A cura di Nozomi Networks

Il rischio informatico legato alla tecnologia operativa è in aumento

In passato, i sistemi industriali non erano considerati ad alto rischio: isolati, privi di connettività verso le altre infrastrutture aziendali o internet e, al tempo stesso protetti in questa “oscurità”, venivano considerati un elemento di scarso interesse per i criminali informatici.

Tuttavia, la realtà di oggi è molto diversa ed il rischio informatico industriale è più elevato a causa di diversi fattori:

la maggiore esposizione e condivisione di dati tra sistemi IT e OT industriali

le tensioni geopolitiche, aumentate dopo la pandemia

la transizione verso applicazioni e analisi basate sul cloud

la crescente sofisticazione degli attacchi e degli autori delle minacce.

Non a caso, secondo Gartner “per ridurre il rischio, i leader della sicurezza dovrebbero eliminare i silos IT e OT, creando una singola funzione di sicurezza digitale e gestione del rischio che dovrebbe riferire all’IT, ma avere anche la responsabilità IT e OT”.

Perché l’OT deve essere considerata in un SOC aziendale

Integrare la sicurezza OT all’interno di un Security Operation Center (SOC) porta con sé numerosi vantaggi, tra cui:

bloccare più velocemente le minacce, che spesso trovano origine nei sistemi IT, identificandole nelle prime fasi della “kill chain” informatica

ridurre i tempi di risposta migliorando la comunicazione tra team IT e OT

tagliare i costi grazie a un unico SOC integrato

affrontare la carenza di talenti sfruttando i punti di forza dei team: è in genere più facile colmare il divario di competenze formando le risorse IT sulle sensibilità OT, piuttosto che l’inverso.

Un esempio viene dal governo degli Stati Uniti, che – attraverso il programma Continuous Diagnostics and Mitigation (CDM) guidato dalla Cybersecurity and Infrastructure Security Agency (CISA) – non solo fornisce risorse utili, ma dimostra come sia possibile integrare con successo l’OT in un SOC e lanciare iniziative di cybersecurity a livello aziendale.

Ma, al di là dell’implementazione di un programma continuo di diagnostica e mitigazione, ci sono diverse altre best practice che le organizzazioni possono adottare per unificare al meglio IT e OT, tra cui:

iniziative in ottica compliance, come l’architettura SIEM e la revisione della capacità, oltre all’allineamento tra norme e conformità

valutazioni di cyber defence readiness, esercizi tabletop tecnici ed esecutivi, così come simulazioni cibernetiche;

pianificazioni intel-driven, come l’aumento delle capacità di intelligence sulle minacce

programmi di cyber response come l’addestramento all’analisi del malware, l’incremento delle competenze OT per i team di cybersecurity e la condivisione delle conoscenze IT con i team OT.

Iniziative come queste possono identificare i punti di forza e le opportunità di miglioramento, e fornire una tabella di marcia per diventare un’organizzazione più resiliente e sicura dal punto di vista informatico.