"Considerati un potenziale bersaglio, perché lo sei"

Lior Frenkel

Lior Frenkel è uno dei fondatori di Waterfall Security Solutions nel 2007. I gateway di sicurezza unidirezionali di Waterfall Security sono progettati per fornire una protezione al 100% contro le minacce alla sicurezza della tecnologia operativa (OT) e gli attacchi online in vari siti come aeroporti, sistemi ferroviari e centrali elettriche .

L'elenco crescente di clienti dell'azienda include infrastrutture critiche e servizi pubblici nazionali, centrali elettriche, centrali nucleari, piattaforme offshore, raffinerie, oleodotti , impianti farmaceutici, chimici e manifatturieri. Distribuiti in Nord America, Europa, Medio Oriente e Asia, i prodotti Waterfall supportano una vasta gamma di piattaforme, applicazioni, database e protocolli di monitoraggio industriale e remoto presenti sul mercato.

Il settore energetico è diventato il secondo più esposto agli attacchi informatici, con quasi tre quarti delle compagnie petrolifere e del gas statunitensi che subiscono almeno un grave incidente informatico all'anno. Un moderno attacco informatico a una rete di oleodotti o a un terminale GNL può avere gravi conseguenze per la sicurezza umana e ambientale, sotto forma di rotture, esplosioni, incendi, fuoriuscite e sversamenti.

Ecco un'intervista con Frenkel sulla sicurezza informatica nel mercato petrolifero e del gas . L'intervista è stata modificata per motivi di lunghezza e chiarezza.

D: Quanto è difficile proteggere le risorse petrolifere e del gas dagli attacchi informatici, dato che spesso si trovano in località remote?

R: Ottima domanda. E la risposta è sì e no. L'industria petrolifera e del gas non è diversa da molti altri settori, nel senso che i settori industriali, i sistemi idrici, la produzione di energia e le ferrovie, dal punto di vista della sicurezza informatica, sono tutti uguali. Certo, ci sono delle differenze. Ma i punti in comune sono più grandi delle differenze. Ognuno di questi settori verticali industriali ha reti informatiche che controllano i processi fisici e questa è l'entità che è necessario proteggere, e deve essere protetta in modo da mantenere i processi fisici operativi e funzionanti al massimo delle prestazioni e in modo sicuro. Questa è la sicurezza informatica industriale . Quando si parla di banche o aziende "normali", non si dispone di una rete informatica che controlla un processo fisico . Quindi la grande differenza è: stiamo proteggendo le informazioni, come in un'azienda normale, tra virgolette, dove le risorse e ciò che viene elaborato dalla rete sono informazioni? O se si tratta di un processo fisico, macchinari, cose del genere.

Quando hai un'azienda industriale, come un asset petrolifero e del gas come una piattaforma offshore , è fisicamente lì. Tu

Se le pompe e tutti i macchinari che pompano petrolio e gas dalle profondità marine non funzionano, la produzione è interrotta. Non si dispone di una piattaforma offshore di backup che si possa semplicemente installare al suo posto. Per le "aziende tradizionali", i beni non sono fisici e possono essere sottoposti a backup, e questo è il presupposto di base di ogni regime di sicurezza informatica. Alla fine, anche nel peggiore dei casi, si dispone comunque di un backup dei file e delle informazioni. Per quanto riguarda la sicurezza informatica industriale, non disponiamo di questo backup. Se qualcosa si infiltra nella rete e ora dobbiamo reinstallare tutto, non si è operativi; i treni si fermano, la produzione si ferma, la produzione si ferma. E se si tratta di una piattaforma offshore e una parte dei macchinari si rompe, si può rimanere inattivi per tre o quattro mesi perché il bene che stiamo elaborando e controllando non dispone di un backup. Essere in grado di interrompere la produzione senza un backup offre a un cybercriminale una leva così grande che si pagherebbe qualsiasi cifra gli venga chiesta.

D: Anche le migliori misure di sicurezza informatica sono efficaci solo quanto le persone che le utilizzano.

