top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Analisi del rischio su infrastrutture critiche

Come personalizzare le comuni metodologie


La gestione dei rischi è così strettamente legata alla natura umana che noi stessi, ogni giorno della nostra vita, facciamo scelte inconsciamente guidate da analisi del rischio.

Nel caso di complesse realtà aziendali è prassi consolidata strutturare i propri processi in modo da poter valutare ed effettuare le scelte ottimali e contemporaneamente mantenerne traccia nel tempo.

Le infrastrutture critiche (termine abbreviato tipicamente con l'acronimo I.C.) sono una delle realtà dove l'approccio descritto è richiesto sempre di più, sia da requisiti legali che dallo stesso management, in modo particolare per quanto concerne l’ambito di Information Security. Le I.C., che sono per definizione strettamente connesse con la sicurezza e con le abitudini quotidiane delle persone, sono tipicamente gestite da un ristretto numero di aziende per ogni nazione e in tutti i casi dotate di costosi e complessi sistemi hardware e software a supporto del servizio di volta in volta erogato.

Organizzazioni di questo tipo sono ad esempio le società che gestiscono il traffico ferroviario, il traffico aereo, le centrali elettriche, gli oleodotti e i metanodotti, i gestori di telefonia fissa o mobile e più in generale tutte le aziende che possiedono le caratteristiche definite in ambito legislativo europeo o statunitense come caratterizzanti una I.C. (D.Lgs. 11.4.2011 n. 61).

In alcuni casi, tali aziende risultano estremamente critiche a causa della loro stessa natura (ad esempio gli impianti nucleari o i fornitori nazionali di elettricità): ne consegue che l’indisponibilità o il deterioramento, anche temporaneo, dei servizi erogati da queste aziende debba venir attentamente preventivato e valutato nell'ottica di diminuirne il più possibile l'occorrenza e minimizzare l'impatto delle loro conseguenze. Una simile attività introduce negli ambienti delle I.C. nuovi livelli di complessità, a causa di elementi quali:

  1. la grande differenza che può intercorrere tra una I.C. e un'altra a causa del diverso settore operativo di appartenenza, rende quindi maggiormente difficile costruire un sistema di analisi omogeneo e dotato di un elenco di controlli standard;
  2. il fatto che alcune I.C. possono essere soggette ad attacchi portati da individui o gruppi dotati di specifica preparazione e di mezzi tecnologici d'avanguardia;
  3. il fatto che alcune I.C. sono distribuite sul territorio nazionale e composte da un complesso e statico (in termini di cambiamenti)  insieme di asset tecnologici;
  4. la mancanza di un database storico di eventi e incidenti sul quale costruire un modello statistico più preciso.

 

Sistemi SCADA

Le I.C. stanno beneficiando sempre di più dell'automazione dei loro processi e delle attività ad essi collegati grazie al maggior utilizzo di sistemi informativi con la possibilità di gestire da remoto, senza più dover spostare personale interno, mettendone a rischio (in alcuni casi) la propria sicurezza. Chiaro esempio sono i sistemi SCADA (Supervisory Control And Data Acquisition): quelli che un tempo erano insiemi di macchinari per lo più elettrici e (poco) elettronici che controllavano linee industriali o raccoglievano misure reagendo in modi predefiniti al superamento di determinate soglie, sono oggi sistemi di computer che utilizzano protocolli e linee di comunicazione standard (quali ad esempi le normali reti ethernet) e sono spesso collegati (a volte in modo non del tutto sicuro) alle comuni reti aziendali. Gli SCADA sono sistemi eterogenei usati in modo massiccio all'interno di molte I.C., con la conseguenza di renderle sempre più dipendenti dall'ICT ed in maniera radicalmente diversa rispetto a quanto accade nei normali casi aziendali (quali ad esempio i più consueti ERP, le piattaforme di information sharing e di gestione del personale). Ciò si spiega con il fatto che i sistemi SCADA sono spesso parzialmente autonomi, in grado di prendere decisioni ed effettuare attività sulla base delle informazioni che ricevono dall'ambiente circostante e diventano, conseguentemente, molto critici dal punto di vista del rischio: come tutti i sistemi informativi sono infatti soggetti a vulnerabilità e attacchi che nel caso specifico possono avere conseguenze di grande impatto. Un'altra caratteristica dei sistemi SCADA è quella di essere spesso fortemente personalizzati per una specifica realtà e studiati per restare in servizio per svariati anni: diventa quindi complesso trovare un insieme di contromisure comuni e adatte a gestire i rischi connessi a tali strutture.

