La sicurezza in ambito industriale, anche denominata OT (Operational Technology) Security, è un tema sempre più centrale alla luce della crescente pervasività dell’innovazione digitale nel contesto industriale, negli ambienti produttivi e nella gestione delle infrastrutture critiche, grazie anche alle agevolazioni studiate a livello istituzionale per l’industria 4.0.
C’è però da sottolineare che, sebbene la consapevolezza rispetto ai rischi di OT Security all’interno delle organizzazioni sia innegabilmente in aumento, c’è ancora molta strada da fare per arrivare ad un’efficace gestione della materia. Si stanno affacciando sul mercato le prime figure specializzate e in alcune organizzazioni più mature è stato avviato un percorso di progressivo avvicinamento dei mondi IT e OT Security.
Permangono però forti barriere culturali, ed è necessario puntare fortemente su collaborazione e comunicazione per superare il divario di competenze tra i due ambiti e favorire sinergie.
La sicurezza in ambito industriale
Vista la centralità di questa tematica, la Ricerca 2019 dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano ha dedicato un approfondimento al mondo della sicurezza in ambito industriale.
Per OT Security si intende la messa in sicurezza di componenti hardware e software dedicati al monitoraggio e al controllo di processi e asset fisici, prevalentemente in ambito industriale o nei settori che gestiscono infrastrutture critiche (Oil&Gas, Energy, Utilities, Telco).
Il processo di convergenza tra il mondo IT e quello OT è sempre più necessario per affrontare e implementare la trasformazione digitale: l’avvento del paradigma dell’Industria 4.0 e la sempre maggiore diffusione dell’Internet of Things anche in campo industriale presuppongono da un lato l’interconnessione di sistemi e dispositivi di produzione originariamente non progettati per essere connessi e, dall’altro, l’integrazione in rete di sensori e macchinari che generano e scambiano enormi moli di dati in tempo reale.
È poi necessario considerare che i sistemi OT, come i cosiddetti ICS (Industrial Control System), hanno spesso un ciclo di vita molto lungo, a differenza di quelli IT. Si tratta nella maggior parte dei casi di sistemi proprietari, in cui sono stati progressivamente integrati sviluppi IT. Inoltre, sui sistemi industriali sono sempre più frequentemente installati strumenti di amministrazione remota (o RAT – Remote Access Tool) che permettono a terzi di accedere ad un computer remoto attraverso internet o attraverso un network locale, per svolgere poi determinate attività di manutenzione o gestione del sistema senza doversi recare di persona sull’impianto.
Tutti gli elementi menzionati contribuiscono, dal punto di vista della security, ad aumentare i rischi, ampliando enormemente la superficie di attacco e creando un panorama complesso e intricato, in cui le minacce indirizzate alle infrastrutture critiche e ai sistemi ICS e SCADA (Supervisory Control And Data Acquisition) sono in continua crescita. Il mondo OT, che fino a pochi anni fa era isolato e inaccessibile, è ora esposto a rischi per i quali non era preparato, che mettono a repentaglio la sicurezza dell’intera supply chain.
La sicurezza in ambito industriale acquisisce una rilevanza ancora maggiore considerando che riguarda sistemi in grado di operare direttamente sul mondo “fisico”: le possibili ripercussioni di un attacco possono avere un impatto diretto sulla produzione, o addirittura sulla safety, umana o ambientale.
Le conseguenze più temute di un attacco ai sistemi OT
Secondo il campione intervistato nel corso della Ricerca 2019, la conseguenza più temuta dalle organizzazioni è proprio l’eventuale fermo parziale o totale della produzione (54%), che può sia costituire l’obiettivo diretto e primario di un eventuale attacco, sia rappresentare invece una ripercussione secondaria. Tra le conseguenze più rilevanti si trova poi la safety (20%), requisito reso particolarmente critico dall’interazione sempre più diretta tra operatori e macchine (es. robotica collaborativa), o ancora una possibile alterazione o modifica della produzione (16%), con motivazioni riconducibili al sabotaggio. È invece considerata meno rilevante in questo ambito la possibilità di furto, perdita o divulgazione di dati confidenziali (10%), principalmente riguardanti la proprietà intellettuale.