R: È vero, ma è solo una parte del quadro. Quando il livello di sicurezza è molto basso e non si dispone di un sistema di sicurezza solido, ogni errore commesso può portare a conseguenze negative. D'altro canto, si può installare il miglior sistema di sicurezza, investire miliardi di dollari, acquistare i migliori prodotti al mondo e implementarli nel miglior modo possibile. Ma se i dipendenti non sanno cosa fare, non capiscono cosa c'è in gioco, non hanno la formazione necessaria, non importa quanti soldi si investano, commetteranno errori che creeranno falle nella sicurezza. Sarebbe sbagliato concentrarsi solo sulle persone in azienda; è necessario costruire un buon sistema di sicurezza, formare il personale , garantire un livello di consapevolezza elevato e applicare le misure necessarie, e ci si troverà nella migliore situazione possibile.

D: Gli attacchi alle infrastrutture petrolifere e del gas possono essere motivati da ragioni puramente economiche, ma anche politiche. Che tipo di attacchi si riscontrano concretamente nel settore petrolifero e del gas?

R: Quello che vediamo principalmente sono attacchi criminali; direi che nove su dieci sono a scopo di lucro, semplicemente perché è un'attività criminale davvero redditizia. Sai, il criminale si trova da qualche parte in un Paese diverso da quello dell'azienda che sta attaccando, senza correre rischi personali. Hackerare un sito, chiedere soldi, ottenere quei soldi e andare avanti senza che ti succeda nulla. Quindi perché andare a rapinare un treno, perché fare pirateria in mare, dove puoi essere ucciso? È un ottimo business se sei un criminale.

I clienti industriali, come quelli del petrolio e del gas, sono un ottimo bersaglio per quello che ho detto prima: posso bloccare la tua produzione e questo è un disastro. Assistiamo anche ad attacchi sostenuti dallo Stato o dal terrorismo. Dal mio punto di vista, ne vediamo meno negli Stati Uniti che in altri luoghi come l'Europa orientale. Ma ci sono. Negli Stati Uniti, si tratta più di raccogliere informazioni. Non ci sono molti stati che dicono seriamente: "Chiudiamo una parte delle infrastrutture statunitensi". Potrebbero pensarci, potrebbero persino pianificarlo. Vogliono rubare informazioni, vogliono raccogliere informazioni per un attacco, vogliono rubare proprietà intellettuale. Quindi, per quanto ne sappiamo, non si tratta tanto di cercare di bloccare o interferire con la produzione, ma a volte si verifica come effetto collaterale. Quindi il rischio c'è.

D: Come si conciliano l'esigenza di sicurezza con la necessità di portare a termine il lavoro? Le misure di sicurezza possono essere così onerose da rendere difficile svolgere il lavoro quotidiano in modo efficiente?

R: Quindi non c'è risposta a questa domanda. Pensatela in modo diverso. Il motivo per cui le persone lo chiedono è che non ne comprendono appieno i rischi. L'esempio che vi faccio è che, quando si vuole salire su una piattaforma offshore, bisogna indossare un casco protettivo, stivali con punta in acciaio e, a volte, un giubbotto di salvataggio. Poi vi faranno un corso di formazione sulla sicurezza di un'ora: come evacuare, cosa fare in questo o in quel caso e cosa non fare. Dove fumare e dove non fumare. Ma nessuno lo chiede, o lo considera troppo oneroso, perché ne comprendiamo i rischi.

Un altro aspetto dei protocolli di sicurezza è che ci sono controlli da parte dell'autorità. Non posso dire di non preoccuparmene. Semplicemente non indosserò il giubbotto o il cappello. Mi diranno che non salirai sulla mia piattaforma perché non è sicura. Quando le persone inizieranno a comprendere meglio il rischio – e ci stanno arrivando, ma troppo lentamente – non chiederanno più del saldo che hai menzionato. Vogliono evitare il rischio e sono disposti a pagare un po' di più per evitarlo. Quindi il processo richiederà un po' più di tempo, ma sarà sicuro.

D: Parlami della tua azienda e qual è la tua proposta di valore, in particolare per questo settore.

