Di Michael T. Lester
I produttori, le forniture e gli operatori di infrastrutture critiche devono affrontare minacce alla sicurezza informatica sempre più sofisticate. Gli attacchi sono in continua evoluzione, poiché il malware mercificato e le tecnologie avanzate forniscono nuove opzioni agli autori degli attacchi.
La motivazione per attacchi informatici è ancora in gran parte il guadagno finanziario, ma gli attori statali nazionali sono sempre più coinvolti e si verificano sempre più numerosi gli attacchi da parte di vari soggetti che mirano allo spazio di controllo industriale.
Una sicurezza informatica efficace richiede l'aggiornamento sulle minacce più recenti, l'esecuzione di un inventario in tempo reale delle risorse, il miglioramento delle funzionalità di rilevamento delle minacce, la garanzia che le apparecchiature e i dispositivi dispongano delle misure di difesa più recenti, l'applicazione di patch e aggiornamenti dei sistemi e il miglioramento delle funzionalità di risposta agli incidenti. Inoltre, le politiche e le procedure, la riqualificazione della forza lavoro e la formazione periodiche sono tutti aspetti chiave della sicurezza informatica che devono essere considerati per proteggere con efficacia i sistemi critici seguendo un approccio basato sui rischi.
Per i produttori che desiderano utilizzare il potenziale dell'Industrial Internet of Things (IIoT), la sicurezza informatica è una delle principali preoccupazioni. La necessità di una sicurezza informatica efficace è ben nota, ma non c'è un'approfondita comprensione del tema all'interno del settore. La progettazione e l'implementazione della tecnologia IIoT richiede nuove competenze ed esperienze specifiche nella sicurezza informatica. Le nuove soluzioni, se non implementate e gestite in sicurezza, possono introdurre nuovi vettori di minacce.
Individuazione delle vulnerabilità
Nell'ambito della produzione, le soluzioni ingegnerizzate con costi di spesa patrimoniale più elevati creano ostacoli verso l'aggiornamento dei sistemi e rallentano il cambiamento. I sistemi obsoleti non del tutto corretti o ben protetti con un approccio in profondità alla difesa sono più vulnerabili.
Per i produttori che desiderano sfruttare il potenziale dell'Industrial Internet of Things (IIoT), la sicurezza informatica è una delle preoccupazioni principali
Gli utenti devono attribuire priorità alle azioni da adottare in risposta a minacce e attacchi identificati e creare una tabella di marcia per tali azioni. Si intendono inclusi l'implementazione e i test periodici della risposta agli incidenti e dei piani di backup/ripristino per tutte le persone, i processi e le tecnologie della propria organizzazione durante il ciclo di vita di ciascuno di questi. Anche qualcosa di semplice, come la gestione degli account utente, deve corrispondere al ciclo di vita di ogni utente, dal momento in cui viene autorizzato la prima volta al momento in cui esce dall'organizzazione.
È sempre più necessaria la collaborazione tra le parti interessate IT e OT per l'implementazione di nuovi sistemi e servizi che aiutino un'organizzazione a trasformarsi digitalmente. Nello sviluppo di una strategia di sicurezza informatica, le parti interessate IT e OT devono comprendere una i punti di forza dell'altra e come si possano raggiungere gli obiettivi aziendali mantenendo al contempo i massimi livelli di sicurezza.
Ogni competenza porta qualcosa di diverso al tavolo, con un processo altamente standardizzato e OT con una soluzione più ingegnerizzata. Gli obiettivi di entrambe le parti interessate devono essere esaminati e i requisiti stabiliti, per evitare lacune e rischi per le operazioni. I fornitori di automazione possono rendere più efficace l'implementazione sicura dei sistemi fornendo un portafoglio a più livelli di controlli, procedure e servizi di sicurezza che migliorano la sicurezza dei sistemi e aiutano gli utenti finali a dare priorità alle valutazioni di sicurezza informatica.
Le organizzazioni devono prendere in considerazione la sicurezza informatica durante la progettazione e l'ingegnerizzazione front-end di un progetto di sistema di controllo. Troppo spesso le difese di sicurezza informatica vengono aggiunte in un secondo momento, ma questo si rivela spesso più costoso ed è raramente efficace rispetto all'integrazione della sicurezza informatica nel progetto. Questo viene definito un concetto di "Shift Left". La progettazione intrinsecamente sicura, insieme a un'analisi appropriata dei rischi informatici, deve includere una revisione delle caratteristiche e dei controlli di sicurezza per garantire la loro efficacia contro il panorama in evoluzione delle minacce informatiche.
Per supportare la giustificazione aziendale di un'iniziativa di sicurezza informatica, le valutazioni possono essere utilizzate come metriche di riduzione del rischio che rappresentano il progresso delle iniziative informatiche attuate finora e la potenziale sicurezza offerta dall'implementazione di ulteriori protezioni informatiche. Un buon metodo per giustificare le funzionalità di sicurezza informatica può essere il concetto di "Shift Left", in cui ogni euro di sicurezza proattiva speso corrisponde a più di 60 euro di sicurezza reattiva.
Se si verifica un attacco, il modo migliore per superarlo è avere un piano di risposta ben documentato e dimostrato. In breve, il superamento di un attacco non va a buon fine senza le funzioni, i controlli e un piano ben ponderato di sicurezza informatica.
Un problema culturale
Quando la sicurezza informatica non fa parte della cultura di un'organizzazione, il personale dedicato finisce con il creare un rischio informatico significativo con azioni involontarie che aprono vulnerabilità. Una cultura pervasiva della sicurezza informatica riduce i rischi derivanti dalle minacce interne ed esterne. Il personale addetto alla formazione sulle nuove tecnologie e alla sicurezza informatica correlata contribuisce a creare una cultura della sicurezza informatica.
In breve, il superamento di un attacco non va a buon fine senza le funzioni, i controlli e un piano ben ponderato di sicurezza informatica
È fondamentale creare opportunità di formazione per i dipendenti finalizzati ad aumentare le loro competenze in materia di tecnologia e sicurezza informatica. L'aggiornamento delle competenze può richiedere tempo, ma educare la forza lavoro ad accettare consapevolmente la responsabilità e la proprietà della sicurezza informatica è un buon primo passo. Quando la sicurezza informatica non è più responsabilità di qualcun altro, le persone naturalmente porranno molte più domande e collaboreranno con gli esperti per prevenire conseguenze involontarie.
La sicurezza informatica richiede più di una semplice tecnologia. La sicurezza informatica richiede un cambiamento di comportamenti e cultura. Una comprensione radicata in tutta l'organizzazione del "perché" e del "come" della sicurezza informatica è fondamentale per la realizzazione di cambiamenti comportamentali significativi. È quindi importante costruire una cultura della sicurezza informatica che includa persone, processi e tecnologie.
Esplora le idee innovative, gli spunti di riflessione e le intuizioni dei leader di Emerson nei campi dell'automazione industriale, del comfort domestico e in molti altri.
