Il NIST ha recentemente rilasciato una nuova versione delle sue linee guida riguardanti la sicurezza cibernetica nell’ambito delle tecnologie operative (OT), noto come “OT cyber security”. Questo aggiornamento assume un ruolo cruciale nella progettazione di un piano di sicurezza per i vari sistemi OT comuni.
Il documento SP800-82r3, pubblicato dal National Institute of Standards and Technology (NIST), rappresenta la terza revisione delle linee guida sulla sicurezza delle tecnologie operative. Nell’ambito OT, si definisce il complesso di componenti hardware, software e firmware che vengono utilizzati per il controllo diretto e il monitoraggio delle attrezzature industriali al fine di rilevare o apportare modifiche ai processi fisici.
In questo contesto, è importante notare che gli Industrial Control Systems (ICS), spesso considerati sistemi OT, rappresentano una sottocategoria in cui le reti comprendono sistemi informativi che supervisionano i processi industriali, quali la produzione, la trasformazione dei prodotti e la distribuzione.
Da sottolineare che l’ambito OT rientra nell’area delle infrastrutture critiche, costituendo un vero e proprio “sistema di sistemi”. Questo è dovuto alle molteplici interconnessioni tra i vari settori industriali. Un incidente in un’infrastruttura può avere un impatto diretto o indiretto su altre infrastrutture attraverso guasti a cascata e movimenti laterali (pivoting). Inoltre, questa complessità comporta il connubio di due mondi precedentemente distinti: il tradizionale settore IT aziendale e l’ambito OT orientato all’industria, alla produzione e alla connettività dei prodotti.
Una delle sfide principali in campo di sicurezza informatica è pertanto trovare il modo più sicuro di congiungere questi due mondi, quello dell’OT e quello dell’IT.
Va sottolineato che tutti i sistemi OT richiedono controlli in materia di sicurezza cibernetica. Spesso, i dati dei dispositivi di rete possono rappresentare una vulnerabilità per la sicurezza delle informazioni, specialmente quando vi sono protocolli deboli o software non aggiornati. Fornitori di apparecchiature, fornitori di servizi IT/OT gestiti e siti web che ospitano aggiornamenti software possono tutti diventare bersagli di attacchi esterni.
Tutti i tipi di sistemi OT comuni, come Supervisory Control and Data Acquisition (SCADA), Distributed Control Systems (DCS), Programmable Logic Controllers (PLC), Building Automation Systems (BAS), Physical Access Control Systems (PACS) e Industrial Internet of Things (IIoT), richiedono misure di sicurezza informatica.
Queste misure includono:
- Gestione dell’inventario dei dispositivi
- Valutazione delle vulnerabilità
- Controllo dei software open source
- Procedure di aggiornamento del software
- Sorveglianza della catena di approvvigionamento
- Documentazione dettagliata
Le organizzazioni devono valutare attentamente i rischi che affrontano e la loro capacità di rilevare sia gli attacchi esterni che quelli interni alle loro reti. È essenziale separare le reti critiche dall’ambiente IT tradizionale e garantire che non ci siano punti di connessione deboli tra questi sistemi.
Tradizionalmente, la sicurezza nei settori OT e IT era basata sulla difesa perimetrale, ma oggi molte organizzazioni non dispongono più di un perimetro chiaramente definito.
Per proteggere un’azienda digitale moderna, le organizzazioni devono adottare una strategia di accesso sicuro “sempre e ovunque” alle risorse aziendali, come applicazioni, sistemi legacy, dati e dispositivi, indipendentemente dalla posizione e dalle condizioni (ad esempio, il lavoro smart).
I punti chiave evidenziati nel documento NIST, che si propone come guida generale, possono essere riassunti come segue:
- La necessità di misure di sicurezza informatica nei sistemi OT.
- Gli specifici controlli e le pratiche consigliate, tra cui la gestione dell’inventario dei dispositivi.
- L’importanza di valutare i rischi e rilevare gli attacchi sia dall’esterno che dall’interno.
- La separazione tra reti critiche e IT tradizionale.
- L’evoluzione della sicurezza verso un modello di accesso sicuro in qualsiasi momento e da qualsiasi luogo.
- L’adattamento alle sfide della sicurezza nel mondo digitale moderno.
