A cura di Michele Onorato – Security Office Manager di Hitachi Systems CBT
Il mercato industriale è in forte evoluzione: gli impianti produttivi sono sempre più digitali e interconnessi, si avvalgono dei big data per analizzare i dati e avere una visione da diverse prospettive. Si parla, a tal proposito, di quarta rivoluzione industriale, sostenuta da un piano Industry 4.0, che porterà a una produzione industriale sempre più automatizzata ed efficiente, grazie all’interconnessione dei sistemi produttivi e dei prodotti stessi.
Essendo l’Italia il secondo paese manifatturiero in Europa, ciò provocherà un profondo cambiamento nel nostro paese..
Pensare di affrontare tutti i temi di sicurezza dei sistemi industriali con lo stesso approccio e la stessa metodologia utilizzata fino a oggi sarebbe un errore imperdonabile.
L’integrità del dato può poi essere ottenuta solo adottando soluzioni pensate, disegnate e sviluppate tenendo in considerazione l’intero suo ciclo di vita. Inoltre, sono indispensabili la tracciabilità degli accessi e una precisa registrazione in caso di correzione o variazione dei dati stessi.
Ne consegue quindi che per “fare security” in ambito industriale devono essere previste soluzioni e approcci mirati, da integrare a quanto già previsto per la cybersecurity aziendale. Specifiche devono essere anche le competenze richieste, per capire e quindi proteggere in modo adeguato le applicazioni OT in reti di automazione, controllo e telecontrollo dai rischi informatici nell’industria e nelle Infrastrutture Critiche.
Oggi il mondo industriale sottovaluta il pericolo in cui incorre rispetto alla portata delle minacce a cui gli impianti sono sottoposti e le aziende molto spesso non sono nemmeno a conoscenza di aver subito attacchi.
Ciò conferma che esiste una mancanza di consapevolezza dei rischi a cui gli asset aziendali sono sottoposti e che manca un approccio strutturato per valutare i rischi informatici o di altre categorie e la individuazione di misure di sicurezza da inserire all’interno della propria infrastruttura IT e degli impianti industriali in base alla criticità e al valore degli asset aziendali.
Il dato più preoccupante è che la maggior parte delle vulnerabilità oggi note e maggiormente diffuse possono essere sfruttate senza disporre di competenze particolari e soprattutto che più della metà di tali vulnerabilità ha un livello di rischio critico o alto.
È quindi necessario intervenire ridefinendo l’approccio alla problematica, che vada oltre le competenze specifiche dei due mondi IT e OT, che ormai non viaggiano più su binari paralleli.
Vi sono poi tutta una serie di azioni per la sicurezza che anche il mondo IT, ritenuto tendenzialmente più maturo, fa ancora fatica a realizzare nelle aziende; ormai è imprescindibile che tali azioni siano implementate e che lo si faccia in modo trasversale, coinvolgendo anche il mondo OT.
Tra queste, la più importante è ripensare il modello organizzativo, attribuendo le responsabilità di sicurezza a un appropriato livello gerarchico che possa garantire la necessaria indipendenza decisionale rispetto alle specifiche esigenze dei responsabili dei settori IT e OT.
In secondo luogo, è necessario implementare un processo di Risk Management che preveda come attori il business, l’Information Technology e le operation industriali; orientare la gestione della sicurezza sulla base dei rischi è fondamentale per potersi adeguare alle nuove compliance europee (GDPR, NIS, …), in vigore proprio da questo anno.
L’orientamento risk based deve essere pertanto esteso a tutti gli attori che partecipano alla progettazione, al disegno, all’implementazione e alla maintenance di impianti e relativi sistemi di protezione.
È infine necessario adottare criteri di protezione by design e monitorare costantemente la sicurezza aziendale, integrando e correlando le fonti di informazioni dei mondi IT e OT, per essere a conoscenza dello stato dei propri asset e per individuare e mettere in campo le giuste azioni a fronte di un attacco. È ormai dimostrato ampiamente come la capacità di reagire tempestivamente a una violazione possa minimizzarne in modo significativo le conseguenze. La complessità, in questo caso, sta nel riuscire a interpretare correttamente i diversi “idiomi” degli apparati che forniscono informazioni sullo stato dei sistemi IT e OT. Di nuovo, passare da un approccio “settoriale” a un modello convergente non è una scelta, ma una necessità.