Cyber security dei sistemi industriali: le aziende sono più mature, ma il rischio resta molto alto

Secondo la nuova indagine del Sans Institute le persone rappresentano il maggior rischio per la compromissione di sistemi OT/ICS: l’elemento umano è quasi sempre al centro di incidenti e delle violazioni alla cybersecurity.

Pubblicato il 27 Giu 2019

security access

di Enzo Maria Tieghi, CEO di ServiTecno e membro del Comitato Scientifico di Clusit

Qual è la percezione del rischio OT/ ICS Cyber nelle aziende? Come vengono fissati i confini tra sistemi OT, IT e sistemi esterni? In che modo le contromisure di Sicurezza OT/ICS sono adottate? Dove si posiziona la Cybersecurity per la convergenza OT/IT? A queste domande – e a molte altre – si possono trovare alcune risposte nella nuova edizione del “SANS 2019 State of OT/ICS Cybersecurity Survey” pubblicato a giugno 2019 e curato da Barbara Filkins.

Tra i 338 intervistati a livello globale, oltre il 50% ha valutato il livello di rischio cyber OT/ICS della propria azienda come critico o alto.  È un dato in calo rispetto al 69% dell’ultimo sondaggio, condotto nel 2017: questo potrebbe sembrare un po’ sorprendente, visto l’aumento di attacchi informatici e violazioni dei dati (come anche segnalato dalle analisi di CLUSIT).

Questi numeri indicano che le aziende sono più coinvolte e che sul tema della cybersecurity in ambito OT/ICS le aziende stanno diventando più mature ed il livello di rischio è valutato come inferiore rispetto al passato.

Allo stesso tempo, tuttavia, la sfida per proteggere i sistemi OT/ICS si sta allargando quanto le dimensioni della superficie di attacco: i confini di reti e sistemi OT/ICS sono sempre più ampi in quanto “… connessi e interdipendenti, e si scambiano anche dati e informazioni con una miriade di altri sistemi e processi”.

Il rapporto sottolinea che alcune applicazioni mobili stanno sostituendo le applicazioni di workstation di ingegneria, quindi il loro livello di rischio dovrebbe essere trattato a un livello più alto.

Inoltre, l’uso di dispositivi mobili e del wireless è sempre più diffuso per trasferire i dati dai sensori a reti ed operatori di impianto: ciò aumenta ulteriormente la superficie di attacco ed espone a gravi conseguenze se compromessa.

Il rischio più grosso? Sempre le persone!

Il rischio, ovviamente, guida l’approccio delle organizzazioni alla sicurezza dei sistemi OT/ICS: circa 50% degli intervistati giudica il livello del rischio cyber OT/ICS come alto/critico se riferito al profilo di rischio complessivo della propria azienda.

Le persone (62%) presentano il maggior rischio per la compromissione di sistemi OT/ICS; questo non sorprende, perché l’elemento umano è quasi sempre al centro di incidenti e delle violazioni alla cybersecurity. Abbiamo poi, seguiti piuttosto lontano la tecnologia (22%) e il processo (14%).

Il report solleva un’interessante domanda sul perché il processo come categoria di rischio non sia superiore, possibilmente superiore alla tecnologia. La progettazione e l’implementazione del processo industriale rappresentano elementi chiave nelle scelte e implementazioni delle architetture OT/ ICS e delle tecnologie da utilizzare.

Le persone rappresentano un’ampia categoria di rischio, che comprende esterni e attori interni, con azioni intenzionali (dannose e sabotaggi) e non intenzionali (accidentali, errori ed incuria).

OT/ICS Security by Visibility

Avere una chiara visibilità su ciò che avviene nella rete di fabbrica e sui dispositivi OT/ICS è un elemento fondamentale di un robusto programma di cybersecurity. Inoltre, la necessità di definire e proteggere il confine tra IT e OT include la necessità di visualizzare e monitorare le risorse di sistema all’interno del perimetro.

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” indica una crescente richiesta per una maggiore visibilità di asset cyber dei sistemi di controllo: questa è una tendenza per i prossimi 12-18 mesi.

In effetti, la necessità di identificare le risorse all’interno di una rete di controllo industriale è un fattore chiave per molte aziende industriali e Utility.

Per esperienza abbiamo visto che non è insolito per il team chiedere ed effettuare un Proof of Concept (PoC) per fare “Asset Discovery” e “Vulnerability Assessment”: al primo incontro i responsabili indicano che sulla propria rete di fabbrica hanno connesso, diciamo 200-300 dispositivi.

