Ancora troppe le falle nei sistemi ICS industriali

Secondo un’indagine Kaspersky Lab le aziende prestano più attenzione ai temi della cybersicurezza ICS, ma ancora non basta

Il settore energetico è uno dei primi ad aver integrato in modo ampio le soluzioni di automazione industriale ed è anche uno tra quelli con il più grande impiego di mezzi informatici. Sono stati proprio gli incidenti e i cyberattacchi targettizzati registrati negli ultimi due anni, insieme a varie iniziative di autoregolamentazione, a far sì che questo tipo di realtà introducesse, prima di altre, prodotti e misure a protezione dei sistemi OT.

E a ben vedere. Stando, infatti, a una recente rilevazione a opera di Kaspersky Lab, negli ultimi sei mesi del 2017 è stato rilevato almeno un tentativo di attacco malware agli ICS delle aziende del settore dell’energia.

Per quanto in lieve diminuzione rispetto al 2016, la cybersicurezza negli impianti industriali rimane un problema che può portare a conseguenze molto serie e anche comportare perdite economiche ingenti in caso di attacchi ai processi di lavorazione e sviluppo.
Nel corso della sua analisi sul panorama delle minacce in vari ambiti industriali, l’ICS CERT di Kaspersky Lab ha scoperto che quasi tutti i tipi di aziende hanno subito attacchi informatici ai sistemi ICS.

La rete elettrica moderna, inoltre, è uno dei sistemi più estesi di dispositivi industriali collegati, con un gran numero di computer connessi alla rete e un livello di esposizione relativamente alto alle minacce informatiche, come dimostrano le statistiche dell’ICS CERT di Kaspersky Lab. Anche l’alta percentuale di ICS attaccati nel settore delle aziende di engineering e intergrazione ICS mostrano l’esistenza di un problema serio, determinato dal fatto che la supply chain è stata usata spesso come vettore di devastanti attacchi negli ultimi anni.

I settori a rischio concreto di attacco
Il settore delle costruzioni mostra il più alto tasso di crescita per quanto riguarda gli attacchi a computer ICS nella seconda parte del 2017: facendo un confronto con la prima parte dell’anno, l’aumento è stato del 31,1%. Altri settori industriali (manifatturiero, trasporti, servizi, alimentare, salute e altri) hanno registrato una media di attacchi compresa tra il 26 e il 30%.

L’aumento nell’ambito dei trasporti registrato nella seconda parte dello scorso anno (rispetto ai valori rilevati nella prima metà) potrebbe essere la dimostrazione del fatto che queste organizzazioni non sono ancora abbastanza mature per prestare sufficiente attenzione alla protezione dei sistemi industriali. I loro strumenti di automazione computerizzata potrebbero essere relativamente nuovi e una cultura della cybersicurezza industriale deve ancora svilupparsi a pieno.

La percentuale più bassa di attacchi ICS, invece, è stata notata nelle aziende specializzate nello sviluppo di software ICS: il dato si attesta al 14,7%. Le loro ricerche, i laboratori di sviluppo, le piattaforme di test, le versioni demo, le simulazioni sono stati comunque oggetto di minacce malware, anche se non così spesso come accaduto agli ICS di altri settori industriali.

Gli esperti ICS CERT di Kaspersky Lab sottolineano l’importanza della sicurezza dei fornitori ICS, perché le conseguenze di un attacco che si diffonde all’ecosistema dei partner del fornitore e ai clienti potrebbero essere davvero drammatiche, come è successo, ad esempio, nel caso del malware exPetr.

Le tecniche per difendersi
Da qui le raccomandazioni degli esperti a fare aggiornamenti regolari dei propri sistemi operativi, degli applicativi e delle soluzioni di sicurezza su tutti i sistemi che sono parte della rete industriale dell’azienda.

Ma anche a limitare il traffico della rete sulle porte e i protocolli usati sui router edge e all’interno delle reti OT dell’azienda.

Così come a verificare i componenti di controllo e accesso degli ICS nelle reti industriali e le loro limitazioni introducendo soluzioni di protezione endpoint dedicate nei server ICS, nelle workstation e negli HMI per proteggere l’infrastruttura industriale e OT da cyberattacchi casuali.

Serve poi attrezzarsi per il monitoraggio del traffico della rete e introdurre soluzioni di rilevamento per una miglior protezione da attacchi mirati.