Quasi ogni giorno, i titoli delle notizie annunciano un'altra violazione della sicurezza e il furto di numeri di carte di credito e altre informazioni personali. Anche se il furto della carta di credito può essere fastidioso e inquietante, un ben più significativo, ancora meno riconosciuto, preoccupazione è la sicurezza dell'infrastruttura fisica, compresi i sistemi energetici.

"Con un furto di carta di credito, potresti dover pagare $ 50 e ottenere una nuova carta di credito, "dice Stuart Madnick, il John Norris Maguire Professor of Information Technologies presso la Sloan School of Management, un professore di sistemi di ingegneria presso la Scuola di Ingegneria, e direttore fondatore del consorzio Cybersecurity al MIT Sloan. "Ma con gli attacchi alle infrastrutture, possono verificarsi danni fisici reali, e il recupero può richiedere settimane o mesi".

Alcuni esempi dimostrano la minaccia. Nel 2008, un presunto attacco informatico ha fatto esplodere un oleodotto in Turchia, spegnendolo per tre settimane; nel 2009, il worm informatico Stuxnet ha distrutto centinaia di centrifughe iraniane, interrompere il programma di arricchimento del combustibile nucleare di quel paese; e nel 2015, un attacco ha fatto crollare una sezione della rete elettrica ucraina, per sole sei ore, ma le sottostazioni sulla rete dovevano essere gestite manualmente per mesi.

Secondo Madnick, per gli avversari per sferrare un attacco di successo, devono avere la capacità, l'opportunità, e la motivazione. Negli ultimi incidenti, tutti e tre i fattori si sono allineati, e gli aggressori hanno paralizzato i principali sistemi fisici.

"La buona notizia è che, almeno negli Stati Uniti, non l'abbiamo ancora sperimentato davvero, " dice Madnick. Ma crede che "è solo la motivazione che manca". gli aggressori in qualsiasi parte del mondo potrebbero, Per esempio, abbattere parte o tutta la rete elettrica interconnessa della nazione o fermare il flusso di gas naturale attraverso i 2,4 milioni di miglia di gasdotto del paese. E mentre le strutture di emergenza e i rifornimenti di carburante possono far funzionare le cose per alcuni giorni, è probabile che ci voglia molto più tempo per riparare i sistemi che gli aggressori hanno danneggiato o fatto esplodere.

"Si tratta di impatti enormi che influenzerebbero la nostra vita quotidiana, " dice Madnick. "E non è sul radar della maggior parte delle persone. Ma sperare che non accada non è esattamente un modo sicuro per affrontare la vita." Crede fermamente che "il peggio deve ancora venire".

La sfida per l'industria

Garantire la sicurezza informatica dei sistemi energetici è una sfida crescente. Come mai? Le strutture industriali odierne si affidano ampiamente a software per il controllo degli impianti, piuttosto che sui tradizionali dispositivi elettromeccanici. In alcuni casi, anche le funzioni critiche per garantire la sicurezza sono quasi interamente implementate nel software. In un tipico impianto industriale, dozzine di sistemi informatici programmabili distribuiti nell'impianto forniscono il controllo locale dei processi, ad esempio, mantenere il livello dell'acqua in una caldaia ad un certo setpoint. Questi dispositivi interagiscono tutti con un sistema di "supervisione" di livello superiore che consente agli operatori di controllare i sistemi locali e il funzionamento complessivo dell'impianto, sia in loco che da remoto. Nella maggior parte delle strutture, questi sistemi informatici programmabili non richiedono alcuna autenticazione per modificare le impostazioni. Data questa configurazione, un cyberattaccante che accede al software sia nel sistema locale che in quello di supervisione può causare danni o interruzione del servizio.

L'approccio tradizionale utilizzato per proteggere i sistemi di controllo critici è quello di "aprirli", ovvero separarli dalla rete Internet pubblica in modo che gli intrusi non possano raggiungerli. Ma nel mondo odierno di alta connettività, un'intercapedine d'aria non garantisce più la sicurezza. Per esempio, le aziende spesso assumono appaltatori o fornitori indipendenti per la manutenzione e il monitoraggio di apparecchiature specializzate nelle loro strutture. Per eseguire tali compiti, l'appaltatore o il fornitore ha bisogno di accedere a dati operativi in ​​tempo reale, informazioni generalmente trasmesse su Internet. Inoltre, esigenze aziendali legittime, come il trasferimento di file e l'aggiornamento del software, richiedono l'uso di chiavette USB, che può inavvertitamente compromettere l'integrità del traferro, lasciando una pianta vulnerabile agli attacchi informatici.

