Questa settimana ho avuto occasione di sentire parlare a diverse conferenze e incontri di sicurezza cyber dei sistemi industriali noti come SCADA e ICS. Per intenderci quelli che gestiscono reti elettriche, idriche, macchine utensili e via dicendo. Devo dire che l’attenzione non manca tra gli specialisti, molte grandi aziende che li utilizzano hanno avviato piani di collaborazione con chi li costruisce. La precisazione che hanno fatto tutti è stata che il problema della vulnerabilità di questi sistemi non si risolverà nel breve termine. La ragione è semplice: questi sistemi che costano svariati milioni di euro hanno un ciclo di vita molto lungo. Insomma, non si tratta di cambiare un PC, ma un intero impianto. Quello che però non ho sentito dire da nessuno è il rischio, che non verrà mai meno, rappresentato da un’altra peculiare caratteristica di queste tecnologie.
Da sempre uno dei requisiti essenziali di SCADA e ICS è la compatibilità retroattiva. Si tratta della caratteristica dei nuovi sistemi di integrarsi con quelli più vecchi. Di fatto l’ultimo arrivato si adatta e se necessario “abbassa le difese” per poter comunicare agli altri. Il risultato finale è che finisce per diventare vulnerabile tanto quanto quelli più vecchi. Di conseguenza non ho sentito una parola su una particolare tipologia di attacco, non facile ma non impossibile, noto come downgrade o roolback attack che sfrutta proprio l’interoperabilità e la comunicazione tra sistemi di diverse generazioni.
La prima volta che ne ho sentito parlare era l’anno 2000, e riguardava un problema nella comunicazione tra celle GSM di diversa generazione. Quelle basate sui protocolli più vecchi presentavo delle debolezze nella crittografia, quindi anche le più recenti, nel momento in cui dovevo garantire la comunicazione, utilizzavano quei protocolli vulnerabili. Quale è l’implicazione? Semplicemente che un elevato livello di vulnerabilità per i sistemi industriali sarà “inestirpabile”. Chi si occupa di cybersecurity sa perfettamente che quanto oggi è considerato sicuro tra qualche anno non lo sarà più. Poiché i cicli di vita di SCADA e ICS sono come minimo decennali, significa che la situazione resterà tale per sempre con sistemi vetusti e modernissimi che saranno costretti a convivere. La soluzione evidentemente non è nella tecnologia. Come scriveva il noto crittografo ed esperto di sicurezza “Se pensate che la Tecnologia possa risolvere I vostri problemi di sicurezza, allora non avete capito i problemi e non avete capito la tecnologia”. Al differenza la faranno le persone, il buonsenso, le regole e una buona gestione di questi sistemi.