Industrial Cybersecurity: buone idee e falsi miti

Tempo di Lettura: 8 minuti - Livello di Difficoltà: avanzato

In molte aziende manifatturiere i processi legati alla Industrial Cybersecurity faticano tutt’oggi a decollare; questo per una serie di motivi, fra cui spiccano la mancanza di consapevolezza del rischio al vertice, la complessità delle reti OT, e la mancanza di risorse, umane o finanziarie.

Se riconosci il tuo contesto aziendale in almeno uno di questi casi, e pensi di non intervenire, leggi qui l’anteprima della nostra guida inedita alla Industrial Cybersecurity. Forse potresti cambiare idea.

Cosa ti frena dall’iniziare a trattare la Cybersecurity OT in azienda?

Tempo a disposizione? Costi? Priorità? Competenze e organizzazione? O magari tutti questi fattori.

Nonostante le difficoltà iniziali, sono numerose le realtà che questi ostacoli sono riuscite a superarli. Ti accorgerai che, talvolta, consolidare il buon uso delle pratiche di sicurezza è tutto ciò che serve, ma altre volte sarà necessario cambiare prospettiva in fatto di metodi e soluzioni per la protezione delle reti OT. Se accetti la sfida, continua a leggere questo articolo.

 

Vuoi scaricare la guida completa alla Industrial Cybersecurity?

 

Scopri l’indice e richiedi la tua copia

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Alcune delle credenze più comuni in merito alla Industrial Cybersecurity suggeriscono che:

1) I sistemi che non comunicano con l’esterno non sono vulnerabili agli attacchi cyber

Se i vostri sistemi non comunicano con l’esterno sappiate che il problema della cybersecurity esiste comunque. Anche i sistemi non comunicanti potrebbero essere soggetti ad attacco fisico, a malware, oppure ad attacchi DoS (Denial-of-Service), capaci di controllare il sistema o di rendere il traffico dati inutilizzabile.

I rischi di sicurezza informatica sono quindi ineludibili, ed è essenziale mitigarli implementando misure di sicurezza appropriate per la protezione dell’infrastruttura OT, anche quando i sistemi non comunicano con l’esterno.

 

Leggi l’articolo:

 

2) Bastano procedure stringenti sull’uso dei pc in fase di supporto remoto o di produzione per bloccare gli attacchi cyber

Se pensate che avere delle procedure ben definite sull’uso dei pc in fase di supporto remoto o di produzione, con dispositivi isolati che non consentono l’esecuzione di software non autorizzato, sia la soluzione, avete ragione (in parte): è senza dubbio una ottima posizione di partenza.

Ma resta importante far sì che i dispositivi utilizzati per il supporto remoto e per la produzione siano protetti dagli attacchi informatici senza esclusioni.

 

Un suggerimento in più:

 

3) I prodotti di sicurezza di ultima generazione proteggono i sistemi OT in modo infallibile

I prodotti di sicurezza di ultima generazione offrono senza dubbio un buon livello di sicurezza, ma potrebbero non essere in grado di proteggere i sistemi industriali in modo ineccepibile. Per questo sono consigliate alcune misure aggiuntive:

 

Vuoi scaricare la guida completa alla Industrial Cybersecurity?

 

Scopri l’indice e richiedi la tua copia

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

4) Per il successo della cybersecurity in ambito macchine è sufficiente adottare le pratiche dell’IT

No, non lo è. L’ambiente IT e quello OT sono assai diversi fra loro, e, in particolare, le reti OT sono più vulnerabili alle minacce legate, ad esempio, al funzionamento degli impianti e alle ripercussioni sulla sicurezza fisica degli operatori.

Per questo, i metodi e le misure di sicurezza IT possono rivelarsi insufficienti per proteggere l’infrastruttura OT, in quanto i più diffusi firewall o antivirus IT non sono progettati per proteggere i processi industriali.

 

Le best practices che consigliamo di adottare per la Cybersecurity OT fanno capo allo standard IEC 62443.

IEC 62443 è il riferimento internazionale più referenziato per la sicurezza dei sistemi di controllo industriale, nato venti anni fa ad opera di un gruppo di volontari dell’industria facenti parte del comitato SP99, istituito da ISA, International Society of Automation. La norma è stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale, da cui prende la denominazione originale ISA 99/IEC 62443.

La norma IEC 62443 suggerisce lo strumento dell’analisi del rischio informatico come punto di inizio fondamentale. Questo, descritto in due fasi, è applicabile in questo modo:

  • High Level Risk Assessment consiste nella valutazione del rischio di alto livello secondo il processo standard descritto in IEC 62443-3-2, inclusa l’analisi della logica aziendale
  • Low Level Risk Assessment è eseguito in base al risultato di alto livello, dettagliando le azioni necessarie per la protezione dei sistemi e delle macchine più a rischio di attacco cyber

 

Le informazioni raccolte nelle fasi di analisi sono utilizzate per la corretta redazione delle specifiche di Industrial Cybersecurity, ossia l’insieme delle raccomandazioni da adottare per proteggere l’infrastruttura, rigorosamente, dal punto di vista OT.