Alla ricerca di vulnerabilità

Le aziende lavorano attivamente per rafforzare la loro sicurezza, ma in genere solo dopo che si è verificato un incidente. "Quindi tendiamo a guardare attraverso lo specchietto retrovisore, " dice Madnick. Sottolinea la necessità di identificare e mitigare le vulnerabilità di un sistema prima che si presenti un problema.

Il metodo tradizionale per identificare le vulnerabilità informatiche consiste nel creare un inventario di tutti i componenti, esaminarli ciascuno per identificare eventuali vulnerabilità, mitigare tali vulnerabilità, e quindi aggregare i risultati per proteggere l'intero sistema. Ma questo approccio si basa su due ipotesi semplificatrici chiave, dice Shaharyar Khan, membro del programma MIT System Design and Management. Presuppone che gli eventi si svolgano sempre in un unico, direzione lineare, quindi un evento provoca un altro evento, che provoca un altro evento, e così via, senza cicli di feedback o interazioni a complicare la sequenza. E presuppone che la comprensione del comportamento di ciascun componente isolatamente sia sufficiente per prevedere il comportamento dell'intero sistema.

Ma questi presupposti non valgono per i sistemi complessi e i moderni sistemi di controllo negli impianti energetici sono estremamente complessi, ad alta intensità di software, e costituito da componenti altamente accoppiati che interagiscono in molti modi. Di conseguenza, dice Khan, "il sistema complessivo mostra comportamenti che i singoli componenti non hanno", una proprietà nota nella teoria dei sistemi come emergenza. "Riteniamo che la sicurezza e la protezione siano proprietà emergenti dei sistemi, " dice Khan. La sfida è quindi quella di controllare il comportamento emergente del sistema definendo nuovi vincoli, un compito che richiede la comprensione di come tutti i fattori interagenti sul lavoro, dalle persone alle apparecchiature, alle normative esterne e altro, influiscono in definitiva sulla sicurezza del sistema.

Per sviluppare uno strumento analitico all'altezza di tale sfida, Madnick, Khan, e James L. Kirtley Jr., un professore di ingegneria elettrica, si è rivolto prima a una metodologia chiamata System Theoretic Accident Model and Process, che è stato sviluppato più di 15 anni fa dalla professoressa del MIT Nancy Leveson di aeronautica e astronautica. Con quel lavoro come fondamento, hanno sviluppato "Cybersafety, "un metodo analitico appositamente studiato per l'analisi della sicurezza informatica di complessi sistemi di controllo industriale.

Per applicare la procedura di sicurezza informatica a una struttura, un analista inizia rispondendo alle seguenti domande:

• Qual è lo scopo principale del sistema analizzato; questo è, cosa devi proteggere? Rispondere a questa domanda può sembrare semplice, ma Madnick nota, "Sorprendentemente, quando chiediamo alle aziende quali sono i loro "gioielli della corona", spesso hanno difficoltà a identificarli."
• Dato questo scopo principale, qual è la cosa peggiore che potrebbe accadere al sistema? Definire lo scopo principale e le peggiori perdite possibili è la chiave per comprendere l'obiettivo dell'analisi e la migliore allocazione delle risorse per la mitigazione.
• Quali sono i principali rischi che potrebbero portare a tale perdita? Come semplice esempio, avere scale bagnate in una struttura è un pericolo; avere qualcuno che cade dalle scale e si rompe una caviglia è una perdita.
• Chi o cosa controlla questo rischio? Nell'esempio sopra, il primo passo è determinare chi o cosa controlla lo stato delle scale. Il prossimo passo è chiedere, Chi o cosa controlla quel controller? Poi, Chi o cosa controlla quel controller? Rispondendo a tale domanda in modo ricorsivo e mappando i circuiti di feedback tra i vari controller si ottiene una struttura di controllo gerarchica responsabile del mantenimento dello stato delle scale in condizioni accettabili.

