La convergenza e l’integrazione tra tecnologia dell’informazione (IT) e tecnologia operativa (OT) è un fenomeno progressivamente crescente come conseguenza dell’”ispessimento digitale” che permea i processi industriali e il settore produttivo. Sebbene esistano vantaggi da tale integrazione sono parimenti presenti rischi di sicurezza che devono essere gestiti se le aziende vogliono proteggere le proprie risorse dagli attacchi informatici.
L’OT security storicamente segregata non aveva avuto la necessità di prioritizzare interventi di protezione legati alla sicurezza informatica, grazie alla nativa separazione dalle reti IT e potendo contare su tecnologie specializzate e sostanzialmente immutate anche a causa di processi certificativi stringenti che non ammettevano modifiche a meno di ripetere lunghe sessioni di test. Ne abbiamo discusso con Paolo Capozucca, CEO di Cyber Partners, azienda che si occupa di servizi di security, anche in questi ambienti specialistici.
Conoscere la OT Security e le problematiche legate alla convergenza IT/OT
Gartner definisce la Operational Technology (OT) come “hardware e software che rileva o provoca un cambiamento, attraverso il monitoraggio e/o il controllo diretto di dispositivi fisici, processi ed eventi”. L’OT comprende generalmente i sistemi di controllo industriale (ICS), che includono sistemi di controllo di supervisione e acquisizione dati (Scada), sistemi di controllo distribuito (DCS) e controllori logici programmabili (PLC). Storicamente i sistemi OT sono stati posizionati in aree sostanzialmente sicure perché potevano contare su hardware, software e protocolli specializzati e soprattutto erano segregati, ovvero non integrati con le reti aziendali e soprattutto con Internet. Quindi tale isolamento dei sistemi OT implicava la cosiddetta “Security by obscurity” (letteralmente sicurezza mediante oscurità). La definizione di Information Technology (IT) fornita sempre da Gartner riguarda invece “l’intero spettro di tecnologie per l’elaborazione delle informazioni, inclusi software, hardware, tecnologie di comunicazione e servizi correlati”.
Oggi si assiste a processi di integrazione e convergenza fra le reti IT e OT per motivi di business legati a minori costi operativi, maggiori efficienze e sinergie, ma le conseguenze sulla sicurezza informatica dei sistemi risultanti sono tutt’altro che banali. Infatti, Secondo NIST SP.800-82, un’integrazione mal gestita di questi due sistemi può portare alla compromissione dei sistemi OT.
A peggiorare la situazione si osserva anche un aspetto culturale, come fa notare Paolo Capozucca: “Il settore industriale ha finora incontrato la ‘rivoluzione informatica’ solo parzialmente. Nel momento in cui la capacità produttiva ha avuto la necessità di riorganizzarsi, ad esempio nelle catene di approvvigionamento distribuite con conseguente capacità produttiva distribuita, le industrie hanno dovuto iniziare a guardare alla trasformazione digitale. Inoltre, il cambiamento è avvenuto in anni complessi caratterizzati da crisi dei consumi, Covid, tensioni geopolitiche e questo probabilmente, non ha permesso alle industrie di concentrarsi sul cambiamento. Per comprendere e sensibilizzare alla esigenza di occuparsi ed affrontare la sicurezza nell’ambito industriale sia nel comparto della OT security, sia per gli aspetti correlati alla convergenza IT/OT è necessario ‘educare senza spaventare’. Le aziende fornitrici di sicurezza dovrebbero aiutare a comprendere un dominio per alcuni versi nuovo senza tralasciare/sottovalutare il problema culturale di base. Si impara a presentare la Cyber Security come un’opportunità di business, ed è necessario capire cosa voglia dire realmente security in ambito industriale. Anche noi dobbiamo imparare a usare un nuovo lessico, un nuovo modo di presentare le tematiche senza dimenticare mai di essere estremamente pragmatici”.
