A cura di Nozomi Networks
Il rischio informatico legato alla tecnologia operativa è in aumento
In passato, i sistemi industriali non erano considerati ad alto rischio: isolati, privi di connettività verso le altre infrastrutture aziendali o internet e, al tempo stesso protetti in questa “oscurità”, venivano considerati un elemento di scarso interesse per i criminali informatici.
Tuttavia, la realtà di oggi è molto diversa ed il rischio informatico industriale è più elevato a causa di diversi fattori:
- la maggiore esposizione e condivisione di dati tra sistemi IT e OT industriali
- le tensioni geopolitiche, aumentate dopo la pandemia
- la transizione verso applicazioni e analisi basate sul cloud
- la crescente sofisticazione degli attacchi e degli autori delle minacce.
Non a caso, secondo Gartner “per ridurre il rischio, i leader della sicurezza dovrebbero eliminare i silos IT e OT, creando una singola funzione di sicurezza digitale e gestione del rischio che dovrebbe riferire all’IT, ma avere anche la responsabilità IT e OT”.
Perché l’OT deve essere considerata in un SOC aziendale
Integrare la sicurezza OT all’interno di un Security Operation Center (SOC) porta con sé numerosi vantaggi, tra cui:
- bloccare più velocemente le minacce, che spesso trovano origine nei sistemi IT, identificandole nelle prime fasi della “kill chain” informatica
- ridurre i tempi di risposta migliorando la comunicazione tra team IT e OT
- tagliare i costi grazie a un unico SOC integrato
- affrontare la carenza di talenti sfruttando i punti di forza dei team: è in genere più facile colmare il divario di competenze formando le risorse IT sulle sensibilità OT, piuttosto che l’inverso.
Un esempio viene dal governo degli Stati Uniti, che – attraverso il programma Continuous Diagnostics and Mitigation (CDM) guidato dalla Cybersecurity and Infrastructure Security Agency (CISA) – non solo fornisce risorse utili, ma dimostra come sia possibile integrare con successo l’OT in un SOC e lanciare iniziative di cybersecurity a livello aziendale.
Ma, al di là dell’implementazione di un programma continuo di diagnostica e mitigazione, ci sono diverse altre best practice che le organizzazioni possono adottare per unificare al meglio IT e OT, tra cui:
- iniziative in ottica compliance, come l’architettura SIEM e la revisione della capacità, oltre all’allineamento tra norme e conformità
- valutazioni di cyber defence readiness, esercizi tabletop tecnici ed esecutivi, così come simulazioni cibernetiche;
- pianificazioni intel-driven, come l’aumento delle capacità di intelligence sulle minacce
- programmi di cyber response come l’addestramento all’analisi del malware, l’incremento delle competenze OT per i team di cybersecurity e la condivisione delle conoscenze IT con i team OT.
Iniziative come queste possono identificare i punti di forza e le opportunità di miglioramento, e fornire una tabella di marcia per diventare un’organizzazione più resiliente e sicura dal punto di vista informatico.