Le contromisure
Per far fronte alle crescenti minacce, gran parte delle organizzazioni sta introducendo opportuni strumenti e tecnologie: il 68% delle aziende afferma di effettuare security assessment e/o audit su sistemi e reti OT, al fine di individuare vulnerabilità e rischi, mentre si attesta al 60% la percentuale che dichiara di aver introdotto soluzioni di sicurezza specifiche in ambito industriale.
Tra le tecniche più diffuse emerge la segmentazione della rete, che viene suddivisa in parti non comunicanti o separate da controlli di sicurezza al fine di confinare un eventuale problema in un unico segmento, evitando che la minaccia si propaghi. Si evince inoltre un ampio utilizzo di soluzioni per controllo accessi e gestione privilegi, che regolano le autorizzazioni sui singoli componenti di un sistema al fine di impedire l’accesso da parte di dispositivi o utenti non autorizzati e potenzialmente compromessi; monitoraggio rete e analisi log, utili sia in ottica di rilevamento di eventuali intrusioni sia come supporto ad attività di investigazione e analisi; e vulnerability assessment e penetration test.
In ottica prospettica, le soluzioni che registreranno una maggiore crescita sono i SOC (Security Operation Center) convergenti, in grado di garantire protezione per i sistemi di controllo industriale a tutti i livelli, mantenere un’elevata visibilità ed eseguire analisi e risposta delle minacce multi-vettore; i tool di anomaly detection, sempre più spesso basati su tecniche di apprendimento automatico (artificial intelligence e machine learning) e l’analisi statica/code review, per garantire la sicurezza delle applicazioni.
OT security: le sfide delle aziende
Le sfide che le aziende si trovano a dover affrontare quando si parla di OT Security non sono però soltanto legate al campo tecnologico, ma anche alla sfera delle competenze e dei modelli organizzativi e più in generale al tema della Cyber Security Governance. Elementi quali la scarsa consapevolezza delle problematiche da parte delle funzioni Operations, l’assenza di competenze specialistiche e la mancanza di responsabilità non ben definite rappresentavano infatti, secondo la Ricerca 2019 dell’Osservatorio, alcuni tra i principali punti di attenzione.
Quando si parla di Cyber Security Governance si fa riferimento a tutte le scelte che contribuiscono a definire la direzione strategica della cyber security, in allineamento con la strategia complessiva dell’organizzazione: la Cyber Security Governance considera la definizione di obiettivi e priorità, il disegno di una configurazione organizzativa che renda efficace la gestione della sicurezza, l’assegnazione delle responsabilità e la determinazione di ruoli e competenze.
IT E OT security, le differenze di approccio e di visione
La Ricerca si è focalizzata sui seguenti 4 pillar:
- obiettivi e priorità della Security
- modello organizzativo e meccanismi di coordinamento
- identificazione delle responsabilità
- profili di competenze
Per inquadrare correttamente il tema occorre quindi partire innanzitutto prendendo in considerazione obiettivi e priorità dell’OT Security, anche in relazione al mondo dell’IT Security. Sebbene le finalità di alto livello siano comuni tra i due ambiti e coincidano con l’esigenza di preservare il business dell’azienda, spesso si riscontrano ampie divergenze in termini di approccio e di visione.
Un primo lampante divario si verifica focalizzando l’attenzione sui tre principi chiave della sicurezza informatica: confidenzialità, integrità e disponibilità. Se per l’IT Security, infatti, la principale priorità è rappresentata dalla confidenzialità, ovvero dalla garanzia di riservatezza delle informazioni, che non devono poter essere utilizzate da alcun soggetto non autorizzato, il principio che guida la sicurezza OT è invece la disponibilità, ovvero la possibilità di accedere ai dati e alle risorse in un tempo stabilito ed in modo ininterrotto. Obiettivo primario del mondo OT è infatti quello di garantire la continuità del servizio, evitando eventuali blocchi o interruzioni.
Ulteriori divergenze riguardano, a livello pratico, il modo in cui viene garantita la sicurezza nei due mondi: più nello specifico, le soluzioni di sicurezza legate al mondo IT spesso non sono in grado di adattarsi ai sistemi industriali, ossia sistemi proprietari obsoleti che, come detto, non sono stati originariamente progettati per essere connessi alla rete. Oltre agli aspetti legati all’utilizzo di soluzioni, si innesta inoltre un altro fattore di carattere “culturale”: spesso infatti la funzione Operations non considera la security prioritaria o, addirittura, la considera un ostacolo al normale svolgimento delle attività.
