IT VERSUS OT

Operational technology security: “Le aziende devono agire urgentemente”

Secondo Analysys Mason l’approccio dei dipartimenti IT non è in linea con le nuove esigenze poiché strategie e processi dell’OT si applicano in modo diverso. È necessario un cambio di passo e serve un’organizzazione ad hoc con funzioni di responsabilità a garanzia degli asset

Pubblicato il 20 Mar 2024

IT-OT Analysys Mason

Le aziende potrebbero aver sottovalutato un aspetto della cybersecurity: mentre si concentrano sulla protezione dei sistemi It (information technology), quelli Ot (operational technology) potrebbero essere stati lasciati con difese inadeguate a reagire alle cyber-minacce. E, infatti, i criminali informatici sempre più spesso prendono di mira i sistemi di produzione, consapevoli che i livelli di sicurezza sono bassi.

“Le aziende di tutto il mondo stanno investendo pesantemente nella sicurezza It, ma molte devono ancora comprendere che va data priorità alla sicurezza Ot”, si legge in una nota di Analysys Mason. “I sistemi di produzione rappresentano spesso le risorse più critiche in un’azienda e un’interruzione potrebbe comportare conseguenze che minacciano l’esistenza dell’azienda stessa. Mentre i sistemi It possono essere ripristinati o sostituiti in modo relativamente rapido, supponendo che sia stata messa in atto una corretta gestione della continuità aziendale, i sistemi di produzione sono spesso unici e, a seconda dell’entità del danno, il recupero può essere un processo molto più oneroso”.

Come rimediare a questo gap tra sicurezza It e sicurezza Ot? Con misure tecniche e organizzative sostenute da una governance.

IoT e cloud aumentano la necessità di sicurezza Ot

La sicurezza Ot è stata trascurata per un preciso motivo: in passato questi sistemi non erano collegati alla rete esterna. La connettività pervasiva, il cloud, l’internet of things e l‘industrial internet of things hanno profondamente modificato lo scenario. Mettere i sistemi Ot in rete li rende un potenziale bersaglio degli hacker.

“L’It e l’Ot non sono più aree che operano separatamente l’una dall’altra, come spesso accadeva in passato”, scrivono gli analisti. “Non ci sono più punti di contatto semplici o individuali nella moderna architettura aziendale. Ad esempio, l’accesso a internet aziendale gestito dall’It viene utilizzato per le applicazioni Iot e cloud, che vengono sempre più utilizzate nella produzione e stanno creando nuovi gateway per accedere ai sistemi Ot”.

Le aziende devono anche tenere presente la necessità di adeguamento normativo: nell’Ue la Direttiva Nis 2 e il Cyber resilience act impongono nuovi requisiti per la protezione delle infrastrutture critiche e la sicurezza della catena di approvvigionamento.

It e Ot devono dialogare 

I progetti di sicurezza sono solitamente implementati e governati dal punto di vista del dipartimento It, dove la priorità sono la riservatezza e l’integrità. Al contrario, per l’Ot l’affidabilità e la disponibilità sono al primo posto, insieme alla sicurezza – ovvero, la protezione delle persone e dell’ambiente. Per questo motivo, i sistemi negli ambienti Ot spesso non si adattano all’approccio tradizionale alla sicurezza It, poiché le strategie, i concetti e i processi non si applicano allo stesso modo, e Analysys Mason consiglia un approccio differenziato per garantire che siano in atto le giuste misure di cybersecurity, anche considerando che molti dispositivi Ot hanno, da questo punto di vista, requisiti unici.

Ad esempio, mentre la patch delle vulnerabilità e l’aggiornamento regolare dei sistemi sono misure di sicurezza efficaci nell’It, questo spesso non è possibile e talvolta non consigliabile nell’Ot a causa del requisito di operatività continua 24 ore su 24, 7 giorni su 7.

Inoltre, i sistemi Ot spesso affrontano una mancanza di sistemi di test. Per questo motivo, gli effetti delle patch e degli aggiornamenti regolari sono imprevedibili e possono potenzialmente causare problemi.  Se un aggiornamento debba essere effettuato o meno è quindi una questione di necessità e fattibilità e deve essere determinato in stretta collaborazione tra It e Ot.

La governance della sicurezza 

Esistono, ovviamente, soluzioni di sicurezza dedicate all’Ot. Ma, anche senza l’introduzione di tali soluzioni, le aziende possono aumentare il livello di sicurezza dei loro ambienti di produzione con l’attuazione di misure tecniche e organizzative di base, quali asset management, segmentazione della rete, messa in sicurezza degli accessi da remoto, istituzione di processi di incident response e formazione del personale.

Per attuare con efficacia queste misure occorre un dipartimento Ot responsabile del funzionamento delle risorse Ot e che sviluppi una Ot governance, ovvero funga da autorità centrale per sviluppare concetti di sicurezza sostenibili e praticabili insieme all’It. Anzi, l’Ot dovrebbe essere incluso in tutti i progetti pertinenti all’interno del dipartimento It e le due funzioni dovrebbero sostenersi a vicenda con uno scambio di competenze.

Questo circolo virtuoso si basa sull’esistenza e l’efficacia dei processi sottostanti, il che richiede, a sua volta, un cambiamento di mentalità: l’elemento chiave, e spesso il più difficile, da mettere in atto in qualunque progetto di trasformazione digitale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3