La convergenza tra la sicurezza cibernetica dell’ambiente Operative Technology (OT) e Information Technology (IT) presenta sfide uniche. Poiché i sistemi OT stanno sempre più adottando soluzioni provenienti dall’IT per abilitare la connettività aziendale e le funzionalità di accesso remoto tramite computer, sistemi operativi e protocolli di rete standard, l’OT sta gradualmente assomigliando all’IT.
Tuttavia, è fondamentale riconoscere che le soluzioni di sicurezza progettate per i tradizionali sistemi IT non possono essere semplicemente applicate agli ambienti OT senza opportune precauzioni. Ciò è dovuto al fatto che gli incidenti nell’ambiente OT possono avere impatti diretti e significativi sul mondo reale, compresi gravi rischi per la salute umana, danni ambientali e notevoli perdite finanziarie come interruzioni della produzione e compromissione di informazioni sensibili.
Gli attacchi informatici possono anche causare impatti sociali rilevanti, come la perdita di fiducia e danni all’immagine di un’organizzazione. Pertanto, la gestione della sicurezza OT-IT richiede un approccio specifico e accurato.
In sintesi, le differenze operative e di rischio tra i sistemi OT e IT richiedono una specifica attenzione, a cominciare dalla costituzione di un team dedicato. Questo team dovrebbe comprendere ingegneri di progettazione, operatori di sistemi di controllo, tecnici di customer care, installatori e professionisti della sicurezza IT. Questi professionisti devono collaborare strettamente per valutare le implicazioni dell’implementazione, dell’operatività e della manutenzione delle soluzioni di sicurezza, tenendo conto del funzionamento stesso del sistema.
I professionisti IT che operano nell’ambito OT devono anche considerare gli effetti sulla stabilità delle tecnologie di sicurezza delle informazioni prima di procedere con l’implementazione.
L’integrazione della sicurezza cibernetica tra l’Operative Technology (OT) e l’Information Technology (IT) comporta ulteriori obiettivi chiave:
- Migliorare la sicurezza, l’affidabilità e la disponibilità del sistema.
- Aumentare l’efficienza complessiva del sistema.
- Garantire la conformità ai requisiti normativi.
Per raggiungere tali obiettivi, è fondamentale istituire un programma di sicurezza cibernetica per l’OT. Questo programma, basato su un framework di sicurezza adeguato, deve mobilizzare risorse e attività progettuali al fine di valutare accuratamente i livelli di rischio all’interno dell’organizzazione.
Nel settore OT, il documento NIST SP800-83r3 fa riferimento al manuale sulla sicurezza delle informazioni NIST SP800-100 come guida per i manager incaricati di implementare la sicurezza cibernetica in vari aspetti del programma.
Alcune indicazioni utili che emergono da questo documento includono:
- Lo sviluppo di una strategia di sicurezza cibernetica OT.
- La creazione di un team interfunzionale dedicato.
- La formulazione di politiche e procedure specifiche per l’ambiente OT.
- L’implementazione di programmi di formazione sulla consapevolezza della sicurezza cibernetica OT.
- Il monitoraggio della manutenzione nei sistemi OT.
- La preparazione per rispondere agli incidenti nel contesto OT.
- La pianificazione di procedure di ripristino dell’OT.
- La gestione delle vulnerabilità nei sistemi OT.
Le organizzazioni dovrebbero anche considerare l’opportunità di incorporare risorse come il National Vulnerability Database (NVD) del NIST e il framework MITRE ATT&CK per gli Industrial Control Systems (ICS) nei processi di valutazione dei rischi nei sistemi OT.
Inoltre, è importante notare che la natura stessa dei sistemi OT richiede che le organizzazioni considerino fattori aggiuntivi che potrebbero non essere presenti nella valutazione del rischio di un sistema IT tradizionale. Ad esempio, l’ambiente OT presenta fonti di minaccia, vulnerabilità e controlli compensativi diversi rispetto all’ambiente IT, il che rende cruciale l’adozione di un approccio mirato e specifico per garantire la sicurezza cibernetica nei sistemi OT.
Ad esempio, alcuni componenti dell’Operative Technology (OT), come i PLC, i controller e le interfacce uomo-macchina (HMI), potrebbero non essere compatibili con le tecnologie o i protocolli necessari per una piena integrazione in un’implementazione ZTA (Zero Trust Architecture), come discussa in precedenza.
Di conseguenza, l’adozione di una ZTA potrebbe non essere pratica per alcuni dispositivi OT. In tali casi, le organizzazioni dovrebbero invece considerare l’applicazione di una ZTA ai dispositivi compatibili, tipicamente situati nei livelli funzionalmente più alti dell’architettura OT.
