La pandemia ha insegnato a tutti noi come essere resilienti e adattarsi rapidamente, specialmente a coloro che lavorano nel settore IT o OT negli aeroporti di tutto il mondo. A seconda delle diverse aree geografiche, i recenti shock non includono solo la pandemia, ma anche eventi meteorologici estremi, restrizioni di volo dovute alla guerra e prezzi del gas alle stelle. Tutto ciò ha compresso i margini e ha richiesto una maggiore efficienza, pur fornendo livelli di servizio più alti.
Allo stesso tempo, è cresciuta la pressione per migliorare la sicurezza informatica. L’aumento dei cyberattacchi ha obbligato i dirigenti aeroportuali a tenere il passo con i nuovi regolamenti e al miglioramento degli standard per mitigare il rischio.
Come si fa a navigare in tutti questi cambiamenti mantenendo la continuità del servizio e migliorando la resilienza informatica? Diamo un’occhiata alle sfide di sicurezza affrontate dagli aeroporti e a come una aerostazione globale tra le prime cinque al mondo li ha affrontati.
Gli aeroporti devono far fronte a condizioni di business molto diverse e a minacce informatiche sempre più gravi. La visibilità nei sistemi OT/IoT, così come la vulnerabilità e il monitoraggio della sicurezza, sono necessari per garantire resilienza informatica e operativa.
Visibilità su sottosistemi aeroportuali complessi, diversi e dispersim
Un aeroporto ha decine di sottosistemi con un numero enorme di endpoint, fornitori e funzioni. Tutti questi sistemi presentano una vasta superficie di attacco esposta a milioni di passeggeri, migliaia di dipendenti e centinaia di fornitori.
Presso uno dei nostri clienti, uno dei primi 5 aeroporti al mondo, la fase 1 del progetto comprendeva i seguenti sistemi:
| Air OS CCTV Fire Lighting control | Baggage handling Catering Gate operating Public address | Building management Emergency In-house logistics X-ray |
Primo obiettivo dell’implementazione è stato catturare il traffico di rete per fornire visibilità ai sottosistemi. Quasi venti sensori Guardian sono stati installati in tre terminali. Una varietà di sensori fisici, virtuali e di container, disponibili per diversi volumi di nodi ed elementi di rete, sono stati utilizzati per soddisfare le caratteristiche dei vari sottosistemi.
La cooperazione IT/OT è stata facilitata dal fatto che i sensori analizzano il traffico di rete passivamente, non comportando alcun rischio operativo.
Sono state utilizzate più console di gestione centrale (CMC) per aggregare i dati secondo le esigenze di supervisione dell’aeroporto. Il risultato è stato una visibilità consolidata in circa 20 sottosistemi con 100.000 nodi. I benefici includono una riduzione del 90% del tempo di visibilità, un inventario automatizzato delle risorse, diagrammi di flusso dei dati accurati e una consapevolezza situazionale notevolmente migliorata.
La soluzione Nozomi Networks fornisce visibilità e sicurezza a una vasta gamma di sottosistemi aeroportuali e si adatta facilmente a soddisfare i requisiti di grandi risorse e sistemi.
Una cybersecurity che scala e si integra con i sistemi IT
I sistemi complessi, diversi e dispersi di un aeroporto rappresentano un’enorme superficie di attacco per gli attori delle minacce che continua a intensificare i propri sforzi, con il potenziale di avere un impatto non solo sulle reti IT. I sistemi aeroportuali principali potrebbero essere compromessi e, nel peggiore dei casi, bloccati o messi offline per proteggerli.
Requisito chiave per la sicurezza di un aeroporto è il rilevamento delle minacce. La soluzione di Nozomi Networks rileva malware e IOC combinando diverse tipologie di rilevamento delle minacce OT/IoT/IT e ricevendo informazioni continuamente aggiornate su minacce e risorse.
La soluzione identifica rapidamente e passivamente le vulnerabilità in una vasta gamma di sottosistemi. I suoi dashboard e report aiutano a dare priorità e ad affrontare il rischio di vulnerabilità in modo efficiente.
Per molte organizzazioni, compreso un cliente dell’aeroporto, la gestione della sicurezza richiede l’integrazione dei dati OT/IoT nell’infrastruttura IT. In questo caso, le informazioni di sicurezza operative e contestuali mancanti sono state integrate con i sistemi SIEM e SOC dell’aeroporto, compreso un data lake.
Il risultato è stato un’analisi che includeva dati IT/OT/IoT completi, con conseguente miglioramento del processo decisionale. L’aeroporto è stato in grado di migliorare la resilienza informatica, soddisfare i KPI di sicurezza e mantenere i sistemi in funzione, gestendo il rischio informatico mentre innovava e integrava nuove tecnologie.
Mantenersi in linea con le sfide di cybersecurity negli aeroporti
È facile citare i risultati una volta che il lavoro è stato fatto, ma è importante riconoscere lo sforzo necessario per fare un cambiamento significativo. Per l’aeroporto qui descritto, le sfide da superare sono state molte. Per esempio, alcuni dei sottosistemi sono gestiti da terzi, ed è stata necessaria una quantità significativa di comunicazione e coordinamento per ottenere l’accesso al traffico di rete per il monitoraggio e l’analisi.
Alcuni sistemi da monitorare usavano protocolli proprietari specializzati. Fino a quando la documentazione e i dati non sono stati forniti per consentire un’analisi profonda del protocollo la visibilità era limitata ai flussi di dati e all’identificazione dei percorsi del traffico.
Il coordinamento dei molti team coinvolti nell’implementazione e l’integrazione con i sistemi di terze parti richiedeva un’attenzione particolare per assicurare un progresso continuo. Una forte leadership esecutiva e una gestione esterna del progetto hanno facilitato l’avanzamento.
