Gestione del rischio e delle minacce informatiche: ritorno ai principi fondamentali

Gli attacchi informatici sono all’ordine del giorno. C’è stato l’attacco a SolarWinds, all’inizio di quest’anno, che ha avuto conseguenze su importanti società tra cui Microsoft, Intel e Cisco; poi l’attacco a Colonial Pipeline, che ha causato l’interruzione della fornitura di petrolio e gas a seguito del fermo precauzionale delle operazioni; e ancora gli attacchi ransomware a LockBit, che più recentemente hanno colpito la società di consulenza globale Accenture. Ma l’elenco non finisce qui. La scoperta di attività di pirateria informatica da parte di organizzazioni criminali indipendenti e gruppi sponsorizzati dallo stato sta causando crescenti livelli di preoccupazione nei consigli di amministrazione delle società, nei vertici governativi e negli organi legislativi.

Questi attacchi informatici, che non utilizzano necessariamente nuove tecniche, stanno purtroppo diventando più gravi e più frequenti. Anche se nessuna impresa di produzione può avere la certezza di non essere colpita, ci sono misure fondamentali che i dirigenti d’azienda e i responsabili della sicurezza informatica possono adottare per rimuovere i silos, operare in modo olistico e implementare buone pratiche per ridurre il rischio derivante da questi tipi di minacce.

Sappiamo che tali preoccupazioni sono la priorità per le aziende del settore e lavoriamo quotidianamente con i nostri clienti per aiutarli a creare una base solida e ridurre al minimo il rischio. Ecco alcune delle misure fondamentali che più spesso consigliamo di mettere in atto alle imprese di produzione nostre clienti.

Mappare le operazioni aziendali
I produttori devono mappare i sistemi aziendali e di produzione in base a ciascuna funzione, flusso di reddito o missione. Ciò li aiuta ad avere la conoscenza e il controllo necessari di ciascun processo e a raggiungere gli obiettivi di continuità e resilienza dell’attività in relazione agli attacchi informatici, così come accade per gli scenari di gestione delle crisi aziendali. In genere, la mappatura delle operazioni aziendali richiede la sponsorizzazione dell’esecutivo per ottenere la partecipazione delle parti interessate delle diverse aree funzionali dell’organizzazione, tra cui operazioni di produzione, sicurezza informatica dell’impianto, sicurezza IT, sistemi di produzione e sistemi aziendali. Il compito può risultare assai arduo, pertanto bisogna essere pronti ad apprendere ed essere disposti a fare affidamento su una guida esperta che assista nell’adozione di questo approccio strutturale.

Analizzare accuratamente le minacce
I produttori devono eseguire anche un’analisi approfondita delle minacce. È consigliabile, nell’ambito di questo processo, esaminare le matrici MITRE ATT&CK, in particolare la matrice MITRE ICS ATT&CK, di recente ideazione, che si fonda su una base globale delle conoscenze in merito a tattiche e tecniche d’attacco utilizzate in casi reali.

Valutare la protezione della sicurezza informatica
È importante determinare e valutare i controlli e le operazioni di sicurezza informatica in atto tramite una verifica o un’analisi specifica. Ciò dovrebbe includere la valutazione di tre pilastri fondamentali: persone, processi e tecnologia, con un’attenzione particolare alle persone e alla loro riqualificazione per acquisire competenze in nuove tecnologie e processi. La tecnologia funziona, ma sono le persone a guidare il successo. Per la valutazione, è meglio lavorare con un fornitore di soluzioni di automazione, come Emerson, che ha esperienza nel settore e familiarità con i sistemi e le operazioni di controllo industriale.

Sviluppare una strategia di difesa
Sfruttando le conoscenze ottenute grazie all’analisi delle minacce e alla valutazione della sicurezza informatica, le aziende dovrebbero sviluppare una strategia di difesa in profondità per intervenire sui punti deboli e mitigare il rischio in tutte le operazioni che potrebbero essere influenzate da attacchi informatici diretti o indiretti o dalla perdita di capacità operative. Questa strategia deve includere un’assegnazione della priorità basata sul rischio, prevedendo interventi più tempestivi sulle minacce e le lacune più pericolose e assicurando così la resilienza dei controlli.

Per quanto riguarda la valutazione dei tre pilastri fondamentali, ossia persone, processi e tecnologia, abbiamo notato che spesso i clienti trovano utile ricorrere a risorse esterne, formazione e corsi di riqualificazione per il personale oppure modificare determinati processi, sistemi o architetture per costruire una difesa solida. Il piano d’azione deve essere anche allineato ai piani di continuità aziendale e di disaster recovery dell’organizzazione. Come per le interruzioni delle operazioni a causa di guasti dei sistemi o hardware, i piani di risposta agli attacchi informatici richiedono processi attivi definiti, con obiettivi incentrati sui tempi di contenimento e ripristino.

Questa strategia difensiva dovrebbe includere la pianificazione degli scenari peggiori. Per uno stabilimento di produzione, ad esempio, avere un chiaro piano di riserva in caso di guasti ai sistemi informatici, oltre a copie cartacee di ordini, etichette e contatti, può essere fondamentale per portare avanti le operazioni manualmente in mancanza dei computer. Ciò potrebbe non essere possibile in tutti gli scenari, ma il frequente riesame dei piani di riserva e continuità mette le aziende nella migliore condizione per rimanere operative anche in caso di attacchi informatici.

Rivedere e aggiornare regolarmente la strategia per assicurarne l’efficacia
Una volta messa in atto, la strategia di difesa in profondità deve essere testata e rivista in maniera metodica, risoluta e regolare per essere certi che sia efficace, non metta a rischio la continuità delle operazioni e non introduca pericoli aggiuntivi. I ruoli, le responsabilità e la formazione dei dipendenti devono essere aggiornati quando vengono introdotte nuove pratiche e tecnologie.

I produttori devono agire ora per comprendere la portata e i tipi di minacce informatiche che sono in agguato. Le minacce e gli attacchi informatici sono una realtà e sono in rapido aumento. La sicurezza informatica dovrebbe essere la priorità dei produttori e di tutte le aziende, perché per proteggere dati, processi e operazioni aziendali importanti è fondamentale mettere in atto misure e controlli proattivi e difensivi per la sicurezza informatica. I dirigenti d’azienda dovrebbero rivolgersi ai loro responsabili della sicurezza informatica per capire di che cosa hanno realmente bisogno per avere successo, quindi stabilire l’urgenza e ottenere il supporto dal consiglio di amministrazione per valutare, comprendere e gestire questi rischi.