Operational Technology

Il rischio cyber nel mondo OT: i quattro step per gestirlo al meglio

Includere la gestione del rischio cyber all’interno della propria strategia ha un effetto positivo sui processi produttivi e quindi sul business, così come sulla salvaguardia dell’incolumità delle persone. Si tratta di un’attività complessa, ma necessaia, se non obbligatoria, anche nel mondo Operational Technology

Pubblicato il 16 Feb 2023

Francesco Fantazzini

Managing Director Cloud Infrastructure Services di Capgemini Italia

sicurezza informatica

La gestione del rischio cyber, spesso considerata solo una dimensione aggiuntiva complementare nel mondo OT (Operational Technology), è in realtà un’attività complessa ma necessaria, e a volte obbligatoria

La complessità deriva anche dal fatto che il rischio cyber nel mondo OT ha delle peculiarità uniche, che non permettono di utilizzare immediatamente le tecniche e strategie già utilizzate nel mondo IT classico.

OT Security: le sfide per le aziende e le risposte tecniche, organizzative

La gestione del rischio nel mondo OT

La gestione del rischio è un’attività complessa e multi-livello che richiede il coinvolgimento dell’intera organizzazione, dai dirigenti/manager di alto livello (che definiscono la visione strategica e gli obiettivi di alto livello dell’organizzazione), ai manager di medio livello (che pianificano, eseguono e gestiscono progetti), alla prima linea (che gestisce i sistemi informativi a supporto delle funzioni aziendali)[1].

Storicamente le organizzazioni che utilizzano i sistemi OT (Operational Technology) gestiscono il rischio focalizzando la propria attenzione più sulla sicurezza fisica (safety, il cui processo di implementativo è ormai ben consolidato nella maggior parte dei settori ed è spesso incorporato nei requisiti normativi) che sulla sicurezza informatica.

Sia dirigenti che manager devono impegnarsi a rendere la gestione del rischio cyber un requisito fondamentale, integrandola nella strategia aziendale. Questo impegno esecutivo di alto livello è necessario per garantire le risorse sufficienti per sviluppare e implementare programmi di gestione del rischio efficaci per l’intera organizzazione. Tali programmi richiedono una serie di elementi chiave: dall’assegnazione delle responsabilità di gestione del rischio ai dirigenti/manager senior, all’identificazione e valutazione continua del rischio cyber connesso ai processi, ai beni materiali e agli individui dell’organizzazione, fino alla definizione del livello di tolleranza del rischio organizzativa e successiva comunicazione a tutta l’organizzazione, compresa la pubblicazione di una guida su come il livello di tolleranza al rischio definito (e il relativo calcolo del rischio residuo) possa influire sulle attività decisionali in corso.

Sicurezza e manifattura 4.0, la priorità è supervisionare IT e OT: ecco le soluzioni per le imprese

La gestione del rischio in quattro step

Sono quattro i passaggi che fanno parte del processo di gestione del rischio:

  • definizione del rischio;
  • valutazione del rischio;
  • risposta al rischio (implementando i controlli necessari)
  • monitoraggio del rischio, in modo continuativo ed organizzato.

Si tratta di attività interdipendenti che spesso si verificano simultaneamente all’interno di un’organizzazione. Ad esempio, i risultati del componente di monitoraggio saranno input anche per la componente di definizione, come quelli di valutazione saranno utili per le operazioni di monitoraggio. Poiché l’ambiente in cui operano le organizzazioni è in perenne evoluzione, la gestione del rischio deve essere un processo continuo in cui tutti i componenti siano coinvolti.

La definizione del rischio

La “definizione del rischio” consiste nello stabilire le ipotesi, i vincoli, le tolleranze al rischio e le sue strategie di gestione, affinché l’organizzazione prenda decisioni consistenti. Nello specifico, la definizione supporta la strategia complessiva di gestione del rischio incorporando elementi propri della struttura di governance dell’organizzazione, del quadro normativo e di altri fattori con l’obiettivo di definire come l’organizzazione intende valutare, rispondere e monitorare il rischio per tutti i sistemi IT e OT.

Durante questa prima fase, le organizzazioni dovrebbero anche selezionare una o più metodologie di valutazione del rischio appropriate per il mondo OT. Nel valutare il potenziale danno fisico derivante da un incidente informatico, le organizzazioni con sistemi OT dovrebbero considerare ad esempio come l’evento avverso potrebbe manipolare il processo operativo ed avere così un impatto sull’ambiente fisico; quali requisiti di sicurezza sono presenti nel sistema OT per prevenirlo o mitigarne gli effetti, e come potrebbe verificarsi un incidente fisico sulla base di tali condizioni.

