Autore: Redazione SecurityOpenLab
Accendere i riflettori sulla sicurezza delle infrastrutture critiche è inevitabile considerato l’aumento vertiginoso degli attacchi contro questo tipo di impianti, anche in conseguenza del quadro geopolitico internazionale. Oltre tutto, come sottolineato più volte, gli attacchi contro queste realtà costituiscono l’esempio più lampante di sistemi cyber-fisici: un loro problema si ripercuote direttamente sul mondo fisico, come la mancanza di energia elettrica, di acqua o altro.
Tutte le aziende che abbiamo interpellato spiegano come la convergenza di Operational Technologies (OT) e IT abbia ampliato l’area di influenza dei problemi di cybersecurity, che un tempo erano prerogativa solo del comparto IT. La rincorsa alla messa in sicurezza degli impianti industriali, tuttavia, è tutt’altro che semplice. Spesso non c’è contezza degli asset che compongano l’infrastruttura e delle relazioni fra di essi, la gestione delle vulnerabilità (patching) è parzialmente o totalmente assente, il personale è impreparato sotto l’aspetto della security e mantiene un approccio legacy che agevola il successo degli attacchi contro obiettivi che, ci piaccia o meno, sono considerati di alto valore dai criminali informatici e dagli APT.
Tornare indietro è impossibile, anche perché non conviene sotto l’aspetto del business: l’Industria 4.0 ha aperto a opportunità e vantaggi che sono irrinunciabili per qualsiasi realtà produttiva, dalla PMI all’enterprise.
Che cosa bisogna fare? Ciascun vendor ha la propria “ricetta” per uscire dall’impasse, le leggerete nei contributi che ciascun vendor ha condiviso con Security Open Lab. In generale ci sono delle linee guida che si possono seguire. A partire dal fatto incontrovertibile che non si può improvvisare la security in ambiente industriale. È un tema da conoscere in maniera approfondita per poter mettere mano all’infrastruttura garantendo benefici e non guai: bisogna affidarsi a personale esperto e competente che conosca i protocolli industriali, la direttiva europea NIS2, il modus operandi e gli obiettivi degli attaccanti.
Detto questo, qualsiasi soluzione di protezione dovrebbe partire da un risk assessment che inventaria tutti gli asset (non si può proteggere qualcosa di cui si ignora l’esistenza) e ne individua le criticità. Non è un semplice elenco della spesa: un esperto sa quali sono gli obiettivi attaccati più di frequente in un settore produttivo piuttosto che in un altro, e alla luce di questo sa che cosa mettere in sicurezza prioritariamente e che cosa rimandare a un momento successivo. Così facendo si ottiene una prospettiva di spesa e un piano d’azione sviluppato nel tempo.
In seconda battuta è vitale una considerazione. Lo skillgap di cui si fa tanto parlare in ambito IT è addirittura amplificato all’ennesima potenza in campo OT, quindi l’automazione diventa vitale ai fini di una difesa efficace. Intelligenza Artificiale e Machine Learning possono analizzare la rete a velocità macchina e individuare i comportamenti anomali, alzando di molto il livello di protezione e risparmiando molto lavoro di routine agli analisti in carne e ossa.
Sempre nell’ottica della semplificazione, attenzione al numero di console per la sicurezza: più sono, più la visibilità scende e più aumentano le chance per gli attaccanti di andare a segno. Sono molti oggi i vendor che dispongono di soluzioni unificate IT e OT: è un’opzione da considerare per ridurre la complessità e crearsi un vantaggio strategico che è prezioso quando si è sotto attacco.
Ultimo ma non meno importante, per la sicurezza OT è indispensabile un cambio di approccio nella mentalità di gestione. Un tempo OT e IT erano due mondi separati e non comunicanti e la sicurezza OT era garantita dal semplice fatto che era una realtà chiusa e isolata. Oggi non è più così, il che implica che le stesse minacce che affliggono l’IT possono mettere in ginocchio un impianto produttivo, possono partire dall’IT e contaminare l’OT o viceversa. Chi gestisce IT e OT deve quindi comunicare, lavorare fianco a fianco con l’obiettivo comune di difendere l’azienda dagli attacchi.