Cyber security dei sistemi industriali: le aziende sono più mature, ma il rischio resta molto alto

di Enzo Maria Tieghi, CEO di ServiTecno e membro del Comitato Scientifico di Clusit

Qual è la percezione del rischio OT/ ICS Cyber nelle aziende? Come vengono fissati i confini tra sistemi OT, IT e sistemi esterni? In che modo le contromisure di Sicurezza OT/ICS sono adottate? Dove si posiziona la Cybersecurity per la convergenza OT/IT? A queste domande – e a molte altre – si possono trovare alcune risposte nella nuova edizione del “SANS 2019 State of OT/ICS Cybersecurity Survey” pubblicato a giugno 2019 e curato da Barbara Filkins.

Tra i 338 intervistati a livello globale, oltre il 50% ha valutato il livello di rischio cyber OT/ICS della propria azienda come critico o alto.  È un dato in calo rispetto al 69% dell’ultimo sondaggio, condotto nel 2017: questo potrebbe sembrare un po’ sorprendente, visto l’aumento di attacchi informatici e violazioni dei dati (come anche segnalato dalle analisi di CLUSIT).


Questi numeri indicano che le aziende sono più coinvolte e che sul tema della cybersecurity in ambito OT/ICS le aziende stanno diventando più mature ed il livello di rischio è valutato come inferiore rispetto al passato.

Allo stesso tempo, tuttavia, la sfida per proteggere i sistemi OT/ICS si sta allargando quanto le dimensioni della superficie di attacco: i confini di reti e sistemi OT/ICS sono sempre più ampi in quanto “… connessi e interdipendenti, e si scambiano anche dati e informazioni con una miriade di altri sistemi e processi”.


Il rapporto sottolinea che alcune applicazioni mobili stanno sostituendo le applicazioni di workstation di ingegneria, quindi il loro livello di rischio dovrebbe essere trattato a un livello più alto.

Inoltre, l’uso di dispositivi mobili e del wireless è sempre più diffuso per trasferire i dati dai sensori a reti ed operatori di impianto: ciò aumenta ulteriormente la superficie di attacco ed espone a gravi conseguenze se compromessa.

Il rischio più grosso? Sempre le persone!

Il rischio, ovviamente, guida l’approccio delle organizzazioni alla sicurezza dei sistemi OT/ICS: circa 50% degli intervistati giudica il livello del rischio cyber OT/ICS come alto/critico se riferito al profilo di rischio complessivo della propria azienda.

Le persone (62%) presentano il maggior rischio per la compromissione di sistemi OT/ICS; questo non sorprende, perché l’elemento umano è quasi sempre al centro di incidenti e delle violazioni alla cybersecurity. Abbiamo poi, seguiti piuttosto lontano la tecnologia (22%) e il processo (14%).

Il report solleva un’interessante domanda sul perché il processo come categoria di rischio non sia superiore, possibilmente superiore alla tecnologia. La progettazione e l’implementazione del processo industriale rappresentano elementi chiave nelle scelte e implementazioni delle architetture OT/ ICS e delle tecnologie da utilizzare.

Le persone rappresentano un’ampia categoria di rischio, che comprende esterni e attori interni, con azioni intenzionali (dannose e sabotaggi) e non intenzionali (accidentali, errori ed incuria).

OT/ICS Security by Visibility

Avere una chiara visibilità su ciò che avviene nella rete di fabbrica e sui dispositivi OT/ICS è un elemento fondamentale di un robusto programma di cybersecurity. Inoltre, la necessità di definire e proteggere il confine tra IT e OT include la necessità di visualizzare e monitorare le risorse di sistema all’interno del perimetro.

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” indica una crescente richiesta per una maggiore visibilità di asset cyber dei sistemi di controllo: questa è una tendenza per i prossimi 12-18 mesi.

In effetti, la necessità di identificare le risorse all’interno di una rete di controllo industriale è un fattore chiave per molte aziende industriali e Utility.

Per esperienza abbiamo visto che non è insolito per il team chiedere ed effettuare un Proof of Concept (PoC) per fare “Asset Discovery” e “Vulnerability Assessment”: al primo incontro i responsabili indicano che sulla propria rete di fabbrica hanno connesso, diciamo 200-300 dispositivi.

Poi, quando il tool di individuazione degli asset viene installato, si identificano rapidamente oltre 5-600 dispositivi (a volte anche molti di più!)

E dopo diverse installazioni, è quindi normale scoprire una grande discrepanza tra il numero di dispositivi connessi percepiti rispetto al numero reale.

