Dalla protezione dei dati alla protezione delle cose: una piattaforma per l'attuazione della cybersecurity degli impianti tecno-industriali e OSE (di Giulio Carducci Artenisio)

1 - Premesse
L'EU ha iniziato ad occuparsi concretamente di sicurezza informatica fin dal lontano 2004 quando venne istituita l'ENISA (European Union Agency for Network and Information Security) al cui primo comitato consultivo lo scrivente ha preso parte. In una Comunicazione della Commissione del 2009 si definiva un primo piano per la promozione e il rafforzamento della sicurezza della società informatizzata. Del 2013 è una Comunicazione congiunta della Commissione e dell'Alto Rappresentante dell'Unione per gli affari Esteri e la Security Policy of the Union for Foreign Affairs and Security Policy relativa a una strategia comune per la cybersecurity dei paesi membri. È tuttavia solo degli ultimi anni la posa di due pietre miliari realmente cogenti dal punto di vista normativo costituite dal Regolamento (UE) 2016/679 (General Data Protection Regulation) e dalla Direttiva (UE) 2016/1148 meglio conosciuta come Direttiva NIS.

Non si vuole in questa sede affrontare una disamina puntuale delle due norme. Si vuole piuttosto osservare come i due provvedimenti riguardino aspetti della protezione della Società digitalizzata profondamente diversi tra di loro, facendo chiarezza su alcune contaminazioni poco coerenti, almeno ad avviso di chi scrive, che spesso si riscontrano nel corso dell’attuazione pratica di quanto disposto dalle due norme. Si passerà poi, chiarito questo aspetto, a parlare degli aspetti implementativi della normativa NIS e a proporre, a questo riguardo, un supporto recentemente resosi disponibile.

Nella Società digitalizzata di oggi si possono distinguere due grandi ambiti applicativi delle tecnologie, diciamo così, informatiche che definiremo, per capirci, ambito gestionale e ambito tecno-industriale. Il primo, ormai più che maturo e adeguatamente normato sia sul piano degli standard che su quello legislativo, riguarda il trattamento di informazioni (vale a dire dati, nel momento in cui vengono trattati dai computer) di natura amministrativa e gestionale aziendale. È il dominio della contabilità generale, della contabilità degli stipendi, degli ordinativi commerciali, dei contratti, della posta elettronica, delle cartelle cliniche, dell’e-commerce e così via. La stragrande maggioranza di questi dati hanno, direttamente o indirettamente, a che fare con persone e, di conseguenza, con i loro diritti. In questo dominio si concorda generalmente che la protezione dei dati debba essere riferita a tre parametri: riservatezza, integrità e disponibilità. Tenendo conto di ciò si effettua, quando ci si accinge a redigere un piano di protezione, l’importante e prescritta fase di analisi dei rischi. Al riguardo, alcuni decenni fa chi scrive coniò il termine di terna RID (Riservatezza-Integrità-Disponibilità).  Giova notare che, in questo ambito, l’immissione delle informazioni è effettuata da una persona o da qualche suo comportamento, spesso con la mediazione di strumentazione tecnica e qualche tipo di automatismo. Il risultato del trattamento nella maggior parte dei casi è destinato, direttamente o tramite un evento che lo riguarda, a una persona (fisica o giuridica): l’accredito in banca di uno stipendio, l’invio di una e-mail, l’invio di un bene acquistato, l’aggiornamento di una cartella medica e così via. È questo, in particolare, l'ambito di riferimento del GDPR.

Di contro, più recentemente, la Società ha preso coscienza della necessità di proteggere piattaforme digitali di altro tipo: quelle che appartengono, appunto, all'ambito tecno-industriale. In questo ambito rientrano scenari vari: automotive, building automation, industria 4.0 e oltre, smart cities, produzione e distribuzione di energia e servizi e molto altro. In questo tipo di piattaforme l’immissione dei dati per l’elaborazione è a carico di sensori, l’elaborazione (come si può notare non parliamo più di trattamento) è a cura di molteplici piccole unità di calcolo dotate spesso di sistemi operativi sui generis. I dati viaggiano grazie a protocolli proprietari e i risultati sono a beneficio, piuttosto che di esseri umani, di attuatori che regolano le funzioni tecniche più disparate.
Di conseguenza a quanto sopra, essendo la maggior parte dei dati elaborati da questo tipo di piattaforme non relazionato a persone, ma dovendosi soprattutto, quanto a protezione (preferiamo usare questo termine in luogo del troppo ottimistico sicurezza), garantire la continuità funzionale della piattaforma stessa, appaiono giustificate alcune riflessioni che effettueremo di seguito. Prima di farlo riportiamo di seguito una tabella che riassume significativamente, anche se probabilmente non in modo esaustivo, la differenza tra i due mondi.

