Entro il 2025, gli aggressori informatici disporranno di ambienti tecnologici operativi (Ot) armati per danneggiare o uccidere. Ad affermarlo è Gartner, secondo cui gli attacchi a Ot, hardware e software che monitorano o controllano apparecchiature, risorse e processi, sono diventati più comuni. E si sono anche evoluti dall’interruzione immediata del processo, come la chiusura di un impianto, alla compromissione dell’integrità degli ambienti industriali con l’intento di creare danni fisici.
Secondo la società, in particolare, l‘impatto finanziario degli attacchi ai sistemi cyber-fisici (Cps) con vittime mortali supererà i 50 miliardi di dollari entro il 2023. Anche senza tenere conto del valore della vita umana, i costi per le organizzazioni in termini di risarcimento, contenzioso, assicurazione, sanzioni normative e perdita di reputazione saranno significativi. Gartner prevede inoltre che la maggior parte degli amministratori delegati sarà personalmente responsabile di tali incidenti.
Carenza di quadri di controllo appropriati
“Negli ambienti operativi, i leader della sicurezza e della gestione dei rischi dovrebbero essere più preoccupati dei pericoli del mondo reale per l’uomo e l’ambiente, piuttosto che del furto di informazioni”, afferma Wam Voster, direttore della ricerca di Gartner. “Le indagini con i clienti Gartner rivelano che le organizzazioni in settori ad alta intensità di risorse come la produzione, le risorse e i servizi pubblici hanno difficoltà a definire quadri di controllo appropriati“.
Secondo Gartner, gli incidenti di sicurezza in Ot e Cps hanno tre motivazioni principali: danno effettivo, vandalismo commerciale (riduzione della produzione) e vandalismo reputazionale (rendendo un produttore non affidabile o inaffidabile).
Dieci controlli di sicurezza per la tecnologia operativa
Gartner consiglia alle organizzazioni di adottare una struttura di 10 controlli di sicurezza per migliorare la posizione di sicurezza nelle proprie strutture e prevenire che gli incidenti nel mondo digitale abbiano un effetto negativo nel mondo fisico.
Definire ruoli e responsabilità: nominare un responsabile della sicurezza Ot per ciascuna struttura, che è responsabile dell’assegnazione e della documentazione dei ruoli e delle responsabilità relative alla sicurezza per tutti i lavoratori, i dirigenti e le terze parti.
Garantire un’adeguata formazione e sensibilizzazione: tutto il personale Ot deve possedere le competenze richieste per i propri ruoli. I dipendenti di ogni struttura devono essere formati per riconoscere i rischi per la sicurezza, i vettori di attacco più comuni e cosa fare in caso di incidente di sicurezza.
Implementare e testare la risposta agli incidenti: garantire che ogni struttura implementi e mantenga un processo di gestione degli incidenti di sicurezza specifico per Ot che includa quattro fasi: preparazione; rilevamento e analisi; contenimento, eradicazione e recupero; e attività post-incidente.
Backup, ripristino e ripristino di emergenza: garantire che siano in atto procedure di backup, ripristino e ripristino di emergenza adeguate. Per limitare l’impatto di eventi fisici come un incendio, non archiviare i supporti di backup nella stessa posizione del sistema sottoposto a backup. Il supporto di backup deve inoltre essere protetto da divulgazione non autorizzata o uso improprio. Per far fronte a incidenti di elevata gravità, deve essere possibile ripristinare il backup su un nuovo sistema o macchina virtuale.
Gestire i media portatili: creare una policy per garantire che tutti i supporti di archiviazione dati portatili come chiavette Usb e computer portatili vengano scansionati, indipendentemente dal fatto che un dispositivo appartenga a un dipendente interno o a parti esterne come subappaltatori o rappresentanti del produttore di apparecchiature. È possibile collegare all’OT solo i supporti che risultano privi di codice o software dannoso.
Avere un inventario aggiornato delle risorse: il responsabile della sicurezza deve tenere un inventario continuamente aggiornato di tutte le apparecchiature e del software Ot.
Stabilire una corretta segregazione della rete: le reti Ot devono essere separate fisicamente e/e logicamente da qualsiasi altra rete sia internamente che esternamente. Tutto il traffico di rete tra un Ot e qualsiasi altra parte della rete deve passare attraverso una soluzione gateway sicura come una zona demilitarizzata (Dmz). Le sessioni interattive per Ot devono utilizzare l’autenticazione a più fattori per l’autenticazione al gateway.
Raccogli i log e implementa il rilevamento in tempo reale: devono essere in atto politiche o procedure appropriate per la registrazione automatizzata e la revisione di eventi di sicurezza potenziali ed effettivi. Questi dovrebbero includere tempi di conservazione chiari per la conservazione dei registri di sicurezza e protezione da manomissioni o modifiche indesiderate.
Implementare un processo di configurazione sicuro: le configurazioni sicure devono essere sviluppate, standardizzate e implementate per tutti i sistemi applicabili come endpoint, server, dispositivi di rete e dispositivi di campo. Il software di sicurezza degli endpoint come l’anti-malware deve essere installato e abilitato su tutti i componenti nell’ambiente Ot che lo supportano.
Processo formale di patch: implementare un processo per far qualificare le patch dai produttori di apparecchiature prima della distribuzione. Una volta qualificate, le patch possono essere distribuite solo su sistemi appropriati con una frequenza prestabilita.
