La Security Convergence (sempre più spesso ridefinita come Converged Security) rappresenta l’evoluzione naturale della sicurezza di un’organizzazione nell’era digitale.
Con l’aumento degli incidenti determinati da vulnerabilità sia fisiche che digitali, diventa assolutamente necessario, per le aziende, adottare un approccio unificato che consideri entrambi gli aspetti, sia quello fisico che quello digitale. In altri termini, mettere in atto misure per far fronte anche a possibili attacchi di natura ibrida.
Il Legislatore Unionale – ben consapevole di questa necessità – ha recepito questo modello nell’art.21 (Considerando 79) della Direttiva UE 2022/2555, la c.d. NIS 2, stabilendo che tutte le misure di gestione dei rischi di cibersicurezza debbano basarsi su un approccio multirischio mirante a proteggere sia i sistemi informatici e di rete che il loro ambiente fisico dagli incidenti incombenti.
Questo articolo è volto a mostrare come l’integrazione di questi due mondi possa portare a una sicurezza più robusta e sistematica.
Indice degli argomenti
L’attualità del paradigma della “Security Convergence”
La Security Convergence qualifica l’integrazione tra la sicurezza fisica e la sicurezza informatica. Concepita nel primo decennio del nostro secolo, quando le tecnologie digitali stavano appena iniziando a influenzare il mondo degli affari e delle operazioni governative, oggi, la Security Convergence, con l’incremento delle minacce fisiche – connesse anche ai cambiamenti climatici che hanno ultimamente determinato urgenti emendamenti degli standard internazionali[1] – non solo rimane rilevante, ma si evolve per affrontare sfide sempre più complesse.
Appare, così, in tutta evidenza come le tecnologie emergenti e i nuovi modelli di minaccia riaffermino il valore della Security Convergence come strategia essenziale per una difesa complessiva efficace.
La conferma di questa argomentazione si trova all’interno della Direttiva NIS 2 che riconosce esplicitamente l’importanza di un modello integrato di sicurezza, che affronti sia le minacce digitali sia quelle fisiche in un quadro unificato. L’essenza di questo approccio multirischio risiede nella sua capacità di anticipare e mitigare i rischi provenienti da molteplici fonti.
Non si tratta solo di difendere le infrastrutture informatiche da attacchi esterni come malware o attacchi ransomware o DDoS, ma anche di proteggere queste stesse infrastrutture da minacce fisiche come incendi, calamità naturali, interruzioni di corrente o problemi di telecomunicazione che possono avere effetti devastanti sulla continuità operativa.
Le organizzazioni sono quindi chiamate a rivedere e rafforzare le loro strategie di sicurezza, integrando sistemi di allarme avanzati, piani di recupero in caso di disastro e misure preventive contro il furto fisico di hardware o l’accesso non autorizzato alle attrezzature.
Ebbene, per garantire queste finalità la NIS 2 promuove l’adozione di standard internazionali come quelli della serie ISO/IEC 27000, che forniscono un framework riconosciuto per la gestione della sicurezza delle informazioni.
Importanza strategica delle norme della famiglia ISO/IEC 27000
L’approccio multirischio ispirato al paradigma della Security Convergence e recepito nella NIS 2 rappresenta non solo una strategia di difesa, ma anche una necessità operativa che potenzia la resilienza delle organizzazioni.
Prevedere e prepararsi a rischi multipli consente alle organizzazioni di rimanere agili e reattive, preservando la fiducia dei loro stakeholder e garantendo la continuità della loro operatività.
Proprio al fine di implementare la Security Convergence, il Considerando 79 della NIS 2 prevede testualmente che “le misure di gestione dei rischi di cibersicurezza dovrebbero pertanto affrontare anche la sicurezza fisica e dell’ambiente dei sistemi informatici e di rete includendo misure volte a proteggere detti sistemi da guasti del sistema, errori umani, azioni malevole o fenomeni naturali, in linea con le norme europee e internazionali, come quelle di cui alla serie ISO/IEC 27000”.
L’aspetto organizzativo
Alla luce di quanto sopra si evince che uno dei principi fondamentali della convergenza della sicurezza consiste nel fatto che i team di sicurezza fisica e quelli di sicurezza informatica all’interno di una organizzazione condividano un obiettivo comune. Tale obiettivo potrebbe essere riassunto nella protezione delle risorse critiche per la continuità aziendale.