La maggior parte delle aziende interessate dalla normativa NIS (denominate, in italiano, Operatore di Servizi Essenziali e Fornitore di Servizio Digitale [1] ) si trova a dover considerare, come oggetto da proteggere, piattaforme informatiche di tipo tecno-industriale. In altre parole, l'obiettivo è garantire la continuità del servizio piuttosto che la riservatezza, integrità e disponibilità delle informazioni.

2 - Peculiarità delle piattaforme tecno-industriali
Le piattaforme gestionali (nel senso sopra indicato) sono costituite da un insieme di server, client fissi e mobili, dispositivi ausiliari di storage e altro ubicati in locale, in mobilità o in cloud. Tale insieme di risorse tratta le informazioni che viaggiano attraverso connessioni fisicamente realizzate con varie tecnologie trasmissive, utilizzando protocolli ben noti e codificati.
Dal loro canto, le piattaforme tecno-industriali, di cui appunto ora ci occupiamo, sono caratterizzate da un doppio livello, come indicato nella figura nella pagina che segue.

Un livello (indicato nella figura come Piattaforma tecno-industriale) è l'insieme dei componenti che, funzionalmente connessi tra di loro, realizzano il servizio o il ciclo produttivo che è la ragione di essere dell'azienda. Ad esempio, nel settore della distribuzione di energia, è l'insieme di apparati (componenti) elettrotecnici ubicati in cabine primarie e secondarie nonché i conduttori fisici che conducono l'energia fino ai dispositivi di misura e di utilizzo da parte dell'utente finale.

Nel novero di tali componenti sono inclusi sensori e attuatori di vario tipo che consentono il collegamento con la piattaforma del secondo livello.
​
Tale piattaforma di secondo livello (nella citata figura indicata, in realtà, sovrastante la precedente e denominata Rete di supervisione e controllo) è costituita da un insieme di componenti tra di loro interconnessi (concentra-tori di linee di comunicazio-ne, Remote Terminal Unit e altro), dotati di capacità computazionale e logica di livello variabile.

Questi componenti da un lato fanno capo a una applicazio-ne software centralizzata (normalm​ente di tipo SCADA) ubicata in Centro Operativo di controllo presidiato; dall'altro, tramite tratte di comunicazione di vario tipo, sono connessi a sensori e attuatori. Questi ultimi, che fanno parte integrante della piattaforma tecno-industriale, inviano e ricevono segnali che consentono, tramite appunto l'applicazione SCADA, di gestire la funzionalità del processo industriale. Le tratte di comunicazione, a tutti gli effetti componenti della piattaforma di supervisione e controllo, sono fisicamente caratterizzate da tecnologie di vario tipo e utilizzano protocolli spesso proprietari e non sufficientemente documentati.

3 – Specificità dell'analisi del rischio nelle piattaforme tecno-industriali
Tutto quanto sopra indicato consente di sostenere la seguente affermazione: le piattaforme di tipo tecno-industriale hanno la loro esposizione al rischio (leggi: ad eventuali attacchi) concentrata nel livello di supervisione e controllo. È chiaro che un malintenzionato può distruggere una cabina primaria o un impianto produttivo con una adeguata carica di tritolo (argomento di sicurezza fisica). Tuttavia, se ci concentriamo sugli aspetti di cybersecurity e immaginando che l'interruzione o il disturbo del servizio sia lo scopo dell'attacco da parte di un black hacker che voglia operare per via digitale, è chiaro che l'analisi del rischio debba concentrarsi sui punti di attacco dei diversi compo-nenti della rete di supervisione e controllo. Di conseguenza l’analisi del rischio si dovrà concen-trare sulla individuazione delle vulnerabilità che caratterizzano detti componenti, ivi comprese le tratte trasmissive e i loro protocolli.
 
