di Enzo Maria Tieghi, CEO di ServiTecno e membro del Comitato Scientifico di Clusit
Qual è la percezione del rischio OT/ ICS Cyber nelle aziende? Come vengono fissati i confini tra sistemi OT, IT e sistemi esterni? In che modo le contromisure di Sicurezza OT/ICS sono adottate? Dove si posiziona la Cybersecurity per la convergenza OT/IT? A queste domande – e a molte altre – si possono trovare alcune risposte nella nuova edizione del “SANS 2019 State of OT/ICS Cybersecurity Survey” pubblicato a giugno 2019 e curato da Barbara Filkins.
Tra i 338 intervistati a livello globale, oltre il 50% ha valutato il livello di rischio cyber OT/ICS della propria azienda come critico o alto. È un dato in calo rispetto al 69% dell’ultimo sondaggio, condotto nel 2017: questo potrebbe sembrare un po’ sorprendente, visto l’aumento di attacchi informatici e violazioni dei dati (come anche segnalato dalle analisi di CLUSIT).
Questi numeri indicano che le aziende sono più coinvolte e che sul tema della cybersecurity in ambito OT/ICS le aziende stanno diventando più mature ed il livello di rischio è valutato come inferiore rispetto al passato.
Allo stesso tempo, tuttavia, la sfida per proteggere i sistemi OT/ICS si sta allargando quanto le dimensioni della superficie di attacco: i confini di reti e sistemi OT/ICS sono sempre più ampi in quanto “… connessi e interdipendenti, e si scambiano anche dati e informazioni con una miriade di altri sistemi e processi”.
Il rapporto sottolinea che alcune applicazioni mobili stanno sostituendo le applicazioni di workstation di ingegneria, quindi il loro livello di rischio dovrebbe essere trattato a un livello più alto.
Inoltre, l’uso di dispositivi mobili e del wireless è sempre più diffuso per trasferire i dati dai sensori a reti ed operatori di impianto: ciò aumenta ulteriormente la superficie di attacco ed espone a gravi conseguenze se compromessa.
Indice degli argomenti
Il rischio più grosso? Sempre le persone!
Il rischio, ovviamente, guida l’approccio delle organizzazioni alla sicurezza dei sistemi OT/ICS: circa 50% degli intervistati giudica il livello del rischio cyber OT/ICS come alto/critico se riferito al profilo di rischio complessivo della propria azienda.
Le persone (62%) presentano il maggior rischio per la compromissione di sistemi OT/ICS; questo non sorprende, perché l’elemento umano è quasi sempre al centro di incidenti e delle violazioni alla cybersecurity. Abbiamo poi, seguiti piuttosto lontano la tecnologia (22%) e il processo (14%).
Il report solleva un’interessante domanda sul perché il processo come categoria di rischio non sia superiore, possibilmente superiore alla tecnologia. La progettazione e l’implementazione del processo industriale rappresentano elementi chiave nelle scelte e implementazioni delle architetture OT/ ICS e delle tecnologie da utilizzare.
Le persone rappresentano un’ampia categoria di rischio, che comprende esterni e attori interni, con azioni intenzionali (dannose e sabotaggi) e non intenzionali (accidentali, errori ed incuria).
OT/ICS Security by Visibility
Avere una chiara visibilità su ciò che avviene nella rete di fabbrica e sui dispositivi OT/ICS è un elemento fondamentale di un robusto programma di cybersecurity. Inoltre, la necessità di definire e proteggere il confine tra IT e OT include la necessità di visualizzare e monitorare le risorse di sistema all’interno del perimetro.
Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” indica una crescente richiesta per una maggiore visibilità di asset cyber dei sistemi di controllo: questa è una tendenza per i prossimi 12-18 mesi.
In effetti, la necessità di identificare le risorse all’interno di una rete di controllo industriale è un fattore chiave per molte aziende industriali e Utility.
Per esperienza abbiamo visto che non è insolito per il team chiedere ed effettuare un Proof of Concept (PoC) per fare “Asset Discovery” e “Vulnerability Assessment”: al primo incontro i responsabili indicano che sulla propria rete di fabbrica hanno connesso, diciamo 200-300 dispositivi.