Come avviare, gestire e misurare un intervento di sicurezza nella sicurezza industriale
Per fronteggiare i rischi di sicurezza in un contesto industriale è necessario comprendere quali asset siano passibili di attacco, ovvero capire cosa è presente nel mondo OT aziendale: quali prodotti, quali protocolli e come è organizzata la rete. È opportuno comprendere cosa componga la cosiddetta “attack surface”, partendo quindi dall’asset inventory e dalla successiva comprensione di come i processi produttivi siano basati e correlati alle componenti di campo sottostanti.
L’inventory e un’analisi dei protocolli di rete e della topologia è una base dalla quale non si può prescindere in un qualsiasi processo di OT Security. Non è possibile mettere in sicurezza un ambiente di cui non si conosca il funzionamento profondo. Al netto di ulteriori passaggi intermedi, è anche necessario modellare la minaccia (threat modelling) per rendersi conto del tipo, e genere di codici malevoli e tipologie di attaccanti che potrebbero presentarsi e che se avessero successo potrebbero impattare rovinosamente il processo produttivo. Tutto questo primo step di analisi ricade nella analisi dei rischi.
Cruciale tuttavia, è anche l’identificazione di una chiara responsabilità all’interno dell’azienda come ad esempio un CyberSec IT/OT Program Manager, o comunque un manager responsabile per gli impianti e per i diversi siti produttivi, in modo da poter creare un Product Security Incident Response Team (PSIRT) con il giusto livello di maturità. Su questi temi Paolo Capozucca specifica: “La nostra idea, un elemento distintivo in cui credo, è che attraverso un singolo investimento i ritorni non sono solo nell’ambito cyber ma anche nella parte di production management. Ad esempio, sugli stessi dati possiamo fare analisi di manutenzione predittiva o nella parte di valutazione dello spending di maintenance rispetto alle reali necessità”.
È infine necessario saper misurare l’efficacia degli interventi/servizi per l’OT security. Se le società del comparto industriale sono esperte di produzione e di sistemi OT, non è detto che lo siano di cyber security. Le competenze nei sistemi industriali possono guidare nel comprendere se quello che viene proposto sia adeguato alle proprie esigenze, ma si suggerisce di scegliere società di consulenza esperte e di definire con loro un sistema di KPI per la tenuta sotto controllo dei risultati di efficacia ed efficienza prima, durante e dopo gli interventi di sicurezza implementati.
Scelta e caratteristiche del fornitore
Grande attenzione dovrebbe essere riservata alle modalità di scelta del fornitore. È necessario rivolgersi a società con una riconosciuta esperienza nel dominio. Il mondo OT è molto variegato, esistono plant industriali, utilities, marine, ecc. che anche ricadendo nel mondo OT hanno delle differenze importanti sia dal punto di vista dei prodotti utilizzati che dei protocolli. La varianza è alta anche dal punto di vista informatico.
Dopo tanti anni di quasi completo isolamento dal mondo IT, la convergenza tra IT/OT sta diventando una realtà e anche la regolamentazione della sicurezza in questo dominio sta diventando sempre più urgente. Quindi, servono competenze ingegneristiche di dominio, competenze in Cyber Security con una grande attenzione alla compliance. Chiaramente anche le referenze e l’esperienza reale sul campo dimostrabile sono un altro indicatore molto importante. Se oggi sono molte le aziende che si proclamano “esperte di Cyber Security” la ricerca di evidenze tangibili, referenze, certificazioni e comprovate capacità è l’unica garanzia per l’azienda cliente che chi si ha davanti sia effettivamente in grado di indirizzare esigenze, criticità, problemi potenziali e sia abbastanza affidabile da meritare la propria fiducia in ambito di business. Su questo tema il CEO di Cyber Partners dichiara: “Per quanto ci riguarda il fatto di appartenere al gruppo RINA ci permette di unire le nostre competenze nell’ambito Cyber Security con quelle ingegneristiche del dominio OT del gruppo. Unendo le due competenze possiamo garantire la comprensione delle problematiche tecniche del mondo OT e le possibili minacce. Bisogna verificare che il possibile fornitore abbia le reali competenze nel mondo dell’automazione industriale e che sappia quindi “metterci le mani” con l’ottica dell’attaccante”.
Contributo editoriale sviluppato in collaborazione con Cyber Partners