Premesso quanto segue lo scrivente ha proposto una metodologia di analisi e gestione del rischio (IPSEM – Industrial Platforms Security Evaluation Methodology) ad oggi collaudata sul campo in un paio di significativi casi. La metodologia, in sintesi, si basa sui seguenti passi:
 
1 – Individuazione con rappresentazione grafica e testuale dei componenti della piattaforma di supervisione e controllo.
2 – Individuazione delle vulnerabilità note in letteratura o rilevate tramite analisi in laboratorio dei componenti di maggior criticità funzionale. Al riguardo, attualmente è disponibile un database delle vulnerabilità note (Vargo-el) per i componenti delle piattaforme del settore distribuzione energia.
3 – Associazione delle vulnerabilità rilevate ai singoli componenti (per tipo). Si ricorda che dei componenti fanno parte le tratte trasmissive e le persone addette alle operazioni.
4 – Attribuzione di un indice di criticità a ciascuna tipologia di componente tramite l'utilizzo di un questionario che tenga conto delle vulnerabilità rilevate, della criticità funzionale che il componen-te riveste per la funzionalità del processo e della entità del danno arrecato all'utenza se l’attacco dovesse avere successo. Tale questionario può essere personalizzato in funzione della specificità aziendale e del settore in cui l'azienda opera.
 
È possibile approfondire la conoscenza di IPSEM accedendo al sito cybercompliance.it.
 
4 – La cybersecurity per le piattaforme OSE: una soluzione innovativa.
Si è detto nel primo paragrafo di questo articolo come la normativa NIS costituisca una importante pietra miliare per la messa in sicurezza delle piattaforme gestite dagli Operatori di Servizi Essen-ziali e dai Fornitori di Servizio Digitale.
Il recepimento di detta normativa da parte del Governo Italiano è stata accompagnato, nel corso della individuazione di circa 450 aziende nei diversi settori, dalla proposta a detti OSE e FSD, da parte dei Ministeri competenti, di un percorso operativo (roadmap) derivato dal documento NIST intitolato Framework for Improving Critical Infrastructure Cybersecurity rielaborato per iniziativa comune tra il CIS-Sapienza di Roma e il CINI[1].

Essendo la più gran parte delle piattaforme OSE di tipo tecno-industriale, per esse, ai fini dell'ana-lisi del rischio, può essere vantaggiosamente utilizzata la metodologia IPSEM, sopra sinteticamente descritta e approfondibile come sopra indicato. Inoltre, le risultanze dell'applicazione di detta metodologia facilitano notevolmente l'attuazione dei complessivi venticinque passi proposti dalla roadmap citata e sintetizzata nella figura che segue.

Tale percorso è illustrato, in un'ottica di ausilio operativo a tutti gli adempimenti previsti, nel sito www.cybercompliance.it, realizzato dallo scrivente e dal suo gruppo, dove, per ciascuno dei venticinque passi, sono reperibili dettagliate istruzioni operative, facsimili di documenti da redigere e interessanti riferimenti normativi.  Il livello pubblico è ampiamente esplicativo mentre l'utilizzo operativo della piattaforma prevede le credenziali di accesso che possono essere richieste con le modalità indicate nel sito stesso.
La piattaforma è attualmente in italiano. È prevista una versione in inglese entro i prossimi mesi.

5 – Conclusioni
In questo articolo si è discusso di come l'analisi e la gestione del rischio, per le piattaforme di natura tecno-industriale e OSE in particolare, richiedano di essere affrontate con criteri diversi da quanto storicamente utilizzato per le piattaforme tradizionali di tipo gestionale. Si è presentata una metodologia specifica per tale esigenza che è stata poi inserita come uno dei passi (quello di maggior rilievo progettuale) del percorso complessivo previsto dalla normativa vigente per la messa in sicurezza delle piattaforme che erogano i servizi gestiti dagli OSE.
Tale percorso complessivo è contenuto e illustrato, con finalità di consistente ausilio progettuale, nel sito www.cybercompliance.it.


[1]  Decreto Legislativo 18 maggio 2018, art. 3, comma 1, lettere g) e i). 
[2] https://www.cybersecurityframework.it