Poi, quando il tool di individuazione degli asset viene installato, si identificano rapidamente oltre 5-600 dispositivi (a volte anche molti di più!)
E dopo diverse installazioni, è quindi normale scoprire una grande discrepanza tra il numero di dispositivi connessi percepiti rispetto al numero reale.
Sfida delle persone e convergenza IT / OT
Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” mette in luce le sfide per le persone coinvolte ed il miglioramento della cybersecurity OT/ICS: è interessante notare che le organizzazioni stanno aumentando lo staff di personale interno per i loro programmi di cybersecurity. È un altro indicatore della maturazione dei processi che circondano la cybersecurity industriale.
La cybersecurity interna OT richiede che IT e OT lavorino insieme, anche se allineare le priorità e assicurare la cooperazione e la comunicazione tra i team non è tuttavia semplice.
Secondo i risultati del sondaggio SANS, l’IT assume un ruolo guida nella gestione della politica di sicurezza aziendale e nell’attuazione dei controlli necessari, anche nel dominio dell’OT, mentre OT spesso controlla il budget per la salvaguardia dei sistemi OT/ICS stessi.
Gli obiettivi di questi due domini non sono ben allineati: la governance IT e la gestione dei rischi si concentra sulla continuità, sulla protezione delle informazioni e della reputazione (privacy e GDPR), mentre OT si concentra sulla Safety e affidabilità dei processi cyber-fisici in produzione.
Per garantire la collaborazione e ridurre i rischi per l’organizzazione, è necessaria una comprensione comune di questi concetti chiave.
I budget di spesa per la cyber security IT e OT/ICS
Dal 2017, i budget per la sicurezza di OT/ICS sono cambiati dall’essere principalmente condivisi tra IT e OT, ad oggi dove:
- Il 48,7% degli intervistati ha dichiarato che il proprio budget è controllato da OT, con un aumento del 18% dal 2017
- Il 31,6% degli intervistati ha dichiarato che il budget è controllato dall’IT, con un aumento del 14,5% rispetto al 2017
- Il 29,4% degli intervistati ha dichiarato che il controllo del budget è ancora condiviso tra IT / OT, in calo del 9,1% dal 2017
Quando il budget è detenuto da uno o dall’altro, è essenziale che i gruppi lavorino insieme per dare priorità alle persone, ai processi e alle misure tecnologiche che saranno al centro di un piano annuale di miglioramento della cybersecurity.
Quali le prime scelte per la protezione di reti e sistemi OT/ICS?
Ecco alcune indicazioni sui trend (dal campione della Survey) per le scelte fatte e da fare per il 2019 per migliorare la sicurezza dei sistemi OT/ICS:
- Al primo posto, i tool per aumentare la visibilità su asset e configurazioni di sistemi OT/ICS (45,5%)
- Fare security Assessment e/o audit su sistemi e reti OT/ICS (37,3%)
- Investire in programmi di cybersecurity awareness/training che includano OT/ICS (29,5% e 29,1%)
- Installare tool per anomaly/intrusion detection su reti e sistemi OT/ICS (28,3%)
Come si vede un mix di attività da fare e tool da implementare per rafforzare in modo consistente la protezione dal rischio cyber di reti e sistemi di fabbrica e impianto, sia nell’industria che nelle utility.
Quali gli standard e best practices più utilizzati per proteggere OT/ICS?
Riguardo a framework e regolamentazioni di riferimento per la OT/ICS cyber security abbiamo la conferma come prima scelta del NIST CSF (Cyber Security Framework) menzionato dal 38,1% degli intervistati.
Abbiamo poi menzionati tra i più utilizzati le ISO2700x, NIST SP800-53, NIST SP800-82m ed ISA/IEC62443. Interessante il “debutto nell’elenco della Direttiva NIS europea con un 8,3%.
IT e OT/ICS, come lavorare insieme
Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” è un documento prezioso per tutti quelli che si occupano di sicurezza OT/ICS e probabilmente può aiutare a chiedere ed ottenere impegno e budget più forti da parte del Management delle Aziende: con le sue analisi infatti ci indica dove si trovano le difficoltà, ricordandoci che la nostra Azienda non è l’unica organizzazione alle prese con la sfida di migliorare la resilienza informatica operativa e la cybersecurity OT/ICS.