Ogni team, peraltro, affronta il tema da una prospettiva diversa. La combinazione degli sforzi di ogni team è superiore alla somma dello sforzo del singolo producendo un notevole valore aggiunto combinando le sinergie per ottenere il livello di protezione migliore con le risorse disponibili.
In ogni caso, l’obiettivo della Security Convergence non è quello di unire i due team ma tenerli ben distinti. L’ottimizzazione si ottiene tramite la messa a disposizione di una politica che coinvolga entrambi i team laddove si presente una nuova minaccia o sono variate le condizioni al contorno di una minaccia già presente ed è necessario modificare/integrare le misure di mitigazione.
Nell’implementare un modello di Security Convergence non vanno dimenticate le possibili barriere che possono ostacolare il processo ed è quindi opportuno mettere in atto preventivamente delle contromisure come di seguito illustrato.
Barriera | Contromisura |
Sedi aziendali e team dislocati sul territorio | Utilizzo di piattaforme di condivisione. |
Limiti di budget | Iniziare con progetti di impegno più modesto in modo da far percepire il valore aggiunto dello strumento per ottenere, via via che ne viene apprezzata l’utilità ed efficacia budget più consistenti. |
Lacunose competenze del personale e mancanza definizioni di ruoli | Come sopra avviare progetti modesti per far prendere confidenza con le modalità di lavoro, nominare un Team Leader qualificato che accompagni il processo e permetta la crescita dei soggetti coinvolti. |
L’approccio multirischio in pratica
Sulla base di quanto finora evidenziato è agevole comprendere che affrontare un approccio multirischio vuol dire considerare vulnerabilità sui vari asset che sono depositari di informazioni quali: le risorse umane, le infrastrutture, i fornitori e via dicendo.
Così, ad esempio, le misure poste in atto per proteggere dal rischio di incendio i server presenti nella sede di una azienda possono essere anche diverse da quelli posti in essere per proteggere i server presenti in un’altra sede aziendale.
Infatti, per quanto il rischio sia sempre il medesimo, la probabilità e la gravità delle minacce possono essere anche significativamente differenti, e quindi tali devono essere anche le misure definite.
Del resto, la stessa ISO/IEC 27001:2022 imposta le 4 famiglie di controlli secondo l’approccio multirischio (controlli organizzativi, risorse umane, fisici, tecnici).
Applicazione dell’approccio multirischio: esempio pratico
Un gestore di acquedotto, soggetto essenziale secondo la tassonomia della NIS 2, ha diverse sedi e impianti dislocati sul territorio e li gestisce tramite un sistema informatico centrale posto in una delle sedi. Adottando l’approccio multirischio ha previsto di:
- effettuare la valutazione, in ottica multirischio, identificando le minacce potenziali e le vulnerabilità che insistono sul sistema informativo;
- implementare le misure di sicurezza, in relazione alle vulnerabilità individuate, mettendo in atto diverse soluzioni anche avvalendosi di fornitori;
- pianificare la continuità operativa, nel caso di situazioni emergenziali ricorrendo, ad esempio anche alle misure o a parte delle misure proposte dalla ISO 22301:2019 “Security and resilience — Business continuity management systems — Requirements”, tra le quali: piano di risposta agli incidenti, formazione del personale, prove di emergenza, condivisione dele lessons learned sulla base dei risultati delle simulazioni;
- monitorare lo stato delle vulnerabilità per individuarne di nuove nonché delle misure implementate e della loro efficacia, dei risultati delle azioni poste in atto per garantire la continuità operativa;
- aggiorna le misure secondo le criticità e priorità individuate.
