Esiste una diversa percezione del rischio cyber nel mondo OT rispetto a quello IT? Le contromisure di sicurezza da adottare sono le stesse? Dove si posiziona la Cybersecurity nel processo di convergenza tra OT e IT?
ll gap tra IT e OT
Esiste una diversa percezione del rischio cyber nel mondo OT rispetto a quello IT? Le contromisure di sicurezza da adottare sono le stesse? Dove si posiziona la Cybersecurity nel processo di convergenza tra OT e IT?
L’Industria 4.0 poggia su un requisito primario: l’interconnessione degli asset aziendali e lo scambio continuo di dati. Tale contesto aziendale presuppone che IT e OT non siano più due ambiti divergenti. Al contrario: il processo di convergenza di questi due mondi si fa sempre più necessario affinché l’azienda sappia implementare con successo l’ormai doverosa trasformazione digitale.
Per l’ottimizzazione dei processi aziendali, IT e OT devono saper dialogare stabilmente. Il fatto che lo debbano fare in modo sicuro è cosa quasi scontata nel mondo IT. Risulta invece meno sentito da chi proviene da un mondo che, fino a pochi anni fa, era “sicuro per definizione” in quanto isolato e inaccessibile da parte di agenti esterni. L’aumento dello scambio di dati tra questi due mondi, la comunicazione telematica da e verso fornitori esterni all’azienda, per manutenzioni remote ad esempio, ha contaminato il mondo OT con vizi ai quali non era preparato, uno tra tutti la sicurezza dell’intera supply chain.
Si evince chiaramente come il gap principale da colmare sia di tipo culturale ben prima che tecnologico. Acquisire una corretta percezione del rischio diventa anche in questo caso elemento fondante per un’adeguata strategia difensiva. Percezione difficile da creare in un contesto dove il rischio “cyber” è diventato un problema da troppo poco tempo.
Report SANS 2019 State of OT/ICS Cybersecurity Survey
Questa sensazione di rischio sta lentamente maturando come testimonia la nuova edizione del “SANS 2019 State of OT/ICS Cybersecurity Survey” pubblicata a giugno. Oltre il 50% delle 338 aziende intervistate, a livello globale, ha valutato il livello di rischio cyber OT della propria azienda come critico.
Questi dati dimostrano come le aziende stanno divenendo più sensibili al tema cybersecurity anche in ambito OT. In particolar modo nel report di SANS, circa il 62% delle aziende intervistate riconduce al fattore umano il maggior pericolo per la compromissione di sistemi OT/ICS comprendendo sia attori esterni che interni all’azienda. Il 22% è riconducibile alla tecnologia e il 14% ai processi aziendali.
Il report “SANS 2019 State of OT/ICS Cybersecurity Survey” mette in luce alcune sfide per chi è coinvolto nel miglioramento della cybersecurity OT. In primis la presa di coscienza di come sia impensabile affrontare la sicurezza dei sistemi industriali con gli stessi metodi usati nel mondo IT.
La governance del rischio di quest’ultimo infatti è concentrata sulla reputazione del business, la riservatezza, integrità e disponibilità del dato. Mentre per l’area OT le contromisure di sicurezza convogliano sull’affidabilità e la continuità dei processi di produzione.
La necessità di garantire continuità operativa rappresenta quindi l’obiettivo, ma anche il limite nell’affrontare il tema cybersecurity nel modo OT. Si vuole rendere sicuro l’ambiente, ma allo stesso tempo c’è il timore che le azioni intraprese possano avere esse stesse un impatto sull’affidabilità dei sistemi di produzione.
Riteniamo che, per quanto gli obiettivi siano diversi e alcuni metodi siano applicabili, in un contesto e non nell’altro un approccio condiviso alla sicurezza sia opportuno perché sono molti di più i problemi comuni che le specificità.
Case study
Da una nostra recente esperienza presso un’importante realtà del comparto agro-alimentare italiano, è emerso come i sistemi di gestione delle macchine di produzione fossero accessibili dall’interno e dall’esterno con un’autenticazione banale.
L’esempio dimostra come, nella convergenza IT/OT, il problema della gestione delle password rappresenta un problematico punto di contatto. Il tema tecnologico ancora una volta risulta marginale rispetto alla necessità di acquisire una corretta percezione del rischio.
Nonostante gli obiettivi diversi di questi due ambiti aziendali, la convergenza tra mondo IT e quello OT è ormai inevitabile. Una violazione della sicurezza informatica potrebbe facilmente propagarsi ed avere ripercussioni anche sui sistemi di supervisione del reparto produttivo.
In questo processo di convergenza tra IT e OT, quali sono le contromisure di cybersecurity verso le quali le aziende si stanno maggiormente concentrando?
In ordine di importanza dalla survey emerge:
- Dotarsi di tool per aumentare la visibilità su asset e configurazioni di sistemi OT/ICS (45,5%).
- Fare security Assessment e/o audit su sistemi e reti OT/ICS (37,3%).
- Investire in programmi di cybersecurity awareness/training che includano OT/ICS (29,5% e 29,1%).
- Installare tool per anomaly/intrusion detection su reti e sistemi OT/ICS (28,3%).
Interessante notare come tra le prime esigenze percepite dalle aziende ci sia quello di concentrarsi su un cambio di cultura generale attraverso attività di security awareness e di training, a dimostrazione del fatto che anche in ambito OT la componente umana e la percezione del rischio siano due elementi imprescindibili per affrontare con efficacia le sfide presenti e future legate alla sicurezza informatica.
Di sicuro, e i dati lo dimostrano, è giunto al termine il tempo in cui il mondo IT e OT potevano rimanere due ambiti separati, non comunicanti. Serve un approccio organico alla cybersecurity e la creazione di una cultura condivisa è in questo senso il collante necessario per proteggere le aziende in tutti gli aspetti del loro business, che proprio in virtù della Digital Transformation ha sempre meno senso considerare come mondi distinti.