 

Flusso risk management ISO 27005:2011

Analisi e gestione del rischio

L'approccio di analisi del rischio utilizzato nella ICT Security ricade spesso nell'adozione delle fasi riconosciute come tipiche dell'analisi del rischio e dettagliate dallo standard ISO/IEC 27005:2008 (ora in revisione 2011).

 

Analisi del rischio e continuità operativa

Chi lavora all'interno delle I.C. ha, solitamente, maggiore familiarità con il concetto di continuità operativa che non con il concetto di Gestione del Rischio: è però interessante notare quante correlazioni ci siano tra le due tematiche.

All'interno della ISO/PAS 22399:2007, che è lo standard di riferimento (insieme alla ISO 22301:2012) per la gestione degli incidenti e la continuità operativa, quest'ultima è definita come: "systematic and coordinated activities and practices through which an organization optimally manages its risks and the associated potential threats and impacts there from".

Lo standard enfatizza ulteriormente tale affermazione richiedendo la presenza di procedure da utilizzarsi come approccio iniziale e finalizzate all'identificazione delle minacce e dei pericoli. Naturalmente, considerando le tre dimensioni delle informazioni, solamente quella di disponibilità viene presa in considerazione in questi casi, mentre nei normali framework di gestione del rischio ICT così come anche nelle I.C. l'integrità e la riservatezza ricoprono un ruolo altrettanto importante.

 

Modifiche al processo di Risk Management

La maggior parte delle moderne metodologie di analisi del rischio possono venir applicate senza problemi all'ambito delle I.C., seppur con la modifica e l'integrazione di alcuni aspetti al fine di massimizzarne l'efficacia e contestualizzare i risultati alla specifica realtà.

 

Tali aspetti si possono riassumere in:

  1. definizione di un insieme di tipologie di asset e di contromisure più ampio e che comprenda le peculiarità della I.C. oggetto di analisi;
  2. costruzione di un insieme di minacce aggiuntivo a quello esistente all’interno della metodologia scelta e che sia applicabile agli ambienti e agli asset specifici della I.C. oggetto di analisi;
  3. raffinamento dell'insieme di dipendenze del modello di analisi tenendo in considerazione le peculiarità del settore di appartenenza;
  4. sviluppo di controlli compensativi studiati per gli ambienti complessi delle I.C. e possibilmente orientati alla mitigazione di attacchi specifici;
  5. sviluppo di strategie di condivisione delle informazioni con gli altri operatori di I.C. del medesimo settore, con lo scopo di affinare e personalizzare sempre di più l’approccio all’analisi del rischio e rendere sempre più ampia la conoscenza storica delle minacce incontrate nel tempo.

Gli aspetti elencati vengono ripresi in modo più ampio nei paragrafi che seguono.

 

Ampliamento delle tipologie di asset e contromisure

Come accennato in precedenza, vi sono diversi settori di operatività delle I.C. e in ognuno di essi sono presenti tipi di asset che risultano vitali per l'operatività della struttura e i cui rischi devono venir correttamente gestiti.

È quindi fortemente consigliato estendere il catalogo di tipologie di asset e contromisure appartenente alle comuni metodologie in modo da inserirvi quelle più significative per il contesto in cui si opera, definendone le caratteristiche e andando a censire le diversità rispetto alle tipologie già presenti nel modello.

I sistemi di elaborazione SCADA risultano sicuramente il primo tipo di asset da aggiungere, ma lo sono anche i vari tipi di sensori e dispositivi hardware spesso definiti come safety-critical o quantomeno mission-critical.

L'obiettivo da porsi, nell'aggiungere nuove tipologie di asset, è principalmente l'abbinamento di minacce specifiche e la diversa valorizzazione di minacce già presenti.