Le organizzazioni possono prendere in considerazione anche l’idea di incorporare scenari di attacchi informatici e guasti IT direttamente nei loro Process Hazard Analysis (PHA) o Failure Mode & Effects Analysis (FMEA). Includendo i rischi cyber in questi processi, le organizzazioni possono ottenere una migliore comprensione degli impatti che questi possono avere sul proprio ambiente OT.

La valutazione del rischio

La “valutazione del rischio” richiede l’identificazione di minacce e vulnerabilità, il danno che queste possono causare e la probabilità che si verifichino eventi avversi derivanti da esse. Quando l’organizzazione conduce una valutazione del rischio che include i sistemi OT, potrebbe essere necessario considerare ulteriori aspetti che non sono presenti quando si esegue una valutazione del rischio dei sistemi IT tradizionali. Poiché l’impatto di un incidente informatico in un ambiente OT può includere sia effetti fisici che non, le valutazioni del rischio devono incorporare tali potenziali effetti.

La risposta al rischio

La “risposta al rischio” fornisce una strategia di risposta operativa al rischio, a livello di organizzazione, in conformità con la componente di definizione. Per un sistema OT le risposte al rischio disponibili possono essere limitate dai requisiti di sistema, dal potenziale impatto negativo sulle operazioni o persino dalle normative. Nel mondo OT, un esempio di condivisione del rischio è quando le catene produttive stipulano accordi per prestare lavoratori “di linea” in caso di emergenza, riducendo così la durata dell’effetto di un eventuale incidente entro livelli accettabili.

Il monitoraggio del rischio

Il “monitoraggio del rischio” avviene in modo continuativo, con un impatto su tutte le altre componenti. Fra gli aspetti che vanno tenuti sotto osservazione vi sono: l’implementazione delle strategie di gestione del rischio scelte; i cambiamenti nell’ambiente che possono influenzare il calcolo del rischio; l’efficacia e l’efficienza delle attività di riduzione del rischio.

Molte funzionalità di monitoraggio per i sistemi OT sfruttano le tecniche di monitoraggio passivo per rilevare eventuali cambiamenti nel sistema. Tuttavia, non sempre si riesce ad individuare tutte le modifiche apportate al sistema. La capacità delle moderne piattaforme di monitoraggio di entrare nel merito dei protocolli di comunicazione nativi del mondo industriale ha permesso di accedere efficacemente a informazioni molto più dettagliate dei sistemi monitorati facilitando enormemente l’attività di controllo/monitoraggio.

Ma è necessario comprenderne anche i limiti. L’attività di monitoraggio stessa potrebbe avere impatti negativi sulle performance del sistema monitorato. Sarà quindi fondamentale tarare la frequenza di monitoraggio in accordo con i vincoli e i requisiti del proprio sistema. Inoltre, poiché le contromisure di sicurezza cyber sono in genere sviluppate per gli ambienti IT, le organizzazioni dovrebbero considerare in che modo l’implementazione delle tecnologie di sicurezza negli ambienti OT potrebbe avere un impatto negativo sulle operazioni o sulla sicurezza fisica.

I rischi cyber legati a prodotti e servizi a supporto del sistema OT

I rischi cyber possono derivare anche da prodotti o servizi acquisitati per supportare le esigenze del proprio sistema OT. Questi rischi possono essere introdotti in qualsiasi punto della catena di approvvigionamento e in qualsiasi fase del ciclo produttivo. Siano essi malevoli, naturali o non intenzionali, potrebbero compromettere la disponibilità e l’integrità dei sistemi e dei componenti OT critici e la disponibilità, l’integrità e la riservatezza dei dati utilizzati dall’OT, causando danni che vanno da interruzioni minori a impatti sulla safety.

Quasi tutte le organizzazioni responsabili di sistemi OT si affidano a fornitori e terze parti, e per estensione anche ai loro fornitori, per una vasta gamma di esigenze. Questi soggetti svolgono ruoli e funzioni fondamentali, tra cui la produzione e il provisioning di prodotti tecnologici, la fornitura di aggiornamenti software e patch, l’esecuzione di servizi di integrazione o il supporto alle operazioni di manutenzione di sistemi, componenti e ambienti operativi OT. Per questo è importante che le organizzazioni comprendano e mitighino il rischio correlato alla catena di approvvigionamento che può essere “ereditato” dai fornitori stessi e dai prodotti e servizi che questi forniscono.

Conclusioni

Non includere la gestione del rischio cyber all’interno della propria strategia potrebbe impattare in modo negativo in primis sui processi produttivi e quindi sul business, così come sulla salvaguardia dell’incolumità delle persone. Nonostante le varie difficoltà che frenano le aziende dall’implementare tale processo, la sua esternalizzazione è una soluzione intrapresa già da molte organizzazioni per le quali si è rilevata una scelta ottimale.

Note

  1. NIST Special Publication 800-39 – Managing Information Security Risk: Organization, Mission, and Information System View – https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-39.pdf

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2