Gestione di rischi e minacce informatiche: ritorno ai principi fondamentali
Di Mike Lester
Ogni giorno si leggono notizie di nuovi attacchi informatici. C'è stato SolarWinds che ha colpito alcune delle principali aziende, tra cui Microsoft, Intel e Cisco, l'attacco Colonial Pipeline che ha interrotto la fornitura di petrolio e gas a causa di un arresto operativo precauzionale e gli attacchi ransomware LockBit che più di recente hanno colpito la società di consulenza globale Accenture. E l'elenco continua ad allungarsi. Le rivelazioni sulle attività di hacking da parte di organizzazioni criminali indipendenti e gruppi sponsorizzati da Stati stanno causando crescenti livelli di preoccupazione all'interno dei consigli aziendali, vertici governativi e organi legislativi.
Questi attacchi informatici non si basano necessariamente su nuove tecniche di attacco e stanno purtroppo diventando più gravi e frequenti. Sebbene nessuna organizzazione manifatturiera possa garantire che non sarà mai colpita, esistono misure fondamentali che i responsabili aziendali e della sicurezza informatica possono adottare per eliminare i silos, operare in modo olistico e implementare le migliori pratiche per ridurre il rischio che deriva da questo tipo di minacce.
Sappiamo che queste preoccupazioni sono la priorità per il settore e collaboriamo con i clienti ogni giorno per contribuire a creare una base solida e ridurre al minimo i rischi. Ecco alcune linee guida di base che raccomandiamo più spesso ai nostri clienti.
Impegnarsi nella mappatura delle operazioni aziendali
Le aziende manufatturiere devono mappare i propri sistemi aziendali e produttivi in base a ciascuna funzione, flusso di reddito o missione. Ciò contribuirà ad acquisire la comprensione e il controllo di ciascun processo e a raggiungere gli obiettivi di continuità e resilienza delle attività in relazione agli attacchi informatici, proprio come gli scenari di gestione delle crisi aziendali. In genere, la mappatura delle operazioni aziendali richiede una sponsorizzazione esecutiva per la partecipazione delle aree interfunzionali interessate, tra cui operazioni di produzione, sicurezza informatica dello stabilimento, sicurezza IT, sistemi di produzione e sistemi aziendali. Questo può essere un compito arduo, quindi è bene predisporsi a imparare molto e cercate una guida che aiuti nell'implementazione di un approccio strutturato.
Analizzare accuratamente le minacce
I produttori devono anche eseguire un'analisi completa delle minacce. Una best practice parte di questo processo è la revisione delle matrici MITRE ATT&CK, in particolare MITRE ICS ATT&CK Matrix di recente sviluppo, che deriva da una base di conoscenze globale delle tattiche e delle tecniche utilizzate dagli avversari negli attacchi reali.
Valutazione della protezione della sicurezza informatica
È importante determinare e valutare i controlli e le operazioni di sicurezza informatica attualmente in atto mediante una valutazione o un audit della sicurezza informatica. Un'attività che deve includere la valutazione di tre pilastri principali: persone, processi e tecnologia, con un'attenzione alle persone e all'aggiornamento delle competenze su nuove tecnologie e processi. La tecnologia funziona, ma sono le persone determinano il successo. Per la valutazione, è preferibile collaborare con un fornitore di automazione, come Emerson, che ha esperienza nell'area e familiarità con i sistemi e le operazioni di controllo industriale.
Sviluppare una strategia di difesa
Sulla base dei risultati dell'analisi delle minacce e della valutazione della sicurezza informatica, le aziende devono sviluppare una strategia di difesa approfondita per risolvere le debolezze e mitigare i rischi in tutte le operazioni che potrebbero essere oggetto di attacchi informatici diretti, attacchi informatici indiretti o perdita di capacità operative. Questa strategia deve prevedere una prioritizzazione basata sul rischio di eventuali lacune o minacce per accertarsi che i rischi principali siano affrontati per primi, garantendo il controllo della resilienza.
Valutando questi stessi tre pilastri (persone, processi e tecnologia), spesso notiamo che i clienti trovano vantaggioso ricorrere a risorse esterne, formare o aggiornare le competenze del proprio personale oppure modificare determinati processi, controlli tecnologici, sistemi o architetture per costruire una difesa solida. Il piano d'azione deve inoltre essere allineato ai piani di continuità delle attività e di disaster recovery dell'organizzazione: proprio come nel caso di un'interruzione operativa causata da sistemi difettosi o hardware guasto, i piani di risposta agli attacchi informatici richiedono processi definiti e attivi con obiettivi incentrati sul contenimento e sui tempi di ripristino.
Questa strategia difensiva deve includere la pianificazione degli scenari peggiori. Per una struttura di produzione, ad esempio, disporre di un chiaro piano di backup per sistemi informatici non più disponibili, oltre a copie cartacee di ordini, etichette e contatti, può essere fondamentale per garantire almeno le operazioni manuali quando i computer non possono più aiutare. Questo potrebbe non essere possibile in tutti i casi, ma una revisione frequente dei piani di backup e continuità consentirà alle aziende di rimanere operative anche in caso di attacco informatico.
Revisione e aggiornamento regolari dell'efficacia
Una volta implementata, la strategia di difesa approfondita deve essere testata e rivista in modo metodico, mirato e periodico per garantire che sia e resti efficace e che non comprometta le operazioni in corso né introduca altri rischi. I ruoli, le responsabilità e la formazione dei dipendenti devono essere aggiornati quando vengono implementate nuove pratiche e tecnologie.
Le aziende manufatturiere devono agire ora per comprendere la portata e i tipi di minacce informatiche che le loro aziende stanno affrontando. Le minacce e gli attacchi informatici sono reali e stanno crescendo in modo significativo. La sicurezza informatica dovrebbe essere una priorità assoluta per i produttori e tutte le aziende, per garantire che siano adottati operazioni e controlli di sicurezza informatica proattivi e difensivi adeguati per proteggere dati, processi e operazioni aziendali importanti. I dirigenti aziendali devono restare in contatto con i propri responsabili della sicurezza informatica per capire di cosa hanno realmente bisogno per avere successo, quindi stabilire l'urgenza e ottenere il sostegno del Consiglio di Amministrazione per valutare, comprendere e gestire tali rischi.