Tieni presente anche che le competenze necessarie per affrontare la cybersecurity OT sono diverse da quanto collaudato dagli specialisti dell’IT.

Per quanto gli specialisti IT detengano competenze preziose, non affidarsi a specialisti OT per la protezione dei sistemi industriali potrebbe equivalere a non centrare pienamente gli obiettivi di Industrial Cybersecurity.

 

Maggiori informazioni:

 

5) Non è possibile quantificare quante e quali risorse interne assegnare a un progetto di cybersecurity

Non è banale, ma nemmeno impossibile. Un progetto di Industrial Cybersecurity prende forma coinvolgendo una varietà delle vostre risorse interne, tra cui:

  • Personale tecnico per approfondire i processi industriali e le tecnologie OT
  • Responsabili di sicurezza per sviluppare e implementare un programma di sicurezza OT
  • Dirigenti aziendali per raccogliere informazioni primarie sui requisiti e sulla cultura aziendali, e sulle priorità in termini di sicurezza

Il tempo necessario per occuparsi di queste risorse dipenderà dalla complessità dell’infrastruttura OT. In generale, tuttavia, è importante che il coinvolgimento di uno specialista esterno preveda l’accesso alle risorse interne per rendere proficuo l’intervento.

 

Alcuni esempi specifici di attività che potremmo svolgere a fianco delle vostre risorse interne:

  • Raccolta di dati circa i sistemi OT
  • Analisi dei dati per identificare le vulnerabilità e i rischi
  • Selezione di soluzioni per mitigare i rischi identificati
  • Formazione del personale interno sulle pratiche di sicurezza OT

 

Ad esempio:

Svolgendo un audit iniziale del vostro livello di cybersecurity, possiamo darvi evidenza di quali interventi, quali risorse e quanto tempo potrebbero essere necessari per portare avanti il progetto, pianificandolo con la dovuta accortezza, organizzazione e trasparenza.

Non ci credi? Richiedi un audit iniziale di Industrial Cybersecurity.

 

Ecco come funziona un audit iniziale.

L’attività di GAP Analysis è un metodo collaudato per evidenziare le carenze dell’infrastruttura OT rispetto ai requisiti di cybersecurity previsti dalle norme standard di riferimento (fra cui la già citata IEC 62443, ma anche il Nuovo Regolamento Macchine, la Direttiva NIS 2, o il Cyber Resilience Act):

  1. Stabiliamo il perimetro, ossia gli stabilimenti, le macchine e gli impianti da analizzare, sulla base delle lavorazioni, della loro estensione o della posizione geografica
  2. Identifichiamo le criticità, attraverso l’analisi del rischio cyber, l’analisi dell’infrastruttura di rete, dei sistemi di controllo e delle vulnerabilità
  3. Definiamo il Piano di Miglioramento. Sulla base delle criticità rilevate e del rapporto rischi-benefici, stabiliamo gli interventi e le soluzioni a breve e a medio-lungo termine
  4. Quantifichiamo gli interventi. La stima dei costi per l’implementazione delle soluzioni e delle risorse umane necessarie ad adempiere al progetto permette al vostro Management di ricevere una visione chiara e oggettiva degli investimenti necessari per la riuscita

 

Convenuta la fattibilità del progetto, le fasi di lavoro successive indagano in termini di:

  • Risk Assessment di dettaglio seguendo le best practices degli standard internazionali
  • Report tecnico e capitolato esecutivo sulle misure di mitigazione consigliate
  • Implementazione delle contromisure attraverso l’adozione di tecnologie rivolte al mondo OT
  • Sviluppo della Governance e delle Procedure relative alla Industrial Cybersecurity e a disposizione del vostro personale interno
  • Collaudo dell’infrastruttura OT e tracciatura dei risultati del progetto

 

Infine, quando arrivati a questo punto vi sarà ormai chiaro che la Industrial Cybersecurity si può fare con il giusto metodo, ritmo, e la giusta consapevolezza, vi guideremo verso la certificazione dell’infrastruttura OT: un ulteriore obiettivo, sfidante, ma raggiungibile.

Siamo l’unico ente di certificazione italiano accreditato ISASecure®, e questo ci consente di fornirvi la dichiarazione conformità ai requisiti IEC 62443, a riprova del successo dei vostri progetti.

 

Il vostro percorso di cambiamento in termini di Industrial Cybersecurity dimostrerà il valore della vostra visione agli occhi di vari stakeholder, fra cui la proprietà, i vostri potenziali acquirenti, fondi o multinazionali, o gli enti preposti ai controlli di sicurezza, e rappresenterà un tangibile beneficio per la sicurezza dei vostri sistemi produttivi e dei vostri operatori.

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend