Calcolo dell'Indice di Criticità

Metodologia per il calcolo dell'Indice di Criticità (Ic) ai fini della individuaizione delle priorità d’intervento

 

1  Premessa

L’iter complessivo per la messa in sicurezza delle piattaforme di controllo e misura delle aziende di distribuzione di energia, in conformità della normativa NIS, prevede, a valle di una fase d’individuazione e catalogazione dei componenti con identificazione delle vulnerabilità relative, una fase ulteriore di individuazione delle priorità di intervento per quanto riguarda la gestione delle contromisure (D.Lgs. 65/2018, art. 12, comma 3).

La valutazione dei componenti al fine della messa in sicurezza dei perimetri e sotto-perimetri di riferimento viene normalmente effettuata mirando, a conclusione del procedimento, alla definizione di un livello di rischio dei singoli componenti. Com’è noto, il rischio è considerato in modo consistente in letteratura e negli standard come funzione del danno e della probabilità di accadimento. Tali entità dovrebbero essere definite in modo credibile facendo riferimento a serie storiche e a valori economici documentabili. 

Essendo ambedue gli elementi citati difficilmente reperibili o definibili nell'ambito della distribuzione dell'energia, si è preferito basare la metodologia di seguito descritta sull'obbiettivo di definire, per ciascun componente, un indice di criticità.

Per onestà intellettuale osserviamo che rischio e criticità non sono la stessa cosa, ma si assomigliano molto. Rinunciamo a derivare il rischio da due parametri (danno e probabilità) di cui non disponiamo con sufficiente approssimazione e ci accontentiamo di derivare, per ciascun componente, un indice di criticità che risulta dalla valutazione del componente, qualificato dalle vulnerabilità note, rispetto a una serie di parametri modulati con una metrica di tipo qualitativo, strizzando l'occhio, in tal modo, ai dettami della logica sfumata

Si potrà osservare che la scarsa consistenza denunciata e temuta a proposito dei parametri rischio e probabilità, evitata rinunciando a utilizzare gli stessi, rientra dalla finestra con l'utilizzo di parametri sostitutivi concepiti ad hoc, più credibili.

Si apre poi la strada alla possibilità di definire parametri, a giudizio dell'analista, personalizzati e riferibili a dati e informazioni, sempre a suo giudizio, sufficientemente attendibili. Secondo poi, il grado di approssimazione del modello suggerito dovrebbe risultare più omogeneo, contaminando i vari componenti più o meno nello stesso modo, conferendo pertanto un elevato grado di consistenza alla classifica finale relativa e consentendo, in tal modo, di individuare una priorità d'intervento credibile in materia di attuazione delle contromisure, che è poi lo scopo pratico concreto del procedimento.

2   Il procedimento

Lo schema generale del procedimento di analisi delle vulnerabilità e definizione delle priorità d’intervento si articola nei seguenti passi che costituiscono, nel loro insieme, la metodologia IPSEM.

  1. Descrizione e articolazione del perimetro d'intervento (perimetro, sotto-perimetri, componenti).
  2. Individuazione delle vulnerabilità.
  3. Definizione dei parametri di criticità e loro applicazione ai componenti.
  4. Calcolo dell'Indice di Criticità e sua rappresentazione grafica.

Per approfondire i primi due punti di cui sopra si veda IPSEM. L'algoritmo per attuare i punti 3 e 4  è di seguito descritto.

2.1  Definizione dei parametri di criticità e loro applicazione ai componenti 

L’insieme dei componenti individuati in fase di attuazione dei precedenti punti 1 e 2 e per i quali si è proceduto a individuare le relative vulnerabilità è suddiviso nelle seguenti otto categorie. Il motivo di questa categorizzazione sarà chiaro in seguito.

  • Utenti
  • Componenti di interfaccia e di accesso (dispositivi fissi e mobili)
  • Componenti trasmissivi (connessioni)
  • Server e relative applicazioni
  • Componenti industriali dotati di capacità computazionale completa
  • Componenti industriali dotati di capacità computazionale cablata e limitata
  • Sensori e attuatori
  • Strutture e Contenitori

Ai fini del calcolo di un parametro di criticità per ciascun componente e quindi, tramite la sommatoria di questi, pervenire ad un indice di criticità di ciascun sottoperimetro, viene definito un catalogo dei parametri di valutazione. Il catalogo prevede un set di parametri specifico per ciascuna categoria di componenti (otto in tutto), sopra indicate. In tal modo è possibile personalizzare meglio il set di parametri alla singola categoria, poiché, in caso di definizione di un set unico per tutte le categorie, alcuni parametri non sarebbero significativi per certi componenti. E’ consigliabile, all’atto pratico, che il numero di parametri per ciascuna categoria di componenti sia compreso tra tre otto.