Il modello organizzativo
Il secondo elemento analizzato riguarda la definizione di un modello organizzativo adeguato alle necessità della singola azienda: come già visto nel capitolo precedente relativamente alla gestione dell’information security nel suo complesso, anche in questo campo non esiste una soluzione univoca per tutte le realtà e la giusta struttura di governance dipende dalla cultura e dal modello esistente nel resto dell’organizzazione. Secondo quanto emerge dalla Ricerca dell’Osservatorio, il presidio dell’OT Security all’interno delle grandi aziende italiane è gestito in maniera estremamente eterogenea: molto spesso viene demandato alla funzione IT (47%), in alcuni casi (11%) alla funzione Information Security, se diversa dall’IT, e più raramente alla divisione Operations (4%). Esistono poi situazioni in cui la gestione dell’OT Security è demandata a più di una delle funzioni aziendali elencate precedentemente (23%). A completamento del campione, il 15% delle organizzazioni lamenta una totale mancanza di presidio, che non è esplicitamente demandata a nessun soggetto in particolare, sia esso interno o esterno all’organizzazione.
Qualsiasi sia la configurazione scelta, individuare in modo chiaro profili direzionali e di responsabilità in questo campo è molto complesso ed è quindi opportuno prevedere dei meccanismi di coordinamento tra le funzioni IT, Information Security e Operations, anche attraverso l’istituzione di appositi Steering Committee. Tali meccanismi sono attualmente stati definiti nel 44% delle organizzazioni intervistate.
Le responsabilità in caso di incidente di sicurezza
Un altro tema su cui è opportuno focalizzarsi riguarda le responsabilità in caso di incidente di sicurezza. Come visto in precedenza, occorre infatti tenere presente che un evento di OT Security può avere conseguenze rilevanti non solo sul business dell’azienda, nel caso ad esempio di blocco parziale o totale della produzione, ma anche, nei casi più gravi, sull’ambiente o sulla salute delle persone fisiche. Pertanto, diventa innanzitutto fondamentale adottare un approccio risk-based, ossia svolgere un’analisi degli scenari di rischio e una valutazione dei potenziali impatti che potrebbero derivare dal verificarsi di un incidente. In secondo luogo, è necessario procedere a una definizione chiara delle responsabilità: nella realtà dei fatti tali responsabilità non sono sempre definite in modo univoco, ma l’IT Security ha generalmente un ruolo cruciale nel processo di gestione dell’incidente. In terzo luogo, occorre identificare le figure da coinvolgere, al fine di velocizzare i tempi di risposta e limitare i danni. Infine, occorre definire anticipatamente i meccanismi di gestione e di segnalazione di un evento di sicurezza.
I profili di competenze
L’ultimo fattore approfondito riguarda i profili di competenze. Nel 48% delle organizzazioni intervistate esistono figure interne con competenze di OT Security, diffuse tra le varie funzioni aziendali: le skills si possono trovare nell’IT (25%), nell’Information Security (15%), nelle Operations (6%) o in altre funzioni (2%).
Il 22% del campione dichiara di non poter attualmente contare sulla presenza di figure specializzate in materia di OT Security, ma di volerle introdurre in azienda entro i prossimi 12 mesi; mentre nel restante 30% le competenze sono assenti e al momento non se ne prevede l’introduzione.
In tale contesto, la consapevolezza dei dipendenti dell’organizzazione rappresenta un elemento imprescindibile per minimizzare i rischi: diventa pertanto essenziale svolgere formazione a tutti i livelli per sensibilizzare il personale aziendale rispetto alle possibili minacce per la sicurezza. Si attesta al 45% la percentuale di aziende in cui è già stata prevista la definizione di programmi di cybersecurity awareness & training che includano il tema industriale; nel 35% dei casi sono inoltre state introdotte specifiche policy comportamentali in materia.
I risultati complessivi della rilevazione saranno presentati in occasione del convegno finale dell’Osservatorio Information Security & Privacy che si terrà il 5 Febbraio 2020 a Milano. Per maggiori informazioni e per iscriversi gratuitamente si rimanda al seguente indirizzo.