Aspetto | Vulnerabilità | Misura di sicurezza | Diversificazione delle difese |
organizzativo | Consegna dei badge in forma non gestita | Gestione dei badge in forma controllato con definizioni degli accessi permessi in relazione al ruolo ricoperto, registrazione della consegna, del ritiro ed istruzioni per la corretta gestione degli stessi da parte degli utilizzatori | Sistema di gestione di chiavi fisiche in sostituzione o integrazione dei badge |
personale | Collaboratore che cancella involontariamente i dati caricati sul sistema informatico di analisi delle acque campionate | Richiesta di doppia conferma prima di procedere ad una cancellazione dei dati | Back-up dei dati (time redention 30 gg) e prove di restore (frequenza annuale) |
accessi fisici | furto del server su cui risiede il sistema informatico | Accesso controllato al locale server, sistema di allarme, video registrazione, custode h 24, server imbullonato al pavimento | Come sopra, inoltre le prove di restore assicurano un tempo di riavvio dei sistemi inferiore a quello contrattualizzato con i clienti |
tecnico | hacker che, accedendo al sistema informatico disattiva i sistemi di sicurezza presenti sugli impianti | Sistemi antimalaware con monitoraggio ed allert nel caso si rilevassero situazioni anomale | Ridondanza dei sistemi tramite linee dedicate indipendenti |
Esempio di attacco ibrido
Se al punto precedente è stato analizzato, sia pure per sommi capi, come il gestore dell’acquedotto potrebbe mettere in atto misure di sicurezza e diversificare le difese, vediamo ora il punto di vista dell’agente malevolo e nello specifico le fasi che potrebbero portare a organizzare l’attacco.
Un attacco ibrido, sia per la componente degli accessi fisici che di quelli cyber, determina la massimizzazione dell’impatto e della probabilità di successo.
Ricognizione e preparazione
- Ricognizione fisica – L’agente malevolo conduce un sopralluogo all’acquedotto, osservando le misure di sicurezza fisiche, i punti di accesso, le routine del personale e altre vulnerabilità che possono emergere. Egli potrebbe anche utilizzare sistemi di ingegneria emotiva per capire informazioni sensibili dai collaboratori aziendali.
- Ricognizione cyber – L’agente malevolo effettua una scansione delle reti informatiche dell’acquedotto per identificare dispositivi vulnerabili e sistemi di controllo industriale (come, ad esempio, quelli volti a controllare il funzionamento degli impianti). Sulla base delle vulnerabilità individuate l’agente malevolo può pianificare le modalità ed i tempi per condurre l’attacco.
Compromissione iniziale
- Compromissione fisica – L’agente malevolo si infiltra fisicamente nel sito (tramite credenziali rubate e duplicate o falsificate) o utilizzare droni
- Compromissione cyber – L’agente malevolo utilizza malware per ottenere l’accesso iniziale ai sistemi informatici dell’acquedotto, installando un trojan o un altro sistema che possa compromettere la sicurezza dei dati.
Coordinamento degli attacchi
- Compromissione fisica – L’agente malevolo sabota i componenti fisici critici dell’acquedotto e/o inquina le riserve d’acqua potabile.
- Compromissione cyber – Simultaneamente, l’agente malevolo utilizza l’accesso ai sistemi per manipolare il funzionamento dell’acquedotto anche per distogliere l’attenzione dall’attacco fisico in corso oppure per disabilitare i sistemi di sicurezza volto a facilitare il sabotaggio.
Conseguenze
- Interruzione del servizio – Il sabotaggio fisico causa un’interruzione immediata dell’erogazione dell’acqua o immette nell’acquedotto acqua avvelenata che è molto difficile da rilevare. L’attacco cyber amplifica le conseguenze manipolando i sistemi di controllo (ad esempio in campionatori che rilevano il flusso o la qualità dell’acqua) e determinando un aumento dei tempi di intervento.
- Confusione e ritardo nella risposta – L’attacco cyber può includere la diffusione di disinformazione, come falsi allarmi o il blocco delle comunicazioni interne, rallentando ulteriormente la capacità del personale di rilevare e risolvere il problema.
Conclusioni
Nell’articolo si è cercato di evidenziare come la Direttiva NIS 2 segni un passo significativo verso un modello di sicurezza più integrato e resiliente.
Per le organizzazioni, qualificate soggetti essenziali ed importanti, comprendere e applicare questo approccio multirischio non è solo una questione di conformità normativa, ma una necessità strategica che può definire la loro capacità di prosperare in un ambiente digitale sempre più complesso e minaccioso.
In sintesi, nel contesto attuale, dove le linee tra sicurezza fisica e digitale sono sempre più sfumate, la Security Convergence, attraverso un approccio multirischio, si conferma un paradigma non solo attuale, ma decisamente proiettato verso il futuro.
[1] Si fa riferimento agli Amendement 1:2024 delle norme ISO sui sistemi di gestione.