Le aziende del settore petrolifero e del gas devono affrontare alcune delle più pressanti sfide infrastrutturali per la sicurezza informatica dell’era moderna. “Ci sono due tipi di aziende in questo settore”, secondo Corie Allemand, Global Lead of O&G di Stratus, “quelle che sono state violate e quelle che sanno di essere state violate”.
La vulnerabilità di tutti i sistemi agli attacchi informatici è verificata da innumerevoli esempi, dal famigerato hack di Stuxnet di dieci anni fa alla recente violazione di Colonial Pipeline. Affrontare la miriade di sfide dell’infrastruttura di sicurezza informatica è un compito arduo – reso ancora più gravoso da requisiti normativi sempre più rigorosi che possono diventare rapidamente ingestibili all’interno di architetture di automazione industriale legacy e reti OT tradizionali. In un recente webinar con Xage Security, i nostri esperti hanno illustrato le nuove direttive del DHS per le infrastrutture di sicurezza informatica nel settore O&G, le implicazioni per gli operatori e alcuni concetti relativi all’ Edge Computing che rendono più semplice il percorso di trasformazione digitale.
Come siamo arrivati qui – Imparare dal worm Stuxnet
10 anni fa, Stuxnet è stato il primo hacking di un sistema di automazione industriale, che evidenziato come gli hacker possono accedere e controllare i sistemi IA e spoofare i dati al loro interno, nonostante l’airgap tra la rete OT e il web. All’epoca, si credeva che questo approccio airgap creasse reti affidabii vulnerabili solo dall’interno e inaccessibili attraverso internet dall’esterno. Sfortunatamente questo presupposto si è rivelato profondamente errato.
Come evidenziato nel libro del 2015 Industrial Network Security di Eric D. Knapp e Joel Thomas Langill, “Stuxnet ha dimostrato che molti presupposti delle minacce informatiche industriali erano sbagliati, e lo ha fatto utilizzando un malware che era molto più sofisticato di qualsiasi cosa vista prima”. Sei anni dopo, mentre le compagnie del settore Oil & Gas si proseguono nei propri processi di digitalizzazione, questa affermazione continua a suonare vera.
Il virus Stuxnet si è insinuato nella cosiddetta rete protetta su cui i professionisti OT facevano affidamento all’epoca. L’intento degli hacker ere quello di accedere all’ambiente di un’organizzazione e completare un atto criminale ma il loro attacco ha poi coinvolto tutto il mondo, mutando e devastando le infrastrutture critiche delle nazioni una ad una. “Si è diffuso in tutto il mondo”, afferma Allemand nel recente webinar, “perché il virus è molto, molto preciso”.
Stuxnet ha dimostrato all’industria che nessuna rete, per quanto lontana dal world wide web, può essere affidabile. Questa consapevolezza ha cambiato il corso dell’automazione industriale, accelerando la digitalizzazione di molti settori, compreso quello dell’O&G. Quel viaggio di trasformazione digitale è in corso, e particolarmente critico per le compagnie petrolifere e del gas, in quanto può aumentare i profili di rischio delle organizzazioni ma anche rafforzare la loro posizione rispetto alla sicurezza.
Le due facce della digitalizzazione per le compagnie petrolifere e del gas
Portare più digitalizzazione negli ambienti di automazione industriale è un rebus complicato. Le tecnologie emergenti come l’Edge Computing introducono nuovi strumenti e capacità che migliorano il processo decisionale e proteggono la sicurezza degli operatori e dei dati, ma al tempo stesso presentano pressanti richieste di infrastrutture di sicurezza informatica. “Mentre introduciamo queste nuove tecnologie in questi nuovi sistemi, dobbiamo assicurarci che la sicurezza sia al primo posto”, dice Allemand.
Fatte queste considerazioni le organizzazioni O&G non dovrebbero rifuggire dalla trasformazione digitale. Nel recente webinar promosso da Stratus l’esperto Rudy de Anda riflette: “per essere competitivi, dovete connettere e trarre massimo vantaggio dai vostri dati”. Ci sono innumerevoli storie di successo in cui le organizzazioni che raccolgono questa sfida non solo rafforzano la loro infrastruttura di sicurezza informatica, ma ottengono numerosi benefici che aumentano la loro quota di mercato e promuovono i loro obiettivi di business. Gli esperti di Xage e Stratus sottolineano come le compagnie petrolifere e del gas possono raccogliere i frutti della digitalizzazione, garantendo al contempo la conformità normativa, senza dover modificare o sostituire l’architettura legacy .
Le linee guida del DHS per l’infrastruttura di sicurezza informatica delle condutture viste da vicino
A luglio, il DHS ha emesso direttive di sicurezza informatica per gli oleodotti “nel tentativo di prevenire una ripetizione dell’arresto della Colonial Pipeline che ha provocato carenze massicce di carburante e una corsa all’ acquisto di benzina”, secondo il Washington Post. Questi requisiti rispondono a un bisogno urgente di un playbook standardizzato di sicurezza informatica nel settore ma presentano sfide onerose che scoraggiano sia gli operatori che il personale IT.