Sfida delle persone e convergenza IT / OT

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” mette in luce le sfide per le persone coinvolte ed il miglioramento della cybersecurity OT/ICS: è interessante notare che le organizzazioni stanno aumentando lo staff di personale interno per i loro programmi di cybersecurity.  È un altro indicatore della maturazione dei processi che circondano la cybersecurity industriale.

La cybersecurity interna OT richiede che IT e OT lavorino insieme, anche se allineare le priorità e assicurare la cooperazione e la comunicazione tra i team non è tuttavia semplice.

Secondo i risultati del sondaggio SANS, l’IT assume un ruolo guida nella gestione della politica di sicurezza aziendale e nell’attuazione dei controlli necessari, anche nel dominio dell’OT, mentre OT spesso controlla il budget per la salvaguardia dei sistemi OT/ICS stessi.

Gli obiettivi di questi due domini non sono ben allineati: la governance IT e la gestione dei rischi si concentra sulla continuità, sulla protezione delle informazioni e della reputazione (privacy e GDPR), mentre OT si concentra sulla Safety e affidabilità dei processi cyber-fisici in produzione.

Per garantire la collaborazione e ridurre i rischi per l’organizzazione, è necessaria una comprensione comune di questi concetti chiave.

I budget di spesa per la cyber security IT e OT/ICS

Dal 2017, i budget per la sicurezza di OT/ICS sono cambiati dall’essere principalmente condivisi tra IT e OT, ad oggi dove:

  • Il 48,7% degli intervistati ha dichiarato che il proprio budget è controllato da OT, con un aumento del 18% dal 2017
  • Il 31,6% degli intervistati ha dichiarato che il budget è controllato dall’IT, con un aumento del 14,5% rispetto al 2017
  • Il 29,4% degli intervistati ha dichiarato che il controllo del budget è ancora condiviso tra IT / OT, ​​in calo del 9,1% dal 2017

Quando il budget è detenuto da uno o dall’altro, è essenziale che i gruppi lavorino insieme per dare priorità alle persone, ai processi e alle misure tecnologiche che saranno al centro di un piano annuale di miglioramento della cybersecurity.

Quali le prime scelte per la protezione di reti e sistemi OT/ICS?

Ecco alcune indicazioni sui trend (dal campione della Survey) per le scelte fatte e da fare per il 2019 per migliorare la sicurezza dei sistemi OT/ICS:

  • Al primo posto, i tool per aumentare la visibilità su asset e configurazioni di sistemi OT/ICS (45,5%)
  • Fare security Assessment e/o audit su sistemi e reti OT/ICS (37,3%)
  • Investire in programmi di cybersecurity awareness/training che includano OT/ICS (29,5% e 29,1%)
  • Installare tool per anomaly/intrusion detection su reti e sistemi OT/ICS (28,3%)

Come si vede un mix di attività da fare e tool da implementare per rafforzare in modo consistente la protezione dal rischio cyber di reti e sistemi di fabbrica e impianto, sia nell’industria che nelle utility.

Quali gli standard e best practices più utilizzati per proteggere OT/ICS?

Riguardo a framework e regolamentazioni di riferimento per la OT/ICS cyber security abbiamo la conferma come prima scelta del NIST CSF (Cyber Security Framework) menzionato dal 38,1% degli intervistati.

Abbiamo poi menzionati tra i più utilizzati le ISO2700x, NIST SP800-53, NIST SP800-82m ed ISA/IEC62443. Interessante il “debutto nell’elenco della Direttiva NIS europea con un 8,3%.

IT e OT/ICS, come lavorare insieme

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” è un documento prezioso per tutti quelli che si occupano di sicurezza OT/ICS e probabilmente può aiutare a chiedere ed ottenere impegno e budget più forti da parte del Management delle Aziende: con le sue analisi infatti ci indica dove si trovano le difficoltà, ricordandoci che la nostra Azienda non è l’unica organizzazione alle prese con la sfida di migliorare la resilienza informatica operativa e la cybersecurity OT/ICS.

Franco Canna

Giornalista professionista ed esperto in creazione e gestione di contenuti digitali e social media. Grande appassionato di tecnologia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende. E’ segretario e membro del Consiglio Direttivo della sezione milanese di ANIPLA, l’Associazione Nazionale Italiana per l’Automazione.

Franco Canna ha 1043 articoli e più. Guarda tutti gli articoli di Franco Canna

2 pensieri riguardo “Cyber security dei sistemi industriali: le aziende sono più mature, ma il rischio resta molto alto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Pin It on Pinterest