Il panorama della cybersecurity sta evolvendo rapidamente e in questa evoluzione si moltiplicano anche le responsabilità dei CISO, investiti in maniera ancora più importante dalle recenti modifiche normative che li posizionano al centro del dibattito in materia di cybersecurity aziendale. Per le aziende che operano nel settore industriale, questo aspetto include la spesso trascurata sfera dei dispositivi e delle reti della tecnologia operativa (OT) e dell’internet delle cose (IOT). Con la convergenza di IT, IoT e OT, le linee di demarcazione di queste aree sono più labili che mai, rendendo la sorveglianza dei rischi non solo una best practice, ma una vera e propria necessità.
Mentre la maggior parte dei crimini informatici ha origine nella rete aziendale (IT), le potenziali conseguenze di attacchi che colpiscono le aree di produzione (OT) possono risultare estremamente gravi, con un impatto su salute, sicurezza e ambiente (considerando anche l’IoT; vale anche in contesti non strettamente manifatturieri). Il rischio dei danni potenziali ha finalmente attirato l’attenzione dei consigli di amministrazione, aumentandone la consapevolezza. Infatti, trascurare la sicurezza OT/IoT è un rischio che nessuna organizzazione può permettersi di correre. Il passaggio a un approccio basato sui rischi rappresenta un’evoluzione positiva, ma solleva questioni cruciali in merito alle responsabilità. Chi dovrebbe occuparsi di acquisto, implementazione e manutenzione delle soluzioni di sicurezza informatica all’interno di ambienti cyber-fisici spesso non familiari ai dipartimenti IT?
Spesso non si dispone di risorse in possesso al medesimo tempo sia delle conoscenze dei framework in materia di sicurezza IT che degli ambienti industriali, dei requisiti normativi e delle differenze tra la sicurezza IT e OT/IoT e dunque necessario disporre di un team dedicato appunto alla sicurezza di questi ultimi. Quest’ultimo deve occuparsi di tutte le questioni che vanno dallo sviluppo di politiche di cybersecurity per ingegneri, tecnici, operatori di processo e operatori delle sale di controllo OT (spesso di là da venire, talvolta pianificate ma non realizzate) sino alla creazione di piani di incident response concepiti appositamente per far fronte alle conseguenze degli attacchi alla sicurezza fisica degli ambienti OT.
Una soluzione può essere rappresentata dalla creazione di un “dream team” interfunzionale in grado di colmare il divario culturale tra OT e IT, promuovere l’adozione di nuove misure di sicurezza e, infine, assumersi la responsabilità della sicurezza OT a lungo termine.
Il ruolo del CISO: Executive Sponsor
All’interno dell’organigramma, il CISO risulta essere la figura più adeguata a gestire il rischio aziendale. Generalmente si tratta di professionisti che hanno decenni di esperienza nella valutazione e nell’implementazione di strategie di protezione, anche se magari e principalmente in ambienti IT. La maggior parte di loro riconosce che la sicurezza OT/IoT richiede un approccio diverso. Infatti, la semplice estensione delle tecnologie, delle politiche e dei controlli InfoSec esistenti a un ambiente di produzione industriale non può essere una risposta valida. Nel settore OT, le misure di sicurezza possono persino venir percepite come un ostacolo, se non addirittura una minaccia per la safety e l’affidabilità degli impianti.
Il patching, ad esempio, è spesso non praticabile a causa di protocolli nativamente non sicuri,”, o semplicemente perché non compatibile coi vincoli dell’ambiente produttivo e di contesto. Il monitoraggio della rete e dei dispositivi deve essere attuato con attenzione per evitare qualsiasi interruzione delle operazioni.
Data la responsabilità sui rischi aziendali e l’influenza che esercitano in tutti i settori tecnici e commerciali, i CISO rivestono naturalmente il ruolo di executive sponsor dei progetti di sicurezza OT. La loro guida è essenziale per fornire una direzione strategica, assicurare le risorse necessarie (sia umane che finanziarie), creare consapevolezza organizzativa, dimostrare l’impegno dell’azienda nella gestione del rischio, monitorare le tappe del progetto, gestire le escalation e comunicare i risultati ai dirigenti apicali ed al consiglio di amministrazione. Di conseguenza, il reclutamento del miglior team possibile per gestire le sfide della sicurezza OT deve diventare una delle principali priorità per il CISO.
