Il progredire della digitalizzazione e della connessione in rete di impianti industriali, ha posto prepotentemente il problema della loro sicurezza e di come affrontarlo senza però stravolgere impianti in buona parte ancora basati su reti e protocolli proprietari.
Gli "Industrial Control Systems (ICS)" e i protocolli utilizzati ad esempio nelle reti di controllo delle power utility - riferiti anche come "operational technology (OT) networks"- sono soluzioni che sono state progettate avendo in mente la sicurezza operativa e l'affidabilità a livello di impianto.
In pratica, la sicurezza informatica come la si intende oggigiorno, non era stata considerata una priorità da posizionarsi al top delle richieste progettuali.
Il progredire delle tecnologie, l'emergere di Internet, la crescente connettività tra impianti distribuiti, l'integrazione tra OT industriale e IT aziendale, i processi gestionali, l'integrazione con il magazzino e i sistemi gestionali, eccetera, hanno però cambiato profondamente lo scenario e fatto emergere le forti e inderogabili esigenze di protezione, con parametri ancora più stretti di quanto concerne il classico IT, visto l'importanza che le infrastrutture hanno per un sistema paese, e i loro elevatissimi costi di esercizio e realizzazione.
L'importanza è stata riconosciuta da tempo sia dall'industria che dai governi, che hanno portato a stilare un set di requirement per la protezione delle infrastrutture critiche, come il CIP (acronimo di Critical Infrastructure Protection) introdotto nel 2008 da North American Electric Reliability Council (NERC).
Esperienze Check Point e RAD a fattor comune
E' però un settore dove le esperienze nelle reti e nella sicurezza devono esser emesse a fattor comune.
E' quello che hanno fatto Check Point e RAD (rappresentata in Italia da CIE Telematica) che hanno sviluppato una soluzione congiunta per una cyber security end-to-end il cui obiettivo è di garantire la protezione di reti OT di Utility e di eliminare le vulnerabilità presenti in apparati RTU e SCADA, e allo stesso tempo difendere contro gli attacchi cibernetici che possono essere portati a livello di control e di data plane.
A livello implementativo la soluzione approntata da RAD e Check Point integra il dispositivo ICS Security Gateway di Check Point all'interno dei dispositive di rete di RAD progettati con un approccio riferito come "secure-by-design multiservice networking equipment".
La soluzione consiste di svariati building block che permettono di risponder alle diverse esigenze implementative.
Nello specifico, la soluzione risponde a una serie di requiremet NERC-CIP quali (in anglosassone):
- Malicious Communications Detection (CIP-005-5, CIP-007-5)
- Device Connection Control (CIP-007-5)
- Secure Interactive Remote Access - Intermediate System (CIP-005-5)
- Patch management (CIP-007-5)
- "Man in the Middle" (MITM) attack prevention (expected in NERC-CIP v6)
- Logging (CIP-007-5)