla workstation di

ingegneria e cambiare altre

impostazioni direttamente dal

proprio desktop aziendale

• Dobbiamo permettere a chi ci fa la

manutenzione su PLC e SCADA di

potersi collegare da remoto



ANSI/ISA95 Functional Hierarchy www.isa.org e ISA99/IEC62443

Level 4

Level 1

Level 2

Level 3

Business Planning

& LogisticsPlant Production Scheduling,Operational Management, etc

Manufacturing

Operations ManagementDispatching Production, Detailed Production

Scheduling, Reliability Assurance, ...

Batch

Control

Discrete

ControlContinuous

Control1 - Sensing the production process,

manipulating the production process

2 - Monitoring, supervisory control and automated control of the production process

3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.

Time FrameDays, Shifts, hours, minutes, seconds

4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.

Time FrameMonths, weeks, days

Level 0 0 - The actual production process

Level 4

Level 1

Level 2

Level 3

Business Planning

& LogisticsPlant Production Scheduling,Operational Management, etc

Manufacturing

Operations ManagementDispatching Production, Detailed Production

Scheduling, Reliability Assurance, ...

Batch

Control

Discrete

ControlContinuous

Control1 - Sensing the production process,

manipulating the production process

2 - Monitoring, supervisory control and automated control of the production process

3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.

Time FrameDays, Shifts, hours, minutes, seconds

4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.

Time FrameMonths, weeks, days

Level 0 0 - The actual production process

http://www.isa.org/

Tutti gli standard informatici

aziendali, network, gestionale, cloud,

analytics.

• Sistemi non-deterministici

• Sistemi non-realtime

• o al più near-realtime

• Data Integrity

• Data security

• Patent Infringement

• Business Continuity

Le interfacce informatiche primarie

con grandezze fisiche e elettriche,

sensori, macchine e impianti, attuatori

e trasduttori fisici delle logiche

programmabili.

• Sistemi deterministici

• Sistemi strettamente realtime

• Brand specifici

• People Safety / EHS

• Business, Operation and Service

Continuity

Industria4.0, Convergenza IT – OT & il Cloud


Sistemi OT/ICS, la rete di fabbrica, la rete Enterprise, Edge e il Cloud

Fonte: Dragos/GE


DCS (Distributed Control Systems)

PLC e reti di campo (Controllori programmabili)

SCADA/HMI e reti di fabbrica

Storicizzatori (Historians, Database, ecc.)

DNC/CNC, Robot, AGV

MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.

LIMS, QA/QC, sistemi di taratura, analisi e misura

Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )

Reti di impianto, Sistemi Facility/Building BMS

…

Quali i Sistemi nell’Industria e nelle Utility che potrebbero utilizzare Cloud ? (IMHO)


Proteggere IoT e IIoT: come e quali standard seguire?


Manufacturing

Chemical

Food &Beverage

Oil& Gas

Power

Healthcare

DataCenter

Security Ops Center

Officers &Directors

B u s i n e s s U n i t

IT Next GenFirewall

P r o d u c t i o n O p s C e n t e r

MPLSINTERNET

TelCo

R e m o t e E m p l o y e e

IT Next GenFirewall

VPN

D M Z

DomainController

WebProxy Syslog

Router HMI HistorianEngineeringWorkstation

Engineering Server

DCS

PLC

PLC

PLC

PLC

PLC PLCPLC RTU

B a c k B o n e

I n t e g r a t o r / V e n d o r

Supply ChainPLC

“Old” IT vs OT

Priorities

1. Confidentiality

2. Integrity

3. Availability

4.Safety

5.Reliability

6.Product/Service

Impacted

“New” IT/OT/IoT, IIoT

Priorities

1. Authentication

2. Availability

3. Integrity

4. Confidentiality

5. Non-Repudiation

6.Safety

7.Reliability

8.Product/Service

Impacted

IT Security vs OT/IIoT Security: Requirements

OT/ICS Cybersecurity vs. Cyber Hygiene

I


Education/Awareness +

3 cose essenziali:

• Visibilità

• Capire cosa c’è e

cosa succede

• Controlli

Alcune domande da porsi:

• Cosa possiamo oggi e cosa vogliamo vedere domani?

• Monitoraggio attivo o passivo?

• Infrastruttura, Hardware e Software di rete sonoadeguati (switch, firewall, span/mirror port, TAP, ecc.)?

• Partire con un VA ?

• Fare un POC/POV?

Cambiano le architetture: VISIBILITA è SICUREZZA

Non dimentichiamolo: IT vs OT i rischi sono diversi!

Sistemi IT:

perdita di dati e informazioni, file e documenti, provocano ritardi di transazioni

e incidono sul business (impatti su risorse, tempo, soldi), …

Sistemi di controllo OT:

oltre a quanto sopra per i Sistemi IT, la NON SICUREZZA dei sistemi può

incidere su

Integrità fisica di persone e ambiente (salute, incidenti sul lavoro, rischio

ambientale e territoriale)

Produttività, Efficienza e Conservazione di impianti di produzione e Asset

(risorse, materiali, tempo, soldi, macchinari, …)

Servono tool e skill OT per proteggere ICS/OT

(o bastano quelli IT)?


Quelli IT sono sempre necessari, spesso non sono sufficienti.

Cybersecurity e tool: A.I. & Machine Learning


I

Sperimentazione di Intelligenza Artificiale in

Diagnostica Medica:

• A.I. da sola può arrivare al 92% delle diagnosi

• Il Medico fa meglio: è al 96%

• A.I.+Medico insieme:

si supera il 99,5% di diagnosi corrette!

Le vere minacce oggi? vedi il 19 Marzo 2019 Norsk Hydro


Ma … importante è ripartire! (e, in fretta!)


Dubbi? Domande?

22

[email protected]


Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?

(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)

Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,

Controllo ed automazione in ambito Industriale & Industrial IoT

CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT

Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia

[email protected] – http://www.clusit.it


http://www.clusit.it/

OT/ICS Cyber Hygiene: esempio 1

I


Figure 35: Share of ICS computers attacked

by cryptomining malware

Visibilità per capire cosa c’è e succede


I


64% of the major incidents targeting

industrial control systems or networks were

ransomware.

Controlli: Segmentazione e Segregazione


I


Operational technology (OT) networks of industrial enterprises is a

field of glory for espionage threat actors. These actors use remote

administrator tools (RATs) which are already installed in the industrial

control systems (ICS). (40% in Italia, solo 1 su 3 è legittimo e saputo)

Remote Access Tools installati

Cambiano le architetture: VISIBILITA è SICUREZZA

Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere...

Documents

Transcript of Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere...