Decifrare il codice della sicurezza informatica con un approccio basato sul rischio: le migliori pratiche di Emerson per i fornitori di energia e acqua

Per molti aspetti, la trasformazione digitale è una spada a doppio taglio per il settore dell'energia e dell'acqua.

Da un lato, gli incredibili progressi tecnologici (tra cui la convergenza di information technology (IT) e operational technology (OT), migliore connettività, accesso semplificato a set di dati più ampi e altro ancora) hanno rivoluzionato la capacità delle aziende di servizi di pubblica utilità e dei comuni di ottimizzare le operazioni, gestire in modo sicuro le risorse energetiche distribuite e continuare a generare energia affidabile e a basso costo e/o produrre acqua pulita.  

D'altro canto, quando trasformano le proprie operazioni per sfruttare tali vantaggi, i fornitori di energia e acqua diventano sempre più vulnerabili agli attacchi e alle minacce alla sicurezza informatica, soprattutto se non adottano l'approccio o si affiancano al partner giusto per ottenere una solida protezione.

Oggi gli attacchi alla sicurezza informatica contro infrastrutture critiche sono in aumento. L'U.S. Environmental Protection Agency ha rilasciato un memorandum in cui si sottolinea la necessità di verificare le pratiche di sicurezza dei sistemi idrici locali e Dragos, azienda leader nella sicurezza informatica industriale,  ha di recente segnalato un aumento continuo dei casi in tutto il settore energetico. 

Man mano che gli attacchi crescono, aumentano anche i costi. Infatti, si prevede che gli attacchi e le minacce globali annuali alla sicurezza informatica costeranno al mondo 8 mila miliardi di dollari USA nel 2023, con un forte aumento rispetto ai 3 mila miliardi del 2015 e con previsioni di un aumento fino a oltre i 10 mila miliardi di dollari entro il 2025.

Con la diffusione sempre maggiore di risorse energetiche distribuite (DER) come parchi eolici, impianti solari e micro-grid che forniscono energia rinnovabile alla rete che alimenta le infrastrutture critiche, aumenta anche il rischio che gli hacker possano interrompere da remoto il flusso di elettricità.  L'U.S. Department of Energy ha dichiarato in un rapporto di ottobre che i DER "pongono sfide emergenti alla sicurezza informatica per la rete elettrica" e dovrebbero essere progettati con la sicurezza come "componente principale".

Quindi, con hacker che si dimostrano sempre più preparati, utilizzano tecniche più sofisticate e, in molti casi, si evolvono e innovano più rapidamente delle aziende che prendono di mira, la domanda è: cosa possono fare le aziende per difendersi?

Un approccio alla sicurezza informatica basato sul rischio

Indipendentemente dal settore, l'adozione di un approccio basato sul rischio può aiutare a individuare le potenziali vulnerabilità e a proteggere la tua azienda ora e in futuro. Un approccio basato sul rischio non consiste nel proteggere da tutte  le minacce, ma nell'identificare le potenziali vulnerabilità e prendere decisioni strategiche basate su probabilità e impatto di ciascuna vulnerabilità.

Per intensificare i propri sforzi in materia di sicurezza informatica, è opportuno consideraee queste pratiche per garantire che l'approccio adottato sia olistico e in costante evoluzione:

Valutazione del rischio.

Le valutazioni del rischio forniscono all'azienda informazioni critiche che aiutano a mitigare i rischi in anticipo. Eseguendo una valutazione, si determina la disponibilità degli elementi chiave della sicurezza informatica, tra cui sicurezza di rete, gestione dei dati, protezione perimetrale e altro ancora, oltre a stabilire una migliore comprensione dello stato complessivo della sicurezza del sistema.

Limitazione dell'accesso al sistema.

Le misure di sicurezza possono essere complesse e rendere allettante una sicurezza limitata, ma gli aggressori contano proprio su questo. Limitare l'accesso al sistema e garantire che i dipendenti siano consapevoli delle politiche di sicurezza, valutino costantemente i rischi e contribuiscano a creare la giusta cultura della sicurezza interna.

Definizione di politiche solide.

Anche le misure più sofisticate e sicure possono essere rese inutili da errori umani. Ecco perché è fondamentale formare e responsabilizzare i dipendenti con solide politiche di amministrazione che riducano i rischi da ingegneria sociale, phishing e attacchi correlati.

Aggiornamento del sistema di controllo.

I tempi di inattività sono costosi e devono essere evitati il più possibile. L'applicazione tempestiva di patch e aggiornamenti del sistema consente di ridurre al minimo i tempi di inattività, eliminando al contempo il rischio di avere server e postazioni di lavoro non protetti.  

Non limitarsi alla protezione perimetrale.

Gli aggressori partono in genere dal presupposto che sia in atto una protezione perimetrale e utilizzano quindi protocolli comuni e porte di servizio note per compromettere i componenti del sistema di controllo. Per affrontare gli attacchi mirati, è necessario controllare il perimetro del sistema e proteggere i potenziali punti di accesso implementando firewall personalizzabili e adattabili ed effettuando una scansione continua delle lacune in materia di sicurezza.

Accesso remoto affidato alle persone giuste.

Quasi tutti i sistemi di controllo sono dotati di qualche tipo di connettività remota, ma anche se è diventato ormai una norma, l'accesso remoto non è certo una pratica sicura. Nei sistemi in cui l'accesso remoto è assolutamente necessario, è opportuno accertarsi che sia monitorato e implementato in modo sicuro. Per una maggiore sicurezza, è anche possibile prendere in considerazione più livelli di autenticazione.

Conoscenza del sistema di controllo.

Dopo aver sviluppato e distribuito il proprio approccio alla sicurezza informatica basato sul rischio, è necessario monitorare costantemente i rischi lungo il percorso e individuare i potenziali attacchi e minacce il prima possibile. L'approccio giusto alla sicurezza informatica si evolve e si adatta di continuo.

Nel caso delle aziende elettriche o dei servizi di pubblica utilità che cercano di innovare e stare al passo con i concorrenti di oggi, la trasformazione digitale non è più solo utile, è una necessità non negoziabile. E anche se sussistono dei rischi, questi non devono impedire alle aziende di raccogliere i frutti, come una maggiore collaborazione e innovazione tra i dipendenti, miglioramenti operativi rivoluzionari e altro ancora.

Inoltre, nel panorama in continua evoluzione della sicurezza informatica, le pratiche sopra esposte sono solo un punto di partenza. Per ottimizzare davvero le proprie operazioni e l'approccio basato sul rischio per proteggerle, le aziende elettriche e idriche stanno oggi automatizzando e integrando soluzioni di sicurezza informatica leader del settore (come il sistema di controllo Ovation™ di Emerson) designate e certificate com Qualified Anti-Terrorism Technology dall'U.S. Department of Homeland Security.

Indipendentemente dalla fase in cui si trova un'azienda nel proprio percorso verso la sicurezza informatica, è importante ricordare che ci sono sempre opportunità per migliorare, evolversi e prepararsi meglio al prossimo potenziale attacco o minaccia in agguato dietro l'angolo.

Solo perché un attacco non è ancora avvenuto, non significa che non avverrà in futuro. Quindi, oggi è il momento migliore per iniziare a sviluppare l'approccio giusto e lavorare con il partner giusto. Domani te ne sarai grato.