Le imprese del settore industriale hanno registrato il maggior numero di incidenti di sicurezza rispetto a qualsiasi altro settore nel 2022 e, considerata l’infrastruttura sempre più connessa, gli attacchi ai loro sistemi di information technology (IT) continueranno a interferire con i processi operativi.
In molte imprese del settore industriale le apparecchiature di produzione sono state realizzate sottovalutando i rischi per la sicurezza. I progettisti di questi sistemi non avevano modo di prevedere che un giorno sarebbero potuti diventare obiettivi allettanti e quindi non hanno implementato una strategia di sicurezza in parallelo con il processo di digitalizzazione intrapreso. Ora però i sistemi industriali sono diventati interconnessi, sono stati collegati ai sistemi IT dell’organizzazione e di conseguenza si è presentato il problema della cybersecurity, con la comparsa di un approccio orientato alla rete.
Ma quali sono i principali vettori di attacco e le principali vulnerabilità di queste realtà?
I gruppi APT (Advanced Persistent Threat) costituiscono un pericolo significativo per questo tipo di aziende prese di mira per entrare in possesso dei loro dati, per interessi economici o politici. Uno dei principali fattori di vulnerabilità è costituito dalla mancata implementazione di tecnologia di sicurezza specifica per l’operational technology (OT). Molte aziende ritengono i loro sistemi impenetrabili ed irraggiungibili grazie all’air-gap o all’isolamento della rete, ma non è più così. I cybercriminali hanno molti modi per penetrare nelle reti ICS isolate. A fronte della sempre maggiore digitalizzazione, inoltre, queste stesse imprese hanno in corso progetti di modernizzazione per rendere i processi più rapidi e ottimizzare la manutenzione, grazie alla connettività, e questa convergenza senza controllo le rende un bersaglio ideale per i cybercriminali.
Tutto questo costituisce un ottimo stimolo anche per gli attaccanti meno sofisticati, come quelli che utilizzano i ransomware. Gli autori di attacchi ransomware, ad esempio, sanno che ci sono buone probabilità che la vittima paghi per evitare l’interruzione delle attività o la perdita di informazioni. Un’altra minaccia degna di nota è l’infezione involontaria attraverso campagne di hacking di massa: un worm, un virus, un crypto-miner o un info stealer che agisce di nascosto su un normale PC o computer da ufficio può danneggiare un sistema OT.
La convergenza tra i computer dell’area IT e i macchinari dell’area ICS introduce un rischio significativo dal momento che i cybercriminali hanno la possibilità di spostarsi tra sistemi che un tempo erano fisicamente isolati. Ecco alcune delle principali sfide per la sicurezza che si trova ad affrontare chi adotta la convergenza:
- Spesso non c’è un unico referente delle risorse IT e quelle di automazione, cosa che rende difficile la gestione delle risorse stesse, specialmente quando non ci sono confini chiari riguardo ai team IT e OT.
- Può essere difficile (o impossibile) monitorare contemporaneamente l’IT e l’OT, il che significa che gli hacker possono spostarsi liberamente tra le risorse IT e di automazione, compromettendo l’infrastruttura di un’organizzazione. Il tempo medio di rilevamento (MTTD) e quello di reazione (MTTR) possono raggiungere di conseguenza un livello inaccettabile.
- Il total cost of ownership (TCO) può essere eccessivamente elevato a causa della necessità di più tecnologie di sicurezza che gestiscono separatamente l’IT e l’OT.
Ormai le organizzazioni riconoscono la necessità di proteggere tutte le loro risorse e si è sviluppato un nuovo approccio alla cybersecurity: una sicurezza orientata alle risorse dei sistemi cyberfisici (CPS). Questo approccio include aree quali rilevamento e inventario, gestione delle vulnerabilità e gestione dell’accesso remoto. Ma l’OT è solo una parte dei sistemi CPS che le imprese industriali devono gestire: esistono anche i dispositivi IoT (Internet of Things) e IIoT (Industrial Internet of Things) che uniscono le due sfere dell’OT e dell’IT tramite Internet.
Kaspersky non solo è in grado di fornire una piattaforma XDR (Extended Detection and Response) nativa per le imprese industriali, appositamente progettata e certificata per proteggere apparecchiature, risorse e reti OT critiche dalle cyber-minacce ma ha anche un team di esperti di sicurezza industriale, il Kaspersky ICS CERT, che analizza la telemetria proveniente da più di un milione e mezzo di computer OT in tutto il mondo, osservando le nuove tendenze nel panorama delle minacce per l’OT e potendo reagire in modo tempestivo in caso di cambiamenti. Kaspersky può contare su 30 esperti tra ricerca su vulnerabilità e minacce OT, incident response e analisi di sicurezza che hanno segnalato e analizzato diverse centinaia di minacce zero-day in prodotti e tecnologie ICS, IIoT e inerenti ai trasporti dei fornitori leader del settore in tutto il mondo.
Le imprese del settore industriale stanno iniziando a capire che devono adottare un approccio alla cybersecurity di livello enterprise, gestendo contemporaneamente l’IT e l’OT. Oggi come oggi, le differenze funzionali tra i due ambiti costituiscono un ostacolo. Sia a livello di progettazione che di funzionalità, i requisiti dei sistemi di automazione gravano sui team degli addetti alla sicurezza IT a un livello che non va sottovalutato. L’obiettivo di ridurre i rischi e migliorare la sicurezza può essere ottenuto adottando una strategia di sicurezza integrata. Infine, l’intelligence sulle minacce specifica per questo tipo di aziende consente l’identificazione proattiva e la mitigazione di vulnerabilità e minacce per gli ambienti OT, riducendo così i fattori di rischio per la cybersecurity.