Poi, quando il tool di individuazione degli asset viene installato, si identificano rapidamente oltre 5-600 dispositivi (a volte anche molti di più!)

E dopo diverse installazioni, è quindi normale scoprire una grande discrepanza tra il numero di dispositivi connessi percepiti rispetto al numero reale.

Sfida delle persone e convergenza IT / OT

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” mette in luce le sfide per le persone coinvolte ed il miglioramento della cybersecurity OT/ICS: è interessante notare che le organizzazioni stanno aumentando lo staff di personale interno per i loro programmi di cybersecurity.  È un altro indicatore della maturazione dei processi che circondano la cybersecurity industriale.

La cybersecurity interna OT richiede che IT e OT lavorino insieme, anche se allineare le priorità e assicurare la cooperazione e la comunicazione tra i team non è tuttavia semplice.

Secondo i risultati del sondaggio SANS, l’IT assume un ruolo guida nella gestione della politica di sicurezza aziendale e nell’attuazione dei controlli necessari, anche nel dominio dell’OT, mentre OT spesso controlla il budget per la salvaguardia dei sistemi OT/ICS stessi.

Gli obiettivi di questi due domini non sono ben allineati: la governance IT e la gestione dei rischi si concentra sulla continuità, sulla protezione delle informazioni e della reputazione (privacy e GDPR), mentre OT si concentra sulla Safety e affidabilità dei processi cyber-fisici in produzione.

Per garantire la collaborazione e ridurre i rischi per l’organizzazione, è necessaria una comprensione comune di questi concetti chiave.

I budget di spesa per la cyber security IT e OT/ICS

Dal 2017, i budget per la sicurezza di OT/ICS sono cambiati dall’essere principalmente condivisi tra IT e OT, ad oggi dove:

  • Il 48,7% degli intervistati ha dichiarato che il proprio budget è controllato da OT, con un aumento del 18% dal 2017
  • Il 31,6% degli intervistati ha dichiarato che il budget è controllato dall’IT, con un aumento del 14,5% rispetto al 2017
  • Il 29,4% degli intervistati ha dichiarato che il controllo del budget è ancora condiviso tra IT / OT, ​​in calo del 9,1% dal 2017

Quando il budget è detenuto da uno o dall’altro, è essenziale che i gruppi lavorino insieme per dare priorità alle persone, ai processi e alle misure tecnologiche che saranno al centro di un piano annuale di miglioramento della cybersecurity.

Quali le prime scelte per la protezione di reti e sistemi OT/ICS?

Ecco alcune indicazioni sui trend (dal campione della Survey) per le scelte fatte e da fare per il 2019 per migliorare la sicurezza dei sistemi OT/ICS:

  • Al primo posto, i tool per aumentare la visibilità su asset e configurazioni di sistemi OT/ICS (45,5%)
  • Fare security Assessment e/o audit su sistemi e reti OT/ICS (37,3%)
  • Investire in programmi di cybersecurity awareness/training che includano OT/ICS (29,5% e 29,1%)
  • Installare tool per anomaly/intrusion detection su reti e sistemi OT/ICS (28,3%)

Come si vede un mix di attività da fare e tool da implementare per rafforzare in modo consistente la protezione dal rischio cyber di reti e sistemi di fabbrica e impianto, sia nell’industria che nelle utility.

Quali gli standard e best practices più utilizzati per proteggere OT/ICS?

Riguardo a framework e regolamentazioni di riferimento per la OT/ICS cyber security abbiamo la conferma come prima scelta del NIST CSF (Cyber Security Framework) menzionato dal 38,1% degli intervistati.

Abbiamo poi menzionati tra i più utilizzati le ISO2700x, NIST SP800-53, NIST SP800-82m ed ISA/IEC62443. Interessante il “debutto nell’elenco della Direttiva NIS europea con un 8,3%.

IT e OT/ICS, come lavorare insieme

Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” è un documento prezioso per tutti quelli che si occupano di sicurezza OT/ICS e probabilmente può aiutare a chiedere ed ottenere impegno e budget più forti da parte del Management delle Aziende: con le sue analisi infatti ci indica dove si trovano le difficoltà, ricordandoci che la nostra Azienda non è l’unica organizzazione alle prese con la sfida di migliorare la resilienza informatica operativa e la cybersecurity OT/ICS.

Valuta la qualità di questo articolo

Franco Canna
Franco Canna

Fondatore e direttore responsabile di Innovation Post. Grande appassionato di tecnologia, laureato in Economia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende.

email Seguimi su

Articoli correlati

Articolo 1 di 5