R: Waterfall Security è un'azienda di sicurezza informatica industriale e ci concentriamo sulla sicurezza delle tecnologie operative: questo è ciò che facciamo. La nostra tecnologia, chiamata Unidirectional Security Gateway, consente di condividere informazioni con il mondo esterno in modo estremamente sicuro e protetto da reti fuori controllo. Vi piacerebbe salire su un treno la cui rete di controllo, sia ferroviaria che ferroviaria, sia accessibile da Internet? Probabilmente no. Vi piacerebbe dare ai vostri figli del cibo proveniente da una linea di produzione accessibile da Internet? Ma la maggior parte di loro sì. È così per diverse ragioni, perché molti di questi sistemi sono stati progettati e implementati anni fa, quando la sicurezza informatica non rappresentava un rischio elevato.

Quando si collega una rete di controllo al mondo esterno, tutti sanno che è stato installato un firewall. Questa è la soluzione giusta quando entrambe le reti sono reti informatiche, reti IT. È per questo che sono stati progettati i firewall e svolgono perfettamente il loro compito. Non sono mai stati progettati per avere Internet da un lato e una turbina dall'altro. Ma quando non c'erano alternative, si installava un firewall perché era quello che si aveva, non c'era altro modo. Abbiamo sviluppato una soluzione alternativa per i firewall, al perimetro tra reti di controllo, reti OT e mondo esterno. Hardware dedicato che progettiamo e produciamo e software che lo gestisce, che raccoglie informazioni dalla rete OT. Supponiamo che vogliate monitorare da remoto la vostra stazione di compressione. Volete sapere cosa sta succedendo, avvisi, allarmi, velocità, tutto ciò che volete sapere. Il nostro sistema sa come raccogliere tutte le informazioni di cui avete bisogno e inviarle tramite l'hardware, che è fisicamente costruito in modo da poter trasferire le informazioni in una sola direzione. Il software raccoglie i dati, li invia tramite l'hardware unidirezionale e il nostro software esterno raccoglie queste informazioni e le invia a tutti i destinatari che ne hanno bisogno. Ecco perché chiamiamo l'azienda "Cascata". La nostra tecnologia è come una cascata: scorre in una sola direzione e c'è una barriera fisica che le impedisce di tornare indietro.

Quindi installate i nostri sistemi, li configurate e tutti i dati di cui avete bisogno sono ora disponibili all'esterno, potete utilizzarli con i vostri sistemi, potete inviarli a un servizio cloud, potete inviarli al fornitore dell'apparecchiatura per creare un programma di manutenzione preventiva. Potete fare ciò che volete con le informazioni senza alcun rischio – non a basso rischio, senza alcun rischio – che qualcosa possa o possa tornare indietro attraverso quel collegamento. Quindi il rischio di controllo remoto, il rischio di propagazione di malware, ransomware, tutto questo è fuori discussione. Siamo ampiamente impiegati nel settore petrolifero, del gas e degli oleodotti , ma principalmente nell'upstream e nel midstream. Oleodotti, piattaforme petrolifere, piattaforme offshore, anche stazioni di compressione. Siamo inoltre impiegati praticamente in ogni tipo di infrastruttura critica e settore industriale verticale, dalla generazione di energia ai sistemi idrici, ai servizi idrici, agli impianti chimici, alle ferrovie, alle metropolitane, agli aeroporti, e così via.

D: Una domanda generale: c'è qualcosa di cui non abbiamo parlato e che ritieni sia importante che il settore petrolifero e del gas sappia sulla tua azienda o sulla sicurezza in generale?

R: Credo che l'idea che petrolio e gas siano fuori dai giochi non sia mai stata vera. Ma oggi è ancora meno vera. Cinque anni fa parlavamo con le compagnie petrolifere e del gas e ci dicevano: "Comprendiamo la tecnologia, ma non ne vediamo i rischi. Sappiamo che i firewall non ci salveranno; capiamo tutto. Ma a chi importa di noi?"

E questo non è cambiato solo a causa del Big Bang, ovvero l'attacco al Colonial Pipeline. È un'ottima dimostrazione. Ma molti dei nostri clienti nel settore petrolifero e del gas sono diventati nostri clienti perché sono stati colpiti. Non perché si stessero preparando, non per una direttiva della TSA , non perché qualcuno glielo avesse ordinato, ma perché sono stati colpiti. O hanno pagato un riscatto e nessuno ne ha sentito parlare, o sono stati semplicemente fortunati e a volte l'attacco non ha avuto successo.

Trattati come un potenziale bersaglio, perché lo sei. Sì. E chiamaci.