Secondo la società di ricerca Gartner, entro il 2025 i cyber attacker sfrutteranno gli ambienti di operational technology (Ot) per arrecare danni fisici o addirittura uccidere esseri umani.
Gartner ha descritto il contesto entro cui è maturata questa inquietante previsione.
Gli attacchi ad ambienti OT, cioè i sistemi hardware e software che monitorano o controllano attrezzature, beni e processi, sono diventati più comuni, ha messo in evidenza la società di ricerca.
E si sono anche evoluti dall’interruzione immediata del processo, come lo spegnimento di un impianto, alla compromissione dell’integrità degli ambienti industriali con l’intento di creare danni fisici. Gartner fa l’esempio di un cyber attacco in cui dei criminali informatici hanno tentato di avvelenare la rete idrica di una città della Florida.
Altri eventi recenti come l’attacco ransomware a Colonial Pipeline hanno evidenziato la necessità di avere reti adeguatamente segmentate per gli ambienti It e Ot.
Secondo gli analisti di Gartner, negli ambienti operativi i leader della sicurezza e della gestione dei rischi dovrebbero essere più preoccupati dei pericoli del mondo reale per gli esseri umani e l’ambiente, piuttosto che del furto di informazioni.
Le inchieste di Gartner con i propri clienti hanno rivelato che le organizzazioni in settori ad alta intensità di asset, come la produzione, le risorse e i servizi pubblici, fanno fatica a definire framework di controllo appropriati.
Secondo l’analisi di Gartner, gli incidenti di sicurezza Ot e di altri sistemi cyber-fisici (CPS, cyber-physical systems) hanno tre motivazioni principali: danno effettivo, vandalismo commerciale (riduzione della produzione) e vandalismo reputazionale (rendere un produttore non degno di fiducia o inaffidabile).
Gartner prevede che l’impatto finanziario degli attacchi CPS con conseguenti vittime mortali raggiungerà oltre 50 miliardi di dollari entro il 2023.
Anche senza prendere in considerazione il valore della vita umana, mette in evidenza la società di analisi, i costi per le organizzazioni in termini di risarcimento, contenzioso, assicurazione, multe normative e perdita di reputazione saranno significativi. Inoltre, Gartner prevede anche che la maggior parte dei CEO saranno personalmente responsabili di tali incidenti.
10 controlli di sicurezza per l’Operational Technology
Per tutto questo Gartner consiglia alle organizzazioni di adottare un framework di 10 controlli di sicurezza per migliorare la postura di security nelle loro strutture ed evitare che gli incidenti nel mondo digitale abbiano un effetto negativo nel mondo fisico.
1. Definire ruoli e responsabilità
Gartner suggerisce di nominare un Ot security manager per ogni struttura, che sia responsabile di assegnare e documentare i ruoli e le responsabilità relative alla sicurezza per tutti i lavoratori, i dirigenti ed eventuali terzi.
2. Garantire formazione e consapevolezza adeguate
Tutto il personale Ot deve avere le competenze necessarie per i propri ruoli. I dipendenti di ogni struttura devono essere formati per riconoscere i rischi di sicurezza, i vettori di attacco più comuni e cosa fare in caso di incidente di sicurezza.
3. Implementare e testare la risposta agli incidenti
Assicurarsi, prosegue la lista di suggerimenti di Gartner, che ogni struttura implementi e mantenga un processo di gestione degli incidenti di sicurezza specifico per l’Ot che includa quattro fasi: preparazione; rilevamento e analisi; contenimento, eliminazione e recupero; e attività post-incidente.
4. Backup, ripristino e disaster recovery
Le organizzazioni devono assicurarsi che siano in atto adeguate procedure di backup, ripristino e disaster recovery. Per limitare l’impatto di eventi fisici come un incendio, non conservare i supporti di backup nella stessa posizione del sistema di backup. I supporti di backup devono anche essere protetti dalla divulgazione non autorizzata o dall’uso improprio. Per far fronte a incidenti di elevata gravità, deve essere possibile ripristinare il backup su un nuovo sistema o macchina virtuale.
5. Gestire i supporti portatili
Gartner suggerisce poi di creare una policy per garantire che tutti i supporti di archiviazione dati portatili, come chiavette USB e computer portatili, siano sottoposti a scansione, indipendentemente dal fatto che un dispositivo appartenga a un dipendente interno o a parti esterne, come subappaltatori o rappresentanti. Solo i supporti trovati privi di codice o software dannoso possono essere collegati all’Ot.
6. Avere un inventario aggiornato delle risorse
Il responsabile della sicurezza deve tenere un inventario continuamente aggiornato di tutte le apparecchiature e software Ot.
7. Stabilire un’adeguata network segregation
Le reti Ot, consiglia Gartner, devono essere fisicamente e/o logicamente separate da qualsiasi altra rete sia internamente che esternamente. Tutto il traffico di rete tra una rete Ot e qualsiasi altra parte del network deve passare attraverso una soluzione gateway sicura come una demilitarized zone (DMZ). Le sessioni interattive verso l’Ot devono utilizzare l’autenticazione a più fattori per autenticarsi al gateway.
8. Log e rilevamento in tempo reale
Secondo Gartner, devono essere in vigore policy o procedure appropriate per il logging automatico e la revisione di eventi di sicurezza potenziali ed effettivi. Questi dovrebbero includere chiari tempi di conservazione dei log di sicurezza e la protezione da manomissioni o modifiche indesiderate.
9. Implementare un processo di configurazione sicura
Le configurazioni sicure devono essere sviluppate, standardizzate e distribuite per tutti i sistemi applicabili come endpoint, server, dispositivi di rete e field device. Il software di sicurezza degli endpoint, come l’anti-malware, deve essere installato e abilitato su tutti i componenti dell’ambiente Ot che lo supportano.
10. Processo formale di patching
Il decimo e ultimo punto di Gartner è: implementare un processo per far qualificare le patch dai produttori delle apparecchiature prima del deploying. Una volta ottenute le patch qualificate, queste possono essere distribuite solo sui sistemi appropriati con una frequenza prestabilita.