Tutti gli esperti di cyber security lo dicono da tempo: trovare una netta distinzione tra sicurezza IT e OT diventa sempre più difficile e i due ambiti sono sempre più sovrapposti. Nella definizione delle strategie di difesa degli asset aziendali, però, le due direttrici non hanno solo punti di congiuntura, ma anche accenti diversi dovuti alle specificità dei settori. “Il confine tra IT e OT è sempre più sfumato”, conferma Lorenzo Bernini, Cyber Security Manager di HWG, azienda specializzata nella fornitura di servizi di sicurezza informatica. “Anche nell’era dell’industria 4.0, però, ci sono delle specificità in entrambi i settori che condizionano le strategie di difesa del business”.
Indice degli argomenti
Sicurezza IT e OT: una convivenza sempre più stretta
Il punto di partenza nel ragionamento richiede di fissare un primo “paletto” dal quale non si può prescindere: il legame tra Information Technology e Tecnologia Operativa ha due dimensioni ben distinte. La prima riguarda il processo di digitalizzazione del settore OT, che in brevissimo tempo ha introdotto nella produzione problematiche fino a un tempo limitate all’aspetto “immateriale” dei processi aziendali. In altre parole, se fino a qualche anno fa un attacco informatico poteva essere visto come una minaccia in grado di impattare solo su una parte dell’azienda (amministrazione, comunicazione, marketing), oggi l’azione di un pirata informatico ha buone probabilità di avere ripercussioni pratiche e immediate anche sullo stesso processo produttivo, anche in settori come il manifatturiero, la produzione energetica e altri segmenti industriali tradizionalmente considerati non dipendenti dall’infrastruttura digitale. “La maggior parte delle realtà industriali utilizza sistemi digitali di controllo della produzione” conferma Bernini. “Un attacco informatico può bloccare l’intera attività e provocare danni notevoli al business delle imprese”. Il legame tra IT e OT, però, va oltre il tema della vulnerabilità della produzione ai cyber attacchi e investe una prospettiva più complessiva.
Affinità e divergenze tra sicurezza IT e OT
Alcuni degli aspetti generali nella gestione della sicurezza IT e OT, in realtà, convergono. Soprattutto da quando il mondo della cyber security ha sposato la filosofia di fondo della detection and response. Tra questi, per esempio, la necessità di un monitoraggio costante sia del traffico di rete sia degli eventi di sicurezza rilevati a livello di network. Un’esigenza, questa, che in realtà è motivata da esigenze diverse. Se nel mondo IT la logica è quella di aggiungere ai tradizionali sistemi di protezione endpoint un layer di sicurezza che consenta un intervento tempestivo in caso di attacco, in ambito OT il monitoraggio del traffico rappresenta l’unica soluzione per proteggere dispositivi che, per le loro caratteristiche, non possono essere difesi utilizzando sistemi tradizionali come l’installazione di un software antivirus. Altri aspetti, come l’implementazione di policy e sistemi di gestione dei dispositivi (per esempio le autorizzazioni per il collegamento a chiavi di memoria USB) hanno semplicemente una rilevanza diversa. Se in ambito IT possono essere considerate “buone pratiche” che rispondono, però, all’esigenza di mitigare un vettore di attacco tutto sommato residuale, in ambito OT hanno un’importanza maggiore. Sono molti, infatti, i dispositivi dedicati alla produzione che hanno una protezione di tipo “air gap” (l’assenza di connessione alla rete che esclude la possibilità di attacchi in remoto – ndr) e per i quali, di conseguenza, la connessione a un dispositivo terzo rappresenta la principale minaccia.
Qual è l’anello debole?
La permeabilità tra i due ambienti all’interno dell’ecosistema ambientale, nell’ottica di chi si occupa di cyber security, ha conseguenze che riguardando il concetto di “superficie di attacco” e le strategie che devono essere messe in campo per ridurne le dimensioni. Il rapporto tra sicurezza IT e OT, in questa declinazione, è rilevante sotto due prospettive che si collocano agli antipodi. “Nella catena della sicurezza informatica è indispensabile individuare le aree più vulnerabili” spiega l’esperto di HWG. “In questo caso ci troviamo di fronte a due diversi ambiti con differenti vulnerabilità, che però interessano, a cascata, entrambi i settori”. La cronaca recente, così come le statistiche di tutte le società di sicurezza informatica, confermano per esempio che nella maggior parte dei casi i cyber criminali utilizzano come vettore di attacco la posta elettronica, sfruttando tecniche come il phishing per ottenere l’accesso alla rete. In questa prospettiva l’ambito IT rappresenta il “punto di accesso” privilegiato che i pirati informatici possono sfruttare per introdursi nella rete aziendale e colpire poi il settore OT. “Una delle prime preoccupazioni nella messa in sicurezza dei sistemi di sicurezza IT e OT deve essere quella di adottare policy di segmentazione della rete che consentano di creare una netta separazione tra i due ambiti” spiega Bernini. In caso contrario, il collegamento rischia di rappresentare un enorme elemento di debolezza.
Una dimensione temporale diversa
L’interdipendenza a livello di sicurezza IT e OT è un concetto valido anche a ruoli ribaltati. Per comprenderlo, è sufficiente considerare il tema del vulnerability management, che assume declinazioni diverse a seconda del settore in cui viene applicato. Se nel settore IT si traduce normalmente in una definizione di rigorose policy di patching che consentano di aggiornare il software utilizzato non appena emerge un bug, in ambito OT le cose sono più complicate. “I tempi di obsolescenza in ambito IT e OT viaggiano su dimensioni temporali molto diverse” spiega Bernini. “La digitalizzazione dei sistemi di produzione, in questo senso, si trova ad affrontare delle contraddizioni che, a livello di cyber security, sono potenzialmente esplosive”. Il tema è quello dei sistemi legacy, cioè di quei software troppo “datati” che non ricevono più supporto dagli sviluppatori anche per gli aggiornamenti di sicurezza. Un fenomeno che in ambito industriale si presenta con una certa frequenza a causa di una netta asimmetria tra le “aspettative di vita” degli strumenti digitali e le attrezzature dedicate alla produzione. “Spesso le imprese si trovano nella situazione di avere linee produttive che sono gestite attraverso sistemi digitali, ma la loro compatibilità è limitata a software o sistemi operativi non più supportati” conferma il Cyber Security Manager di HWG. “In ambito OT, di conseguenza, l’aspetto del vulnerability management ha caratteristiche diverse dall’IT e richiede l’uso di strumenti specifici”.
Contributo editoriale sviluppato in collaborazione con HWG.