L’anatomia di un parametro è costituita da:

  1. Una frase che indica una conseguenza dannosa derivabile da un attacco, o una circostanza, una proprietà riguardante il componente considerato;
  2. Una scala metrica, di tipo qualitativo, costituita da cinque valori crescenti in termini di severità.

Tali valori (o forse meglio valutazioni) di tipo qualitativo sono comunque associati a valori numerici per necessità computazionali successive.

Quanto sopra è meglio chiarito da un esempio:

Parametro: Numero di utenze potenzialmente oscurate in caso di attacco.

Scala metrica associata (in parentesi il valore numerico corrispondente):
Una utenza: (0)
Da 2 a 100 utenze: (1)
Da 101 a 1.000 utenze: (2)
Da 1001 a 10.000 utenze:  (3)
Oltre 10.000 utenze: (4)

Si osserva che i valori numerici associati a ciascuno scalino della scala metrica non devono necessariamente corrispondere allo spazio da 0 a 4, ma possono essere diversi (ovviamente sempre rispecchiando valori crescenti). Ciò può consentire all’analista, in fase di definizione del catalogo dei parametri, di attribuire un peso maggiore di un particolare parametro che si rispecchierà nella somma finale dei vari valori numerici scelti. Tale somma, infatti, definirà l’indice di criticità (Ic) di ciascun componente.

I vari parametri sono orientati ad aspetti diversi della criticità dei componenti, anche in funzione delle diverse categorie di appartenenza del componente stesso, come segue:

a) Vulnerabilità di tipo digitale-informatico
b) Vulnerabilità per esposizione ad attacchi di natura fisica
c) Vulnerabilità per carenza di procedure organizzative
d) Estensione del danno in caso di successo di attacco afferente ai tre tipi di vulnerabilità sopra indicati.

 2.2   Calcolo dell'Indice di Criticità e sua rappresentazione grafica.

Come si è detto, la somma dei valori numerici scelti dall’analista per ciascuno dei parametri applicati costituisce l’Ic di ciascun componente.

La somma degli Ic estesa a tutti i componenti di un sottoperimetro costituisce l’indice di criticità del sottoperimetro (Ics). La somma degli Ics estesa a tutti i sottoperimetri costituisce l’indice di criticità del perimetro (piattaforma) (Icp).

Il risultato ottenuto può essere rappresentato semplicemente con un elenco, in ordine di criticità decrescente in una tabella, ovvero in forma grafica. Ad esempio, è pensabile un grafico in cui i componenti siano posti in uno spazio cartesiano in cui l’asse delle ascisse rappresenti Ic e quello delle ordinate la numerosità dei componenti nel territorio.

2.3           Catalogo dei parametri

Segue un esempio indicativo di catalogo di parametri utilizzati per valutare i diversi componenti, riferiti alle otto categorie  in cui i medesimi sono raggruppati. La metrica che caratterizza l’applicazione di ciascun parametro ai singoli componenti è indicata nella tabella successiva. Tale metrica chiarisce ulteriormente, oltre a quanto indicato in parentesi nella tabella che immediatamente segue, il significato dei parametri. In fase di concreta attuazione, il catalogo in questione dev’essere completato ampliando il numero dei parametri e personalizzandoli per lo specifico scenario di riferimento.

 

Categoria di Componente

 

Parametro

1 - Utenti

(Gli utenti a tutti gli effetti possono essere considerati componenti di un perimetro. Essi infatti son portatori di vulnerabilità che possono essere sfruttate con tecniche di social engineering).

 

1 - Esistenza di una norma di comportamento

(Una procedura aziendale che indichi le norme di comportamento sia legate all’utilizzo dei dispositivi di accesso utilizzati che alla segretezza di informazioni correlate è importante).

2 - Modalità di comunicazione delle credenziali di accesso

(Può accadere che, in determinate circostanze, le credenziali di accesso o altre informazioni sensibili siano comunicate tramite canali insicuri).

2 - Componenti di interfaccia e di accesso (Dispositivi fissi e mobili utilizzati e autorizzati ad accedere a un certo sottoperimetro. Questa categoria è un sottoassieme particolare della categoria 4).

 

1 - Natura del dispositivo

(Cellulari, tablet, laptop hanno intrinsecamente una criticità maggiore di desktop fissi).