Solo alcuni dei requisiti previsti da DHS che gli esperti di Xage e Stratus discutono nel webinar includono:
- Una metodologia zero-trust che evita la fiducia implicita di qualsiasi rete
- Misure di mitigazione per la rotazione delle credenziali degli utenti e la gestione dell’accesso alle risorse
- Protocolli per l’aggiornamento e il patching del software
Secondo Joe Blazeck, Sales and Business Development Leader di Xage Security, “ci stiamo davvero allontanando dal concetto di reti fidate, dove le organizzazioni verificano una sola volta al perimetro, e ci stiamo muovendo verso un approccio di sicurezza dove le organizzazioni verificano continuamente ogni utente, ogni dispositivo, applicazione e transazione. Stiamo evitando la fiducia implicita nei dispositivi e nelle reti e ci stiamo muovendo verso questo nuovo principio di minimo privilegio”.
Anche se queste direttive possono sembrare ovvie, presentano dei problemi sul campo. Un primo problema è rappresentato dagli aggiornamenti del software, che provocano abitualmente tempi morti non pianificati a causa della vastità delle regioni in cui operano le condutture e i gruppi spesso scollegati di appaltatori IT che riparano le condutture stesse in modo frammentario in queste vaste aree geografiche. Queste implementazioni basate su computer possono sembrare un compito semplice, sia per la piattaforma che per il software, ma quando si pensa a quella piattaforma diffusa in tutto il Nord America, si capisce l’ampiezza della sfida di quel tipo di aggiornamento. Le grandi sfide intorno alle patch del software insieme al controllo della gestione delle risorse e il numero enorme di credenziali individuali da mantenere sono solo alcuni dei grattacapi per gli operatori responsabili della sicurezza delle infrastrutture critiche oggi.
Stratus e Xage facilitano la DX per le pipeline e prospettano un nuovo scenario
L’implementazione di una metodologia zero-trust e di altre strategie di mitigazione richieste è resa più semplice con la scelta oculata della piattaforma di Edge Computing e di fornitori di soluzioni di sicurezza informatica ideali. Secondo Blazeck, “il principio fondamentale della fiducia zero è che nessun attore, sistema, rete o servizio che opera fuori o dentro il perimetro di sicurezza è affidabile. Le organizzazioni, omvece, devono verificare qualsiasi richiesta di connessione a qualsiasi sistema prima di concedere l’accesso. Si può quasi immaginare che gli strumenti di sicurezza in un modello a fiducia zero presuppongano che i dispositivi e gli utenti abbiano intenzioni malevole, e quasi presuppongano che una violazione sia già avvenuta”. Questo comporta che, nella pratica, gli amministratori devono rispondere alla domanda su come implementare un set di regole di successo per verificare ogni transazione nella loro rete, una sfida che può diventare rapidamente ingestibile nelle reti OT tradizionali che si basano su set di regole granulari one-to-one.
È qui che entrano in gioco Xage e Stratus . Blazeck continua: “Ci avviciniamo a questo costruendo identità per tutti questi diverse entità. Costruiamo un’identità per ogni utente, dispositivo e applicazione e la estendiamo ai punti di dati. Poi controlliamo – attraverso il raggruppamento e policy, invece di aprire e chiudere le porte del firewall – come queste identità sono autorizzate a interagire tra loro. Ogni identità, che sia un utente o una cosa, ha il proprio perimetro, e ogni identità è in grado di interagire con altre identità in base alle politiche amministrate nel sistema centrale Xage. Questo approccio zero-trust centrato sull’identità permette agli operatori di mantenere connessioni fidate con tutti gli end point remoti”. Queste sono solo alcune delle capacità offerte dalle soluzioni Xage. L’esecuzione di questo tipo di software di sicurezza informatica all’avanguardia su un server Edge fault tolerant come Stratus ztC Edge permette anche alle organizzazioni di operare attraverso le interruzioni, in modo sicuro.
Il plus delle soluzioni Xage e Stratus è che sono principalmente basate sul software e, quindi, lavorare anche su hardware legacy , consentendo funzionalità come il filtraggio degli accessi in loco per i vecchi PLC che non hanno sicurezza incorporata. “Così diventa semplice”, dice Allemand, “e possiamo implementare questo, facendo tutte le cose promesse dalla digitalizzazione. Hai un server in esecuzione su edge, in grado di eseguire questi compiti pesanti su edge – compresa la sicurezza – mentre estendi quella rete per soddisfare nuovi requisiti”.
La criticità di adottare una soluzione informatica industriale sicura non può essere sottovalutata. Dopo tutto, se le organizzazioni devono usare i dati dai dispositivi di Edge Computing per prendere decisioni aziendali migliori, allora è imperativo garantire l’autenticità, l’accuratezza e la privacy di quei dati, che gli hacker possono falsificare nelle architetture IA tradizionali, come la storia ci insegna.
Quando il percorso di trasformazione digitale è assicurato in modo efficiente, invece, le opportunità sono infinite. Secondo l’esperto di Stratus Rudy de Anda, “Quello che stiamo scoprendo è che se si distribuiscono queste tecnologie, e si distribuiscono in modo efficiente, abbiamo un’opportunità per ottenere la larghezza di banda per distribuire alcuni di questi strumenti connessi e edge davvero potenti che sfruttano i dati, rafforzando anche la posizione di sicurezza, piuttosto che indebolirla”.
Per saperne di più, guardate il webinar completo, Approfondimenti utili per i requisiti di sicurezza informatica del DHS nel settore del petrolio e del gas qui sotto.