Dream Team: più che semplici superstar
La squadra olimpica di pallacanestro maschile degli Stati Uniti del 1992, conosciuta anche come “Dream Team”, offre un’analogia preziosa. Pur essendo composta da superstar, il successo è dipeso dal contributo e dalla collaborazione di ciascun giocatore. Allo stesso modo, il dream team della sicurezza OT necessita di persone riconosciute per le loro competenze, in possesso di abilità complementari e disposte a collaborare efficacemente.
Un team ideale comprende direttori di impianti, ingegneri e operatori che conoscono le complessità dei sistemi di controllo industriale, anche se inizialmente scettici nei confronti delle misure di cybersecurity. Dal punto di vista informatico, sono necessari manager, analisti e amministratori di sicurezza e di rete, anche se non hanno esperienza in ambienti industriali. Per le industrie regolamentate, è fondamentale la presenza di risorse che si occupino della compliance e che possano valutare se le soluzioni soddisfano i requisiti di reporting e di rispondenza alle norme. Se uno o più di questi ruoli chiave manca, indubbiamente il rischio è un aumento delle sfide interne e, inevitabilmente, ritardi dei progetti.
Colmare il divario culturale: IT incontra OT
A differenza della maggior parte dei dipartimenti aziendali, il dream team della sicurezza OT deve affrontare un divario culturale significativo. Gli stakeholder OT spesso sono poco entusiasti rispetto all’adozione delle soluzioni di sicurezza a causa spesso di esperienze passate in cui le risposte focalizzate sull’IT hanno causato addirittura dei fermi produttivi.
Per superare questa resistenza, i team InfoSec devono apprendere, possibilmente da chi ha già esperienza nel campo, le peculiarità degli ambienti OT e procedere con cautela. Le principali peculiarità includono la prevalenza di dispositivi legacy con sistemi operativi obsoleti, finestre di manutenzione limitate (per non dire quasi nulle, talvolta) per i sistemi critici e l’adozione concettuale del modello Purdue per l’architettura di rete dei sistemi di controllo industriale.
Gli esperti OT, a loro volta, devono riconoscere la poca standardizzazione dei dispositivi e dei protocolli OT, la crescente minaccia di attacchi alle infrastrutture critiche e il valore aziendale della resilienza informatica. Inoltre, potranno apprezzare, tra gli altri, i vantaggi derivanti dal monitoraggio passivo e attivo selettivo, tra cui l’inventario automatizzato degli asset, il rilevamento di anomalie di processo, la possibilità di monitorare indipendentemente le variabili di processo e l’accesso ai dati per l’ottimizzazione dell’inventario.
Trovare il team leader naturale: la figura del Change Agent
Un dream team di successo ha bisogno di un leader forte con ottime capacità di comunicazione e di gestione del cambiamento. L’introduzione della sicurezza OT cambia il modo in cui gli operatori svolgono il loro lavoro, richiedendo nuove politiche, configurazioni e controlli. Il leader deve sostenere questi cambiamenti, risolvendo le problematiche e diventando un po’ una sorta di evangelizzatore e di champion di queste necessità all’interno dell’azienda,
Post-implementazione: il lavoro vero e proprio inizia da qui
Dopo aver adottato una soluzione di cybersecurity, l’attenzione si sposta sulla gestione a lungo termine. L’integrazione di dati di sicurezza OT/IoT nel SIEM o nella piattaforma di sicurezza IT esistente è fondamentale per la gestione del rischio aziendale. La formazione continua del SOC o dell’MSSP sulle sensibilità OT è essenziale per una risposta efficace agli incidenti.
Evitare le insidie: cosa abbiamo appreso
Non bisogna necessariamente muoversi da soli, anzi quando occorre è utile sfruttare le competenze esterne, che, lungi dall’essere ancora di dominio comune, sono comunque presenti sul mercato. Così come un aiuto è senz’altro fornito da standard consolidati (l’ISA/IEC 62443, per citarne solo uno)
Seguendo queste linee guida, si può dar vita a un dream team di successo per la sicurezza OT e proteggere la propria organizzazione da minacce informatiche in continua evoluzione e che ormai riguardano senza eccezioni anche il modo OT/IoT
A cura di Davide Ricci, Regional Sales Director di Nozomi Networks Italia.