2 - Sistema operativo

(Sistemi operativi obsoleti, non più mantenuti dal fornitore, ovvero proprietari hanno una criticità maggiore).

3 - Componenti trasmissivi (connessioni)

(Le singole tratte di canali di comunicazione tra i vari componenti sono considerate componenti a tutti gli effetti e raggruppati in questa categoria).

 

1 - Pubblicazione del protocollo

(I protocolli pubblicati in documenti ufficiali quali i RFC della  Internet Engineering Task Force o simili sono più indagati dai cacciatori di vulnerabilità e quindi soggetti a rimedi di quelli proprietari di cui le caratteristiche sono riservate).

2 - Intercettabilità di tipo man in the middle

(Concreta possibilità di intercettazione delle informazioni in termini di accessibilità e disponibilità di dispositivi ad hoc).

4 - Server e relative applicazioni

(Questa categoria comprende le applicazioni e i server che le erogano).

 

 

1 - Livello di documentazione dell’applicazione

(Relativa all’applicazione).

2 - Tipo di OS a supporto

(Sistemi operativi obsoleti, non più mantenuti dal fornitore, ovvero proprietari hanno una criticità maggiore).

5 - Componenti industriali dotati di capacità computazionale completa

 

1 - Livello di documentazione

(Relativa sia all’applicazione che al S.O. sottostante).

2 - Tipo di OS a supporto

(Sistemi operativi obsoleti, non più mantenuti dal fornitore, ovvero proprietari hanno una criticità maggiore).

6 - Componenti industriali dotati di capacità computazionale cablata e limitata

 

1 - Livello di documentazione

(Relativa sia all’applicazione che al S.O. sottostante).

2 - Tipo di OS a supporto

(Sistemi operativi obsoleti, non più mantenuti dal fornitore, ovvero proprietari hanno una criticità maggiore).

7 - Sensori e attuatori

 

1 - Numerosità e accessibilità fisica sul territorio

(Numerosità del componente sul territorio e relativa facilità di accesso).

2-Estensione-entità del danno eventuale

(Portata massima del danno consequenziale a un attacco, diretto o indotto al perimetro anche in termini di funzionalità, espressa in unità opportune e da definire in funzione delle caratteristiche funzionali del componente).

8 – Strutture e contenitori

 

1 - Numerosità e accessibilità fisica sul territorio (Numerosità del componente sul territorio e relativa facilità di accesso).

2 - Criticità degli apparati contenuti

(in termini di valore economico, severità ed estensione del danno causabile).

 

2.4   Valori di criticità per ciascun parametro (Metrica)

Ciascun componente, in funzione della categoria di appartenenza, viene valutato in base al set di parametri sopra indicato. La valutazione avviene utilizzando la metrica associata a ciascun parametro e descritta nella tabella che segue. Per ciascun parametro è scelto un valore corrispondente allo scalino della metrica che, a giudizio del valutatore, è più vero.

Nella tabella che segue i parametri sono contraddistinti da un codice x.y in cui x corrisponde alla categoria e y al codice del parametro nell’ambito di detta categoria.

Parametro

Metrica

1.1 - Esistenza di una norma di comportamento

Norma inesistente = 4

Norma esistente ma incompleta  = 2

Norma esistente e completa = 0

1.2 - Modalità di comunicazione delle credenziali di accesso

Le credenziali sono create inizialmente dall’amministratore di sistema e comunicate all’utente in modo sicuro. Questi provvede a gestirle in autonomia. Le credenziali non sono mai comunicate a terzi = 0

Le credenziali sono create inizialmente dall’amministratore di sistema e comunicate all’utente in modo sicuro. Questi provvede a gestirle in autonomia. Le credenziali sono talvolta comunicate a terzi con canale sicuro = 2

Le credenziali sono create inizialmente dall’amministratore di sistema e comunicate all’utente in modo sicuro. Questi provvede a gestirle in autonomia. Le credenziali sono talvolta comunicate a terzi con canale non sicuro. = 4

2.1 - Natura del dispositivo

 

 

Prevalenza o totalità di dispositivi fissi = 0

Prevalenza o totalità di lap-top = 2

Prevalenza o totalità di tablet e cellulari = 4

2.2 - Sistema Operativo

 

Di ampio utilizzo, mantenuto e aggiornato dal fornitore = 0

Di ampio utilizzo, ma non più mantenuto e aggiornato dal fornitore = 1

Proprietario, mantenuto dal fornitore con periodiche segnalazioni di vulnerabilità e consequenziali rimedi = 2

Proprietario, non mantenuto dal fornitore ma con documentazione atta a eseguire pen-test in modalità white box = 3

