Cyber security in ambito OT: mitigazione del rischio informatico
Cyber security in ambito OT: Un'occasione per poter dire lesson learned
Sommario
Gestione del rischio: Alcune basi.
- Identificazione: Il rischio viene individuato e riconosciuto come tale;
- Analisi: Il rischio viene analizzato e vengono definiti gli effort e le probabilità che un determinato evento si verifichi;
- Valutazione: si decide come e quale rischio gestire;
- Mitigazione: Si implementano le misure di sicurezza necessarie a mitigare il rischio;
- Monitoraggio: Il ciclo viene ripetuto con lo scopo di analizzare l'esposizione dell'organizzazione.
Gestione del rischio, una questione di statistica.
Semplificando molto il discorso il tutto si riduce ad un rapporto tra impatto e probabilità.
Un rischio altamente probabile e di grande impatto rappresenta di certo un problema importante per l'organizzazione, la sua
mitigazione è una priorità.
Al contrario, un rischio mitigato e improbabile, è da considerarsi un rischio la cui mitigazione non è prioritaria o addirittura è accettabile lasciare la situazione allo stato corrente, sono i così detti rischi residui accettabili.
Quattro motivi per i quali OT sarà il nuovo eldorado dei cybercriminali.
- Il mercato del ransomware è all'apice, le aziende stanno imparando a difendersi e, seppur lentamente, si stanno strutturando per rispondere a questo tipo di minaccia. I ciminali dovranno cercare altrove;
- Il personale di impianto è ancora molto distante da queste tematiche e concentra i propri sforzi nell'innovazione, inconsapevole del fatto che sta aumentando la superfice di attacco dell'organizzazione;
- Il personale IT, sensibile alle tematiche di security, vede l'OT come una black box e entra con difficoltà nelle dinamiche che la governano;
- Il mercato offre poche soluzioni e poche competenze in questo ambito specifico: Un mondo frammentato e chiuso dove è difficile anche solo mettersi d'accordo sulla terminologia.
Video
Gestione del rischio, un modello fallimentare?
Eventi di varia natura impattano le organizzazioni e, più in generale, i sistemi organizzati per adempiere ad un determinato
scopo. Analizzando i ricorsi storici possiamo osservare come determinati evento abbiano avuto un impatto più che significativo,
colpa di un modello di gestione del rischio fallimentare?
Caso numero uno: Interruzione di alimentazione elettrica
Impatto:
- Interruzione momentanea della produzione;
- Se non correttamente gestito può provocare guasti.
Probabilità: sempre più bassa
Mitigazione:
- Comunicazione con il fornitore di energia;
- Installazione di gruppi di continuità e/o generatori;
- Procedure di gestione dell'outage.
Caso numero due: Dipendente in malattia
Impatto:
- Interruzione momentanea dell'attività legata alla funzione del dipendente;
- Se non correttamente gestito può provocare rallentamenti nell'operatività dell'azienda.
Probabilità: sempre più alta
Mitigazione:
- Ridondanza dei ruoli;
- Redazione di procedure scritte;
- Flessibilità dell'organico aziendale.
Caso numero tre: Pandemia mondiale
Impatto:
- Sostanziale su tutte le aree operative dell'organizzazione.
Probabilità: Statisticamente bassa
Mitigazione:
- Sviluppare una capacità di adattamento a contesti operativi dinamici.
COVID 19: Sfortuna o negligenza?
Eravamo nella condizione di prevedere?
Storicamente l'umanità ha affrontato molteplici pandemia, il problema più grande quando si parla di tali eventi è l'imprevedibilità. Sappiamo che un nuovo virus può nascere, ciò che non sappiamo è se e comeil corpo umano reagisce. Non sappiamo se il sistema umanitario sarà in grado di debellarlo così come non sappiamo se il virus sarà in grado di attecchire sui tessuti che compongono il nostro corpo, in poche parole non possiamo sapere gli effetti di un virus a priori.
Siamo tuttavia in grado di definire scenari possibili.
Caso numero quattro: Ransomware
Impatto:
- Potenziale interruzione delle attività produttive e di back office a tempo indeterminato.
Probabilità: Alta
Mitigazione:
- Implementazione di misure di sicurezza efficaci;
- Implementazione di piani di disaster recovery e test degli stessi;
- Formazione del personale;
- Ecc.
Conclusioni
I rischi concreti per le organizzazioni in ambito OT
- Accesso remoto agli impianti;
- Mancanza di segmentazione;
- Cloud e servitizzazione;
- Mancanza di segmentazione.
Soluzioni implementabili per poter dire << Lesson learned >>
- Accesso remoto agli impianti: autenticazione forte e analisi del traffico a livello di rete;
-Mancanza di segmentazione: apparati di rete stealth idonei all'uso industriale;
- Cloud e servitizzazione: implementazione di vpn con DPI su protocolli industriali;
- Apparati legacy non patchati: hardening delle workstation e definizione di aree di rete con ACL stringenti.
- Matteo Marconi