Nel contributo che vi proponiamo qui di seguito, Grant Geyer, CPO di Claroty, commenta i Cybersecurity Performance Goal, una guida preziosa pubblicata dalla Cybersecurity Infrastructure & Security Agency per aiutare le aziende di piccole dimensioni e con poche risorse a stabilire le priorità in ambito di sicurezza informatica e ridurre i rischi.
Buona lettura.
La Cybersecurity Infrastructure & Security Agency (CISA) ha recentemente pubblicato i Cybersecurity Performance Goal, ossia un insieme di pratiche e linee guida IT e OT trasversali per aiutare le aziende di piccole dimensioni, e con meno risorse, a stabilire le priorità in ambito di sicurezza informatica e ridurre i rischi.
I CPG potrebbero diventare una guida preziosa per la sicurezza informatica e una lista di controllo per chi gestisce aziende di infrastrutture critiche, molte delle quali appartengono al settore privato e sono strutture di piccole o medie dimensioni. Alcune di queste realtà, infatti, servono comunità relativamente ristrette, fornendo acqua o elettricità, mentre altre più grandi si occupano della gestione delle condutture vere e proprie.
Sebbene la protezione delle infrastrutture critiche sia un argomento molto complesso, sia dal punto di vista politico che da quello della sicurezza informatica, CISA e altre istituzioni del settore hanno evidenziato una forte carenza di risorse che contribuisce ad ostacolare gli sforzi messi in campo da queste aziende. I CPG da soli non possono risolvere questa problematica, ma sicuramente le pratiche economicamente vantaggiose, orientate ai risultati e facilmente attuabili in essi contenute rappresentano un valido contributo per le aziende.
I 5 aspetti del Cybersecurity Performance Goal su cui si è concentrata Claroty
- Un aiuto per l’implementazione del NIST Cybersecurity Framework (CSF)
Il NIST CSF è un insieme di linee guida destinate a tutte le organizzazioni che desiderano implementare e seguire standard e best practice comuni per gestire al meglio il rischio. Negli ultimi due anni, è diventato chiaro che le piccole aziende che gestiscono le infrastrutture critiche hanno meno risorse a disposizione e maggiore difficoltà nel capire come muoversi quando si tratta di attacchi informatici. Infatti, per chi non si occupa nello specifico di cyber security riuscire ad attuare qualcosa di concreto dopo aver letto una guida tecnica di 400 pagine è molto complicato.
In questo contesto, la pubblicazione dei nuovi CPG rappresenta un primo e importante passo per semplificare l’implementazione del NIST. Secondo CISA, infatti, i CPG possono essere visti come una “guida rapida” per identificare e implementare le pratiche di sicurezza informatica di base. Ciascuno dei sette CPG, infatti, include un modello visivo che descrive il risultato desiderato, i rischi affrontati, le mitigazioni e le azioni consigliate. Ogni CPG è mappato alle sottocategorie corrispondenti all’interno del framework NIST, ma a un livello molto più “semplice” rispetto all’intero set di controlli descritto nel CSF.
Inoltre, le imprese possono utilizzare le linee guida contenute all’interno dei CPG non solo per dare priorità ai controlli che desiderano implementare, ma anche per comunicare ai leader aziendali e ai tecnici il costo e l’impatto di tali controlli.
- Potenziare le aziende ricche di obiettivi, ma povere di cybersecurity
Gran parte dell’infrastrutture critiche degli Stati Uniti sono private e nella maggior parte dei casi si tratta di piccole utility che ignorano quali siano le vere implicazioni che un’infrastruttura IT e OT sempre più connessa porta con sé. Anche se queste organizzazioni comprendono i rischi che devono affrontare, la mancanza di finanziamenti e un focus incentrato principalmente sui servizi critici forniti impediscono alla sicurezza informatica di avere la priorità su altri aspetti.
Queste aziende sono gli obiettivi ideali per i cyber criminali ed esemplificano perfettamente il binomio di “impresa ricca di obiettivi, ma povera di cyber sicurezza”. I risultati dell’indagine “2021 Water Sector Coordinating Council cybersecurity state of the industry” hanno dipinto un quadro cupo della situazione, in particolare per quanto riguarda l’identificazione delle risorse IT e OT in rete, la scarsa frequenza delle valutazioni del rischio e la mancanza di formazione sulla sicurezza informatica e di finanziamenti a livello di settore.
L’attacco subito nel febbraio 2021 ad un impianto di trattamento delle acque a Oldsmar, in Florida, ha messo in luce i problemi sistemici che minano le infrastrutture critiche negli Stati Uniti, tra cui le vulnerabilità legate ai software legacy e agli accessi da remoto non sicuri.
I CPG di CISA definiscono chiaramente i risultati e le vittorie che i leader aziendali e tecnologici possono ottenere. Ancora più importante, gli obiettivi e le relative liste di controllo possono aiutare a mitigare il rischio di attacchi che possono violare le credenziali predefinite per ottenere l’accesso ai sistemi critici.
- Cambiamento di mentalità sulla sicurezza informatica OT
Le infrastrutture critiche sono ormai nel mirino di criminali informatici o di hacker al servizio dei governi. Entrambe queste categorie hanno dimostrato la volontà di spingersi sempre più in là, utilizzando gli attacchi informatici per provocare danni nel mondo fisico, al fine di raggiungere obiettivi finanziari o geopolitici. Nel corso del 2022, ad esempio, il Governo russo aveva in programma di utilizzare il toolkit Incontroller per causare interruzioni alle infrastrutture critiche ucraine.
