Il problema della Cybersecurity OT (Operational Technology), pur non essendo nuovo in senso stretto, sta conoscendo una particolare crescita in termini numerici negli ultimi anni. Alcune aziende sono già state colpite, mentre molte si stanno muovendo per proteggersi prima che accada. E, anche in questo caso, un primo e fondamentale passaggio è quello di conoscere a fondo l’infrastruttura aziendale e lasciarsi guidare nella protezione di impianti e macchinari.
Il problema della sicurezza OT: uno scenario che richiede attenzione
Secondo il Fortinet Global Report, nel 2023 solo il 25% delle aziende non ha subito nel corso dell’anno un’intrusione OT. Un dato preoccupante, che però contiene un segnale positivo: nel 2022 solo il 6% delle aziende non aveva registrato attacchi. Il bisogno di proteggere le OT, insomma, sembra avere colpito tutti all’improvviso. Per capire meglio quali strategie si possono mettere in campo, abbiamo coinvolto Antonio Grillo, CIO e CSO di Mashfrog Group, il quale analizza per prima cosa le cause di una situazione così complessa.
La Cybersecurity nell’OT: le origini del problema
Grillo prima di tutto spiega che “il rinnovamento degli asset OT non è così frequente. In particolare, in Italia per via dei tempi di ammortamento lunghi. Probabilmente anche le aziende di élite hanno asset eterogenei fra di loro. Questo è dovuto principalmente all’adozione
continua di nuova strumentazione sempre più interconnessa che ha caratterizzato gli ultimi anni e che non ha sempre seguito una pianificazione rigorosa a medio e lungo termine”.
Mentre la sicurezza perimetrale nelle aziende va nella maggior parte dei casi rafforzandosi, il perimetro OT è andato progressivamente scoprendosi, Oggi, spiega Grillo, in molti casi, gli impianti non sono più presidiati, per ragioni diverse, infatti, sono stati delocalizzati remotizzando di conseguenza la necessità di azioni di controllo a carattere informativo e dispositivo da parte del management . Occorre, quindi, ripensare alla sicurezza informatica degli impianti partendo dalla Cybersecurity OT, avvantaggiandosi ove possibile del percorso già fatto nel campo IT.
Per Mashfrog, che si caratterizza per un approccio fortemente data driven, la sicurezza OT ha modo di introdurre nei processi alcune nuove tecnologie che provengono dal dominio IT: “C’è la possibilità – afferma il manager – di lavorare con approcci più automatizzati anche quando nella catena di sicurezza è previsto il coinvolgimento degli individui”. Insomma, recuperare terreno, con l’approccio giusto, si configura come un compito laborioso, ma non impossibile.
Come affrontare la sicurezza nell’OT
Su questo punto Grillo non ha dubbi: il principale compito degli specialisti del settore è guidare le aziende verso una chiara consapevolezza. Consapevolezza che parte dai piani di investimento, che devono contemplare sempre più la Cybersecurity OT come una voce rilevante.
“Oggi – spiega il manager – le aziende hanno compresso l’orizzonte dei propri business plan per rimanere più agili: un tempo si era soliti sviluppare piani a 5 o 7 anni, oggi nella maggior parte dei casi l’orizzonte temporale si è ridotto a 3. In questo, la manifattura spesso costituisce una eccezione, l’intensità degli investimenti infatti richiede una capacità di visione più ampia. Il nostro compito è quello di spiegare che la Cybersecurity OT non è solo un rimedio, ma deve entrare in modo coerente nelle strategie aziendali”. Un bisogno per le aziende che apre nuovi scenari di mercato: la messa in sicurezza degli impianti esistenti presenta molte domande e poche risposte: Mashfrog si sta impegnando, attraverso i propri servizi e la ricerca e lo sviluppo di nuovi prodotti, a colmare questo gap.
Per farlo, il primo passaggio è quello di avere le idee chiare rispetto a cosa si ha in campo: “Mappando gli asset e fornendo alle aziende un’idea degli indicatori di rischio, è possibile fare in modo che la sicurezza OT entri a pieno titolo nella pianificazione finanziaria, definendo una traiettoria di messa in sicurezza degli impianti” precisa Grillo.
La Cybersecurity OT è sempre più rilevante anche sotto il profilo normativo
Un sistema OT compromesso è prima di tutto un problema economico: i costi di fermo impiantoe la mancata produzione, ma anche la compromissione delle materie prime necessarie nel processo produttivo e l’impossibilità di soddisfare le commesse sono le ricadute negative più dirette. Ma non bisogna dimenticare i danni collaterali, per esempio quelli di immagine.
Inoltre, per i settori afferenti le infrastrutture critiche “la tutela non può essere solo privata, sussistono anche obblighi normativi sulla disclosure” spiega Grillo. “Pensiamo per esempio al campo energetico, per il quale sono già operative strutture a livello comunitario europeo che abilitano forme di collaborazione tra i diversi player nazionali partendo proprio dalla condivisione delle informazioni sulle minacce subite”.
Questo nuovo scenario non coglie completamente impreparati, fortunatamente: esistono già framework e strumenti, anche nazionali, che forniscono una linea guida per le aziende. Pensiamo per esempio al Perimetro di sicurezza nazionale cibernetica, lanciato già nel 2020, che delinea i contorni dello scenario. Grillo ricorda però che “queste indicazioni spesso sono valide in linea di principio, ma per essere efficaci sul campo devono continuamente essere rivisti e messi in discussione: gli attaccanti si evolvono molto più rapidamente di quanto possano fare gli adempimenti normativi”.
L’evoluzione della sicurezza OT
Come nell’IT, tutte le esigenze viste finora si scontrano con un numero di attacchi sempre maggiore e uno scenario sempre più complesso. Per affrontarlo occorre, sempre secondo Grillo, la convergenza con altre tecnologie di frontiera.
“L’Intelligenza Artificiale è l’esempio più evidente” spiega Grillo. “Siccome gli eventi avvengono con frequenza alta e si sviluppano rapidamente, ma le persone coinvolte nei processi hanno tempi di reazioneridotti, appare necessario mettere in campo contromisure parzialmente automatizzate, non in base a un copione prestabilito, ma in base a un sistema trial & fix che si adatti nel tempo all’azienda”. Il tema è sempre quello di mettere in campo azioni di primo livello in attesa dell’intervento umano. “Decidere fuori tempo limite è come non decidere” aggiunge il manager. “Inoltre, i sistemi danno al decisore moltissime informazioni, con il rischio di creare un collo di bottiglia”. La velocità di primo intervento basata su tecnologie in ambito machine learning, coniugata a un Augmented decision system che aiuti il decisore presentando le sole informazioni rilevanti permette di includere in maniera pionieristica l’IA non solo nelle fasi di detection ma anche su quelle di remediation.
La vera evoluzione è quella di imparare a prendere decisioni, sulla base di una strategia progettata e condivisa: “Anche stare fermi è una decisione – ricorda Grillo – ma è necessario avere uno strumento, un framework, una sorta di pilota automatico che aiuti a limitare i danni e superare il problema”. In conclusione, serve che le aziende si lascino guidare verso una maggiore maturità nelle strategie. Consapevolezza, pianificazione e uno sguardo al futuro sono, a tutti gli effetti, i tre pilastri della Cybersecurity OT.