Data la struttura di controllo completa, il passo successivo è chiedersi:quali azioni di controllo potrebbero essere intraprese da un controllore che non sarebbero sicure dato lo stato del sistema? Per esempio, se un utente malintenzionato altera il feedback di un sensore chiave, un controller non conoscerà lo stato effettivo del sistema e quindi potrebbe intraprendere un'azione errata, o può intraprendere le azioni corrette ma al momento sbagliato o nell'ordine sbagliato, ognuna delle quali porterebbe a danni.

Sulla base della comprensione ora più profonda del sistema, l'analista ipotizza quindi una serie di scenari di perdita derivanti da azioni di controllo non sicure ed esamina come i vari controllori potrebbero interagire per emettere un comando non sicuro. "Ad ogni livello dell'analisi, cerchiamo di identificare i vincoli sul processo controllato che, se violato, comporterebbe lo spostamento del sistema in uno stato non sicuro, " dice Khan. Ad esempio, un vincolo potrebbe imporre che la pressione del vapore all'interno di una caldaia non debba superare un certo limite superiore per evitare che la caldaia esploda a causa della sovrapressione.

"Perfezionando continuamente questi vincoli man mano che avanziamo nell'analisi, siamo in grado di definire nuovi requisiti che garantiranno la sicurezza e la protezione del sistema complessivo, ", dice. "Poi possiamo identificare i passaggi pratici per far rispettare tali vincoli attraverso la progettazione del sistema, processi e procedure, o controlli sociali come la cultura aziendale, requisiti normativi, o incentivi assicurativi”.

Casi studio

Per dimostrare le capacità dell'analisi sulla sicurezza informatica, Khan ha selezionato un 20 megawatt, centrale elettrica a turbina a gas:una piccola struttura che ha tutti gli elementi di una centrale elettrica su vasta scala sulla rete. In un'analisi, esaminò il sistema di controllo della turbina a gas, concentrandosi in particolare su come il software che controlla la valvola di controllo del carburante potrebbe essere alterato per causare perdite a livello di sistema.

L'esecuzione dell'analisi sulla sicurezza informatica ha prodotto diversi scenari di perdita relativi alla turbina che coinvolgono incendi o esplosioni, guasto catastrofico dell'attrezzatura, e infine l'incapacità di generare energia.

Per esempio, in uno scenario, l'aggressore disabilita il sistema di protezione digitale della turbina e altera la logica nel software che controlla la valvola di controllo del carburante per mantenere la valvola aperta quando dovrebbe essere chiusa, impedendo al carburante di fluire nella turbina. Se la turbina viene poi improvvisamente disconnessa dalla rete, inizierà a girare più velocemente del suo limite di progetto e si romperà, danneggiando le attrezzature vicine e danneggiando i lavoratori nell'area.

L'analisi della sicurezza informatica ha scoperto la fonte di tale vulnerabilità:una versione aggiornata del sistema di controllo aveva eliminato un gruppo di bulloni meccanici di backup che assicurava la protezione dalla "velocità eccessiva" della turbina. Anziché, la protezione da sovravelocità è stata implementata interamente nel software.

Quel cambiamento aveva senso dal punto di vista del business. Un dispositivo meccanico richiede manutenzione e test regolari, e quei test sottopongono la turbina a sollecitazioni così estreme che a volte fallisce. Però, data l'importanza della sicurezza informatica, potrebbe essere saggio ripristinare l'otturatore meccanico come dispositivo di sicurezza autonomo, o almeno considerare schemi di protezione elettronica da sovravelocità indipendenti come ultima linea di difesa.

Un altro caso di studio si è concentrato sui sistemi utilizzati per fornire acqua refrigerata e aria condizionata agli edifici serviti. Di nuovo, l'analisi sulla sicurezza informatica ha rivelato molteplici scenari di perdita; in questo caso, la maggior parte aveva una causa in comune:l'uso di azionamenti a frequenza variabile (VFD) per regolare la velocità dei motori che azionano pompe dell'acqua e compressori.

Come tutti i motori, il motore che aziona il compressore del refrigeratore ha determinate velocità critiche alle quali si verifica la risonanza meccanica, provocando vibrazioni eccessive. I VFD sono in genere programmati per saltare quelle velocità critiche durante l'avvio del motore. Ma alcuni VFD sono programmabili in rete. Così, un utente malintenzionato può interrogare un VFD per la velocità critica del motore collegato e quindi comandargli di guidare il motore a quella velocità pericolosa, danneggiandolo permanentemente.