Nonostante l’elevato rischio rappresentato dagli attacchi ai sistemi cyber-fisici, che possono avere un impatto sul mondo fisico e sulla sicurezza pubblica, le risorse OT obsolete rimangono spesso esposte ai rischi e quindi vulnerabili. CISA ha riconosciuto questa lacuna e ha creato obiettivi e azioni specifici per l’Operation Technology all’interno dei CPG. Senza questa opportuna specifica, infatti, molto spesso si è ancora convinti che le risorse OT non siano a rischio o che le pratiche elencate nei CPG non vadano applicate all’OT.
Di seguito alcuni punti contenuti nei CPG che sono particolarmente importanti per l’Operation Technology:
Leadership sulla sicurezza informatica OT: CISA raccomanda alle organizzazioni di istituire un unico leader responsabile della sicurezza informatica delle risorse OT. Questo permette alle aziende di designare la figura di riferimento, ad esempio un CISO, che gestisca la sicurezza IT e OT, oppure di stabilire leader separati. All’interno della gerarchia organizzativa è fondamentale assegnare un ruolo e un titolo che definisca in maniera chiara le responsabilità legate alla sicurezza informatica OT.
Formazione sulla sicurezza informatica OT: CISA riconosce anche il ruolo unico che possono rivestire gli ingegneri nella difesa delle reti e dei dispositivi OT dalle minacce e raccomanda una formazione annuale specializzata sulla sicurezza informatica incentrata sull’OT. Sebbene le aziende possano disporre di un team per le operazioni di sicurezza, abilitare e potenziare gli ingegneri OT come prima linea di difesa per individuare e mitigare il rischio informatico è di fondamentale importanza. Stabilire un obiettivo di formazione per la sicurezza informatica OT può servire a individuare e mitigare i rischi prima che si realizzino, è come addestrare gli utenti IT a non fare clic su collegamenti sospetti o aprire allegati.
Mitigazione della vulnerabilità: la gestione della vulnerabilità è un’altra area all’interno dei CPG per la quale CISA ha formulato raccomandazioni specifiche nel campo dell’Operation Technology. Non sempre, infatti, le reti OT possono essere patchate in modo tempestivo e le imprese hanno manifestato sempre più spesso la loro avversione proprio verso tempi di inattività o il fatto che alcuni dispositivi sul campo e sistemi di controllo non possano essere patchati. In questi casi al fine di mitigare i rischi, CISA consiglia di utilizzare la segmentazione della rete e i controlli di accesso fino a quando non possano essere applicate patch software o effettuati aggiornamenti del firmware.
Accesso e autenticazione: diversi obiettivi dei CPG indicano la necessità di rimuovere le password predefinite, stabilire l’autenticazione a più fattori e implementare credenziali univoche per le risorse. Sebbene alcune risorse OT possano avere password condivise e credenziali hardcoded, sono disponibili controlli per mitigare molti di questi rischi intrinseci delle risorse OT, fornendo un livello di astrazione che consente l’accesso granulare basato sui ruoli oltre che sui rischi intrinseci legati all’identità delle risorse OT. Una tecnologia che consente l’accesso remoto sicuro può consentire ai team di sicurezza informatica di raggiungere diversi obiettivi contemporaneamente.
È doveroso, inoltre, sottolineare il fatto che oltre a mappare gli obiettivi del NIST CSF, i CPG sono anche strettamente allineati con IEC 62443, un insieme di standard, specifiche tecniche e rapporti seguiti dagli operatori del settore al fine di garantire l’automazione industriale e i sistemi di controllo. Le raccomandazioni OT all’interno dei CPG sono strettamente allineate a questa serie di standard e dimostrano una piena consapevolezza delle differenze che intercorrono tra sicurezza IT e OT e contribuiscono a crearne una maggiore comprensione anche tra gli ingegneri industriali.
- Impatto futuro sulla normativa e sull’assicurazione informatica
Sebbene i CPG non siano obbligatori, vi sono prove e convinzioni crescenti che le forze del libero mercato da sole non cambieranno approccio per proteggere al meglio le infrastrutture critiche dalle minacce informatiche. I CPG di CISA non sono solo una guida rapida per le piccole aziende, ma possono anche essere un punto di partenza per i prossimi regolamenti provenienti dalla Casa Bianca e dal Congresso. Le autorità di regolamentazione dispongono ora di un elenco di controllo predefinito approvato dalla CISA e di aree critiche su cui concentrarsi per affrontare temi chiave come la sicurezza dell’account, l’integrità dei dati e dei dispositivi, la catena di fornitura e il rischio di terze parti, la risposta e il ripristino.
Lo stesso vale per i provider di assicurazioni in campo informatico. Prevediamo, infatti, che anche questi attori possano utilizzare i CPG come base minima di best practice e standard che gli utenti devono mettere in atto prima che le polizze vengano emesse e le richieste pagate.
- CISA si impegna a fornire informazioni e a soddisfare le specifiche esigenze dei diversi settori
La recente pubblicazione dei CPG va riconosciuta come la loro prima iterazione. Molto probabilmente seguiranno CPG specifici che sposeranno le particolari esigenze di ciascuno dei 16 settori di Infrastrutture Critiche identificati dal governo federale. I CPG contenuti in questa prima versione (V1) sono trasversali a tutti i settori e possono aiutare a guidare la strategia e le decisioni di investimento, per questo motivo è importante continuare a soddisfare le esigenze specifiche rilevanti per ciascun settore.
Oggi, le imprese ricche di target, ma povere di cyber security nei settori critici hanno un mezzo con cui i leader tecnici (e non) possono iniziare ad affrontare i crescenti rischi informatici legati alla propria attività.