Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere...
Transcript of Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere...
![Page 1: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/1.jpg)
Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?
(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)
Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,
Controllo ed automazione in ambito Industriale & Industrial IoT
CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT
Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia
[email protected] – http://www.clusit.it
![Page 2: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/2.jpg)
OT/ICS Cyber Security vs. IT Cyber Security
Ovvero come proteggere dal rischio
informatico i sistemi che gestiscono impianti,
macchinari ed oggetti (IoT, IIoT) nell’Industria,
Utility e nelle Infrastrutture.
OT: Operation Technology
ICS: Industrial Control Systems
![Page 3: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/3.jpg)
Bisogna proprio proteggere anche le reti di fabbrica e IIoT?
A) Perché dovrei proteggere anche reti e sistemi in fabbrica che NON
sono collegati a internet!
B) Certo che si. L’anno scorso qualcuno in Sede ha aperto un allegato
e-mail e abbiamo avuto la fabbrica ferma due settimane per colpa
del ransomware «Wannacry»!
C) Perché dovrei? Abbiamo già speso un sacco di soldi per il GDPR
ed il nostro IT ha già messo in campo tutte le sicurezze!
D) Dipende dal disegno della rete di fabbrica: facciamo una Analisi del
Rischio ed un Assessment e poi decidiamo
Scegli la risposta giusta: (A) (B) (C) (D)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 4: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/4.jpg)
Rapporto CLUSIT sulla sicurezza ICT in Italia 2019
INDUSTRY 4.0:
La nuova frontiera dei cyber
criminali nell’anno del GDPR
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 5: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/5.jpg)
Dove sono i sistemi da proteggere per
proteggere gli impianti?Ovunque: Processi industriali, Fabbrica,
Edifici, Trasporti, Utility, Manufacturing,
Infrastrutture/OSE
5
![Page 6: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/6.jpg)
DCS (Distributed Control Systems)
PLC e reti di campo (Controllori programmabili)
SCADA/HMI e reti di fabbrica
Storicizzatori (Historians, Database, ecc.)
DNC/CNC, Robot, AGV
MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.
LIMS, QA/QC, sistemi di taratura, analisi e misura
Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )
Reti di impianto, Sistemi Facility/Building BMS
…
Quali Reti e Sistemi di telecontrollo, controllo ed automazione nell’Industria e nelle Utility?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 7: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/7.jpg)
Industria4.0 e Cyber Security
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 8: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/8.jpg)
OT/ICS: dove si trovano e come sono collegatisecondo il “The Purdue Model”
Requisiti Aggiunti:
• Visto che ora abbiamo tutti questi
preziosi dati nell’Historian,
vogliamo vederli!. Quindi creiamo
un'interconnessione con la rete
aziendale «corporate».
• Vogliamo dei Client sulla rete
aziendale in grado di visualizzare
i dati in tempo reale dall'impianto
• Gli ingegneri devono fare
modifiche sulla workstation di
ingegneria e cambiare altre
impostazioni direttamente dal
proprio desktop aziendale
• Dobbiamo permettere a chi ci fa la
manutenzione su PLC e SCADA di
potersi collegare da remoto
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 9: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/9.jpg)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
ANSI/ISA95 Functional Hierarchy www.isa.org e ISA99/IEC62443
Level 4
Level 1
Level 2
Level 3
Business Planning
& LogisticsPlant Production Scheduling,Operational Management, etc
Manufacturing
Operations ManagementDispatching Production, Detailed Production
Scheduling, Reliability Assurance, ...
Batch
Control
Discrete
ControlContinuous
Control1 - Sensing the production process,
manipulating the production process
2 - Monitoring, supervisory control and automated control of the production process
3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.
Time FrameDays, Shifts, hours, minutes, seconds
4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.
Time FrameMonths, weeks, days
Level 0 0 - The actual production process
Level 4
Level 1
Level 2
Level 3
Business Planning
& LogisticsPlant Production Scheduling,Operational Management, etc
Manufacturing
Operations ManagementDispatching Production, Detailed Production
Scheduling, Reliability Assurance, ...
Batch
Control
Discrete
ControlContinuous
Control1 - Sensing the production process,
manipulating the production process
2 - Monitoring, supervisory control and automated control of the production process
3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process.
Time FrameDays, Shifts, hours, minutes, seconds
4 - Establishing the basic plant schedule -production, material use, delivery, and shipping. Determining inventory levels.
Time FrameMonths, weeks, days
Level 0 0 - The actual production process
![Page 10: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/10.jpg)
Tutti gli standard informatici
aziendali, network, gestionale, cloud,
analytics.
• Sistemi non-deterministici
• Sistemi non-realtime
• o al più near-realtime
• Data Integrity
• Data security
• Patent Infringement
• Business Continuity
Le interfacce informatiche primarie
con grandezze fisiche e elettriche,
sensori, macchine e impianti, attuatori
e trasduttori fisici delle logiche
programmabili.
• Sistemi deterministici
• Sistemi strettamente realtime
• Brand specifici
• People Safety / EHS
• Business, Operation and Service
Continuity
Industria4.0, Convergenza IT – OT & il Cloud
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 11: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/11.jpg)
Sistemi OT/ICS, la rete di fabbrica, la rete Enterprise, Edge e il Cloud
Fonte: Dragos/GE
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 12: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/12.jpg)
DCS (Distributed Control Systems)
PLC e reti di campo (Controllori programmabili)
SCADA/HMI e reti di fabbrica
Storicizzatori (Historians, Database, ecc.)
