Le aziende produttive devono decidere quali rischi sui dati possono accettare e le priorità d’investimento nella sicurezza OT per rimanere in equilibrio.
La tecnologia operativa (OT) è un termine generico che si riferisce all’uso dell’IT per gestire dispositivi, macchinari e processi in ambienti industriali. Le statistiche raccontano che gli attacchi informatici hanno successo facile sui spesso datati sistemi OT della PMI italiana. Ecco perché OT richiede una attenta gestione dei rischi da parte dell’IT-Manager e dell’imprenditore.
I rischi sono legati ai tre obiettivi: 1) riservatezza, 2) integrità, 3) disponibilità. Quest’ultimo ha priorità maggiore nelle aziende produttivo/manifatturiere poiché i sistemi devono funzionare 24 ore su 24, 7 giorni su 7. I dati sui recenti attacchi contro OT sottolineano dicono che essi sono sempre più sofisticati che più mirati, alcuni esempi del 2020: ransomware che ha paralizzato la produzione, trojan per esfiltrare le informazioni dai dispositivi, sistemi SCADA presi di mira.
Quando consideriamo come misurare i rischi operativi per consentire la definizione delle priorità d’intervento, generalmente si consiglia l’approccio quantitativo che definisce l’impatto e la probabilità dei rischi aziendali, ed infine indica l’impatto finanziario consentendo una chiara definizione delle priorità.
Come valutare la cyber posture OT
Le tecniche alternative per la valutazione della cyber posture aziendale riferita ai sistemi OT possono essere tre:
Vista avversario (da esterno verso interno)
Valutazioni dei rischi (da interno verso esterno)
Sicurezza di terze parti
Vista avversario (da esterno verso interno)
Una tecnica per giudicare la posizione di sicurezza delle informazioni di un’azienda è chiamata OSINT (intelligenza open source). OSINT è offerto da terze parti e dovrebbe essere combinato regolarmente con feed di intelligence sulle minacce tecniche di terze parti. Offre approfondimenti sui dati trapelati (ad esempio, documenti interni, regolamento generale sulla protezione dei dati, credenziali di accesso degli utenti), configurazioni di sistemi IT e OT (ad esempio, test di resilienza del sistema, repository di risorse e funzionalità di rilevamento delle minacce, Switched Port Analyzer) e altre informazioni, come le interazioni sui social network dei dipendenti. Aiuta l’esperto di sicurezza delle informazioni a vedere come un utente malintenzionato può utilizzare le informazioni visibile dall’esterno per un attacco. Una azienda leader nella cyber-intelligence è l’israeliana R-MOR.
Valutazioni dei rischi (da interno verso esterno)
Le valutazioni dei rischi per la sicurezza delle informazioni sono tra gli strumenti più antichi e conosciuti. Per le valutazioni del rischio delle classiche configurazioni IT e cloud, vengono comunemente utilizzati standard quadro come ISO27000 e NIST.
Sicurezza di terze parti
Gli ambienti OT dipendono da prodotti e manutenzione di terze parti. Tuttavia, la maggior parte dei fornitori dei componenti OT non ha ancora sviluppato soluzioni ad-hoc ed affidabili per la sicurezza informatica dei propri sistemi. Anche gli standard che stanno nascendo in diversa parti del mondo non sono ancora maturi e non hanno raggiunto una ampia diffusione.
Conclusioni
Per rendere gli ambienti OT resilienti ai rischi per la sicurezza, è fondamentale superare la visione isolata e la gestione separata dell’OT. Gli IT-Manager ed i Cyber-specialist aziendali devono mantenere la protezione delle parti più preziose e critiche della catena del valore aziendale facendo leva su fattori umani, di processo e tecnici. Il processo per una PMI o enterprise produttiva spesso inizia con una “current state analysis” realizzato da aziende specializzate, come l’israeliana R-MOR, in grado di realizzare una mappatura automatizzata di asset esposti e vulnerabili da qualsiasi fonte, luogo e momento. La missione di R-MOR è fornire una soluzione per la raccolta, l’analisi e la presentazione di minacce utilizzabili e verificabili causate all’azienda dalla esposizione digitale. Nello specifico fornisce:
Raccolta dati: il nostro sistema raccoglie tutti i dati rilevanti per i sistemi, l’infrastruttura, i dispositivi IoT del cliente.
Analytics: la nostra piattaforma raccoglie tutte le informazioni esposte digitalmente in un processo passivo, non invasivo e automatizzato. Partendo da un input di informazioni di base (come l’URL), R-MOR scansionerà qualsiasi risorsa digitale esposta che abbia un potenziale impatto sulla sicurezza fisica.
Identificare gli exploit: l’ultima fase del processo è correlare le vulnerabilità esistenti e confermate con gli exploit potenziali e probabili che potrebbero mettere a rischio il funzionamento del cliente.
Reporting e Alerting: i risultati sono raccolti in un report completo che include una dimostrazione visiva dei vettori identificati di attacchi e exploit correlati. Inoltre, è nostro impegno fornire avvisi di sicurezza su base continuativa.