Proprietario, non mantenuto dal fornitore e senza documentazione = 4

 

3.1 - Pubblicazione del protocollo

 

 

 

Pubblicato da un ente riconosciuto a livello internazionale, con status di standard = 0

Pubblicato da un ente commerciale con reputazione a livello internazionale = 1

Proprietario, ampiamente utilizzato, documentato, con vulnerabilità note e seguito da parte degli utenti = 2

Proprietario, utilizzato a livello di nicchia, ben documentato = 3

Proprietario, con documentazione assente o insufficiente = 4

3.2 - Intercettabilità di tipo man-in-the-middle

 

Canale facilmente accessibile e        intercettabile = 4

Canale difficilmente accessibile e facilmente intercettabile = 3

Canale facilmente accessibile ma difficilmente intercettabile (alti costi) = 2

Canale difficilmente accessibile                             e intercettabile = 0

4.1 - Livello di documentazione dell’applicazione

 

Documentazione assente = 4

Documentazione presente ma parziale o obsoleta o inadeguata per valutazioni di sicurezza = 2

Documentazione presente, aggiornata e adeguata = 0

4.2 - Tipo di OS a supporto

 

Di ampio utilizzo, mantenuto e aggiornato dal fornitore = 0

Di ampio utilizzo, ma non più mantenuto e aggiornato dal fornitore = 1

Proprietario, mantenuto dal fornitore con periodiche segnalazioni di vulnerabilità e consequenziali rimedi = 2

Proprietario, non mantenuto dal fornitore ma con documentazione atta a eseguire pen-test in modalità white box = 3

Proprietario, non mantenuto dal fornitore e senza documentazione = 4

 

5.1 - Livello di documentazione dell’applicazione

 

Documentazione assente = 4

Documentazione presente ma parziale od obsoleta o inadeguata per valutazioni di sicurezza = 2

Documentazione presente, aggiornata e adeguata = 0

5.2 - Tipo di OS a supporto

 

Di ampio utilizzo, mantenuto e aggiornato dal fornitore = 0

Di ampio utilizzo, ma non più mantenuto e aggiornato dal fornitore = 1

Proprietario, mantenuto dal fornitore con periodiche segnalazioni di vulnerabilità e consequenziali rimedi = 2

Proprietario, non mantenuto dal fornitore ma con documentazione atta a eseguire pen-test in modalità white box = 3

Proprietario, non mantenuto dal fornitore e senza documentazione = 4

 

6.1 - Livello di documentazione dell’applicazione

 

Documentazione assente = 4

Documentazione presente ma parziale od obsoleta o inadeguata per valutazioni di sicurezza = 2

Documentazione presente, aggiornata e adeguata = 0

6.2 - Tipo di OS a supporto

 

Di ampio utilizzo, mantenuto e aggiornato dal fornitore = 0

Di ampio utilizzo, ma non più mantenuto e aggiornato dal fornitore = 1

Proprietario, mantenuto dal fornitore con periodiche segnalazioni di vulnerabilità e consequenziali rimedi = 2

Proprietario, non mantenuto dal fornitore ma con documentazione atta a eseguire pen-test in modalità white box = 3

Proprietario, non mantenuto dal fornitore e senza documentazione = 4

...

 

7.1 - Numerosità e accessibilità fisica sul territorio (perimetro)

 

Qualche unità di difficile accesso = 0

Qualche unità di facile accesso = 1

Numero consistente di difficile accesso = 2

Numero consistente di facile accesso = 3

Numero elevato = 4

7.2 - Estensione-entità del danno eventuale diretto o indotto al perimetro

Nullo = 0

Scarso = 1

Rilevante = 2

Grave = 3

Assai grave = 4

8.1-Numerosità e accessibilità fisica sul territorio

Qualche unità di difficile accesso = 0

Qualche unità di facile accesso = 1

Numero consistente di difficile accesso = 2

Numero consistente di facile accesso = 3

Numero elevato = 4

8.2-Criticità degli apparati contenuti

Alto valore economico e danno potenziale elevato per numero di utenze oscurate e tempi di ripristino elevati = 4

Alto valore economico ma danno potenziale limitato = 3

Basso valore economico ma danno potenziale elevato = 3

Basso valore economico e basso danno potenziale = 0

 

 

...

 

2.5  Conclusioni

Il grafico che segue sintetizza i vari passi d’individuazione dei componenti, individuazione delle vulnerabilità relative e calcolo dell'indice di criticità. I primi due aspetti sono stati trattati nella presente relazione, mentre il terzo è da attuare.