DNC/CNC, Robot, AGV
MES, EBRS e sistemi di gestione produzione, tracciabilità lotti, analisi efficienza, OEE, ecc.
LIMS, QA/QC, sistemi di taratura, analisi e misura
Sistemi di comunicazione da e verso l’esterno (portali, sistemi di manutenzione remota, IoT, IIOT, … )
Reti di impianto, Sistemi Facility/Building BMS
…
Quali i Sistemi nell’Industria e nelle Utility che potrebbero utilizzare Cloud ? (IMHO)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 13: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/13.jpg)
Proteggere IoT e IIoT: come e quali standard seguire?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 14: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/14.jpg)
Manufacturing
Chemical
Food &Beverage
Oil& Gas
Power
Healthcare
DataCenter
Security Ops Center
Officers &Directors
B u s i n e s s U n i t
IT Next GenFirewall
P r o d u c t i o n O p s C e n t e r
MPLSINTERNET
TelCo
R e m o t e E m p l o y e e
IT Next GenFirewall
VPN
D M Z
DomainController
WebProxy Syslog
Router HMI HistorianEngineeringWorkstation
Engineering Server
DCS
PLC
PLC
PLC
PLC
PLC PLCPLC RTU
B a c k B o n e
I n t e g r a t o r / V e n d o r
Supply ChainPLC
“Old” IT vs OT
Priorities
1. Confidentiality
2. Integrity
3. Availability
4.Safety
5.Reliability
6.Product/Service
Impacted
“New” IT/OT/IoT, IIoT
Priorities
1. Authentication
2. Availability
3. Integrity
4. Confidentiality
5. Non-Repudiation
6.Safety
7.Reliability
8.Product/Service
Impacted
IT Security vs OT/IIoT Security: Requirements
![Page 15: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/15.jpg)
OT/ICS Cybersecurity vs. Cyber Hygiene
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Education/Awareness +
3 cose essenziali:
• Visibilità
• Capire cosa c’è e
cosa succede
• Controlli
![Page 16: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/16.jpg)
Alcune domande da porsi:
• Cosa possiamo oggi e cosa vogliamo vedere domani?
• Monitoraggio attivo o passivo?
• Infrastruttura, Hardware e Software di rete sonoadeguati (switch, firewall, span/mirror port, TAP, ecc.)?
• Partire con un VA ?
• Fare un POC/POV?
Cambiano le architetture: VISIBILITA è SICUREZZA
![Page 17: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/17.jpg)
Non dimentichiamolo: IT vs OT i rischi sono diversi!
Sistemi IT:
perdita di dati e informazioni, file e documenti, provocano ritardi di transazioni
e incidono sul business (impatti su risorse, tempo, soldi), …
Sistemi di controllo OT:
oltre a quanto sopra per i Sistemi IT, la NON SICUREZZA dei sistemi può
incidere su
Integrità fisica di persone e ambiente (salute, incidenti sul lavoro, rischio
ambientale e territoriale)
Produttività, Efficienza e Conservazione di impianti di produzione e Asset
(risorse, materiali, tempo, soldi, macchinari, …)
![Page 18: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/18.jpg)
Servono tool e skill OT per proteggere ICS/OT
(o bastano quelli IT)?
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Quelli IT sono sempre necessari, spesso non sono sufficienti.
![Page 19: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/19.jpg)
Cybersecurity e tool: A.I. & Machine Learning
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
I
Sperimentazione di Intelligenza Artificiale in
Diagnostica Medica:
• A.I. da sola può arrivare al 92% delle diagnosi
• Il Medico fa meglio: è al 96%
• A.I.+Medico insieme:
si supera il 99,5% di diagnosi corrette!
![Page 20: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/20.jpg)
Le vere minacce oggi? vedi il 19 Marzo 2019 Norsk Hydro
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 21: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/21.jpg)
Ma … importante è ripartire! (e, in fretta!)
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
![Page 23: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/23.jpg)
Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT?
(Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber Security)
Enzo M. Tieghi, Docente Clusit, Comitato Scientifico,
Controllo ed automazione in ambito Industriale & Industrial IoT
CSA-Cloud Security Alliance Italia – membro GdL Area di Ricerca IoT/IIoT
Amm.Del. ServiTecno – GE Digital Alliance Partner in Italia
[email protected] – http://www.clusit.it
![Page 24: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/24.jpg)
OT/ICS Cyber Hygiene: esempio 1
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Figure 35: Share of ICS computers attacked
by cryptomining malware
Visibilità per capire cosa c’è e succede
![Page 25: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/25.jpg)
OT/ICS Cyber Hygiene: esempio 2
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
64% of the major incidents targeting
industrial control systems or networks were
ransomware.
Controlli: Segmentazione e Segregazione
![Page 26: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/26.jpg)
OT/ICS Cyber Hygiene: esempio 3
I
© CLUSIT 2019 - E.M. Tieghi - All you can track & trace - OT/ICS Cyber Security
Operational technology (OT) networks of industrial enterprises is a
field of glory for espionage threat actors. These actors use remote
administrator tools (RATs) which are already installed in the industrial
control systems (ICS). (40% in Italia, solo 1 su 3 è legittimo e saputo)
Remote Access Tools installati
![Page 27: Ma, bisogna proprio proteggere anche le reti di fabbrica e ... · Ma, bisogna proprio proteggere anche le reti di fabbrica e IIoT? (Chiariamoci qualche dubbio su OT/ICS/IIoT Cyber](https://reader034.fdocument.pub/reader034/viewer/2022042622/5f90848f9698d442877c4254/html5/thumbnails/27.jpg)
Cambiano le architetture: VISIBILITA è SICUREZZA