Molte organizzazioni, sia nel settore pubblico che privato, hanno invece adottato il NIST Cybersecurity Framework (CSF) per guidare le loro attività di sicurezza informatica attraverso un approccio basato sul rischio.
Questo Framework è composto da cinque funzioni che vengono eseguite simultaneamente e in modo continuo: Identificazione, Protezione, Rilevamento, Risposta e Recupero. Queste funzioni si allineano con standard, linee guida e pratiche di vari settori, consentendo la comunicazione delle attività e dei risultati legati alla sicurezza informatica all’interno dell’organizzazione.
Quando prese nel loro insieme, queste funzioni offrono una visione strategica di alto livello per la gestione del rischio in materia di sicurezza informatica. Il Framework identifica inoltre categorie e sottocategorie chiave associate a ciascuna funzione e le collega a riferimenti normativi specifici per ciascuna sottocategoria.
Le Funzioni nel contesto del NIST Cybersecurity Framework guidano le seguenti azioni:
- Identify (Identificare): Questa funzione si concentra sulla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei rischi associati. Le categorie all’interno di questa funzione includono la gestione degli asset, l’ambiente aziendale, la governance, la valutazione dei rischi, la strategia di gestione dei rischi, la gestione dei rischi legati alla catena di approvvigionamento e la gestione dei dati.
- Protect (Proteggere): Questa funzione riguarda l’implementazione di misure volte a proteggere i processi aziendali e gli asset aziendali, indipendentemente dalla loro natura informatica. Le categorie all’interno di questa funzione comprendono la gestione delle identità, l’autenticazione e il controllo degli accessi, la sensibilizzazione e la formazione, la sicurezza dei dati, i processi e le procedure di protezione delle informazioni, la manutenzione e le tecnologie di protezione.
- Detect (Rilevare): Questa funzione si concentra sulla definizione e implementazione di attività adeguate per identificare tempestivamente incidenti di sicurezza informatica. Le categorie all’interno di questa funzione includono anomalie ed eventi, monitoraggio continuo della sicurezza e processi di rilevamento.
- Respond (Rispondere): Questa funzione riguarda la definizione e l’attuazione di attività adeguate per intervenire quando viene rilevato un incidente di sicurezza informatica. Le categorie all’interno di questa funzione comprendono la pianificazione della risposta, le comunicazioni, l’analisi, le misure di mitigazione e i miglioramenti.
- Recover (Recuperare): Questa funzione è associata alla definizione e all’attuazione di attività per gestire i piani e le operazioni di ripristino dei processi e dei servizi impattati da un incidente. Le categorie all’interno di questa funzione includono la pianificazione del ripristino, i miglioramenti e le comunicazioni.
In sintesi, il NIST Cybersecurity Framework fornisce un quadro completo per gestire la sicurezza informatica attraverso cinque funzioni interconnesse che affrontano tutti gli aspetti del ciclo di vita della sicurezza informatica.
Considerando le recenti statistiche fino a metà del 2023 sulle minacce e gli attacchi al settore OT, è chiaro che la cybersecurity deve affrontare una serie sempre crescente di eventi dannosi, tra cui:
- Eventi di tipo Adversarial: come il famoso Stuxnet del 2010 e attacchi più recenti come BlackEnergy, Industroyer e NoTPetya.
- Eventi di tipo Strutturale: come gli attacchi ai sistemi di oleodotti, reti ferroviarie e sistemi di trattamento delle acque.
- Eventi di tipo Ambientale: come gli incidenti nelle centrali nucleari.
In questo contesto, una guida come quella del NIST evidenzia gli obiettivi fondamentali per proteggersi da simili eventi, tra cui:
- Limitare l’accesso logico alla rete OT, all’attività di rete e ai sistemi.
- Limitare l’accesso fisico alla rete e ai dispositivi OT.
- Proteggere i singoli componenti OT da sfruttamento di vulnerabilità nascoste.
- Limitare la modifica non autorizzata dei dati.
- Rilevare eventi e incidenti di sicurezza in modo tempestivo.
- Mantenere la funzionalità in condizioni critiche.
- Ripristinare e recuperare il sistema dopo un incidente.
Inoltre, il Framework del NIST fornisce un’ampia gamma di riferimenti e risorse, inclusi enti di ricerca, enti normativi, standard di settore e strumenti di formazione, che sono essenziali per implementare efficacemente le pratiche di sicurezza informatica.