"Questo è un tipo semplice di attacco; non richiede molta raffinatezza, " dice Khan. "Ma potrebbe essere lanciato e potrebbe causare danni catastrofici." Cita i precedenti lavori eseguiti da Matthew Angle '07, MEng '11, dottorato di ricerca '16, in collaborazione con Madnick e Kirtley. Nell'ambito di uno studio del 2017 sugli attacchi informatici ai sistemi di controllo industriale, Angle ha costruito un kit di test del motore su scala di laboratorio dotato di un VFD completo con codice informatico familiare ai ricercatori. Modificando semplicemente alcune righe chiave di codice, hanno fatto esplodere i condensatori nel VFD, mandando fumo nel cortile dietro il loro laboratorio del MIT. In un ambiente industriale con VFD a grandezza naturale, un simile attacco informatico potrebbe causare danni strutturali significativi e potenzialmente danneggiare il personale.

Date tali possibilità, il team di ricerca raccomanda alle aziende di considerare attentamente la "funzionalità" delle apparecchiature nel loro sistema. Molte volte, il personale dell'impianto non è nemmeno a conoscenza delle capacità offerte dalle loro apparecchiature. Per esempio, potrebbero non rendersi conto che un VFD che guida un motore nel loro impianto può essere fatto funzionare in direzione inversa da un piccolo cambiamento nel codice del computer che lo controlla:una chiara vulnerabilità informatica. La rimozione di tale vulnerabilità richiederebbe l'utilizzo di un VFD con meno funzionalità. "Una buona ingegneria per rimuovere tali vulnerabilità a volte può essere erroneamente caratterizzata come un passo indietro, ma potrebbe essere necessario migliorare la posizione di sicurezza di un impianto, " afferma Khan. Un'analisi completa della sicurezza informatica di un sistema non solo evidenzierà tali problemi, ma guidano anche il posizionamento strategico di sensori analogici e altri circuiti di feedback ridondanti che aumenteranno la resilienza del funzionamento del sistema.

Affrontare la sfida

Durante la loro ricerca sulla sicurezza informatica, Khan, Madnick, e i loro colleghi hanno scoperto che le vulnerabilità possono spesso essere ricondotte al comportamento umano, così come le decisioni di gestione. In un caso, un'azienda aveva incluso il codice di accesso predefinito per la sua attrezzatura nel manuale dell'operatore, pubblicamente disponibili su Internet. Altri casi riguardavano operatori che collegavano chiavette USB e laptop personali direttamente alla rete dell'impianto, violando così l'intercapedine d'aria e persino introducendo malware nel sistema di controllo dell'impianto.

In un caso, un lavoratore notturno ha scaricato film su un computer dell'impianto utilizzando una chiavetta USB. Ma spesso tali azioni sono state intraprese come parte di tentativi disperati di rimettere in funzione un impianto attualmente fermo. "Nel grande schema delle priorità, Capisco che concentrarsi sul far funzionare di nuovo l'impianto fa parte della cultura, "dice Madnick. "Purtroppo, le cose che le persone fanno per mantenere in funzione il proprio impianto a volte mettono l'impianto a un rischio ancora maggiore".

L'abilitazione di una nuova cultura e mentalità richiede un serio impegno per la sicurezza informatica a monte della catena di gestione. È probabile che le strategie di mitigazione richiedano una reingegnerizzazione del sistema di controllo, acquisto di nuove attrezzature, o apportare modifiche a processi e procedure che potrebbero comportare costi aggiuntivi. Dato ciò che è in gioco, la direzione non deve solo approvare tali investimenti, ma infondere anche un senso di urgenza nelle loro organizzazioni per identificare le vulnerabilità ed eliminarle o mitigarle.

Sulla base dei loro studi, i ricercatori concludono che è impossibile garantire che un sistema di controllo industriale non subirà mai una violazione delle sue difese di rete. "Perciò, il sistema deve essere progettato in modo da resistere agli effetti di un attacco, " afferma Khan. "L'analisi della sicurezza informatica è un metodo potente perché genera tutta una serie di requisiti, non solo tecnici ma anche organizzativi, logistico, e procedurale, che può migliorare la resilienza di qualsiasi sistema energetico complesso contro un attacco informatico".

Questa storia è stata ripubblicata per gentile concessione di MIT News (web.mit.edu/newsoffice/), un popolare sito che copre notizie sulla ricerca del MIT, innovazione e didattica.