Si pensi a dispositivi SCADA connessi in rete locale e con necessità di comunicare tra loro con una latenza bassissima: una minaccia che comporti il blocco o il rallentamento delle comunicazioni di rete avrebbe per questa tipologia di asset un impatto notevolmente più alto che per i normali elaboratori.

 

Ampliamento dell'insieme di minacce e impatti

Diretta conseguenza dell'ampliamento dei cataloghi delle tipologie di asset è la necessità di prendere in considerazione le possibili nuove minacce da applicare agli stessi: si pensi a minacce e vulnerabilità specifiche alle quali può essere soggetto, ad esempio, un condotto subacqueo o un impianto radar. In aggiunta a ciò, anche le minacce e le vulnerabilità già presenti possono avere differenti valori e pesi, come  conseguenza della specificità del settore operativo nel quale esse possono configurarsi.

 

Modello di dipendenze

Le relazioni di dipendenza presenti tra gli asset direttamente controllati dalla I.C., tenendo anche in considerazione le variazioni descritte in precedenza in termini di asset, minacce, vulnerabilità e contromisure, devono essere definite e verificate con molta attenzione. È importante non trascurare le relazioni presenti tra gli asset non direttamente controllati dall'organizzazione con quelli proprietari. Comunemente, infatti, le attività di analisi del rischio in ambito ICT considerano in modo solo marginale gli asset esterni al perimetro aziendale, mentre nel caso delle I.C. i fornitori esterni possono rivelarsi di grande importanza e criticità.

Durante l'attività di definizione delle dipendenze, è necessario dedicare particolare attenzione agli asset che, al verificarsi di minacce specifiche, possono causare gravi impatti sul funzionamento della I.C.  (il malfunzionamento o l'isolamento dei dispositivi di campo di una centrale elettrica potrebbe addirittura arrivare a comportare il blocco temporaneo della produzione di elettricità fino a completata risoluzione del problema). Questa tipologia di accadimenti o effetti possibili, dovrà essere modellizzata tramite un’accurata definizione di delle dipendenze relative.

 

Controlli compensativi

Molti approcci di Risk Management sono basati sull'applicazione di un insieme predefinito di controlli ICT volti a mitigare i rischi rilevati: all'interno di molti ambienti SCADA, tuttavia, esistono vincoli tecnici o di business che impediscono l'applicazione di questi controlli "standard", rendendo necessaria la ricerca di controlli alternativi per ottenere i medesimi risultati.

Si pensi a elaboratori utilizzati per il monitoraggio di sistemi safety critical: è lecito pensare che su sistemi simili la contromisura dell'accesso con nome utente e password sia "non applicabile" in quanto l'elaboratore deve essere sempre prontamente utilizzabile. In un caso simile, la sicurezza di accesso al pc deve essere raggiunta con mezzi diversi, come ad esempio maggiori vincoli e controlli sulla sicurezza fisica della sala controllo.

Questo tipo di controlli, chiamati compensativi, possono essere sia generici sia fortemente specifici per la realtà in oggetto e l'approccio di Risk Management scelto deve essere flessibile a sufficienza da permetterne la loro adozione e la sostituzione ai comuni controlli. Deve pertanto essere possibile l'esclusione di controlli specifici e la connessione dei nuovi controlli opportuni per i rischi che devono essere mitigati nell’ambiente specifico.

 

Condivisione delle informazioni

All'interno della grande eterogeneità di I.C. esistenti, è comunque possibile trovare affinità di settore operativo che possono dimostrarsi importanti nella raccolta delle informazioni per un'analisi del rischio. Eventi mai verificatisi all'interno di una singola organizzazione possono essere già accaduti in I.C. simili, rendendole ben consce dei reali impatti.

L'acquisizione di informazioni statistiche di questo tipo è di immediata utilità in particolare nella valutazione dei livelli di minaccia (in termini di frequenza attesa e impatto atteso) rispetto all'utilizzo delle sole informazioni storiche proprie della realtà in esame: è quindi consigliabile perseguire l'ottenimento di informazioni (rese anonime) da parte delle organizzazioni che dirigono I.C. di tipologie simili alla propria, al fine di rivedere e ottimizzare di volta in volta la propria valorizzazione delle minacce.

 

08/05/2013 - Alberto Perrone, Security Advisory Team @ Mediaservice.net