AES_4 2023

Maggio 2023 n Automazione e Strumentazione PETROLCHIMICO Applicazioni 74 a livello governativo non siano sufficienti o imme- diatamente applicabili. Differenze tra IT e OT Le sfide che i sistemi di Information Technology (IT) devono affrontare sono generalmente risolte in modo diverso rispetto ai problemi relativi ai sistemi di Operational Technology (OT) e, se queste diffe- renze non vengono considerate in fase di regola- mentazione, il risultato potrebbe essere quello di aggiungere complessità e rallentare la reattività. Un esempio concreto è quello della gestione delle password, che può diventare problematico quando si parla di sistemi industriali distribuiti sul territo- rio, in molti casi non dotati di opzioni di automa- zione dei processi remoti. Un’attività di questo tipo risponde alle regole per i sistemi IT, ma potrebbe invece mettere a rischio le componenti fisiche, otte- nendo invece l’effetto opposto: più complessità, costi lievitati e difficile gestione della conformità. La conformità alle best practice e alle normative dovrebbe essere in realtà una diretta conseguenza di una buona progettazione e di un’ottima operati- vità. Nel settore della sicurezza informatica, ciò si traduce in un approccio ‘a strati’: l’idea alla base è che, un giorno, gli attori malevoli riusciranno a bypassare la sicurezza, per cui è necessario sovrap- porre più strati di sicurezza così da essere in grado non solo di prevenire i fallimenti, ma di pianificare la resilienza a tali fallimenti. Un approccio basato sulla resistenza riguarda la costruzione e la gestione di questi livelli di sicurezza, mentre un approccio basato sulla resilienza comprende la capacità di gestire un fallimento graduale di tutti questi livelli, minimizzando gli impatti sulle operazioni o sulla sicurezza. Un esempio nel petrolchimico Per esempio, da un punto di vista fisico, le tubature utilizzate per il trasporto dei prodotti hanno molte specifiche di progettazione volte a prevenire la rot- tura di una conduttura, come livello di pressione, distanze, diametro, operazioni, manutenzione, ecc. In aggiunta, vengono disposti vari meccanismi volti a contenere le conseguenze di incidenti non pianificati, come i danni causati da un terremoto, dalle attrezzature utilizzate per gli interventi, ecce- tera. Nel momento in cui si verifica un incidente, un approccio fondato sulla resistenza comporte- rebbe l’installazione di una valvola in grado di intercettare il guasto e interrompere le operazioni, fermando i flussi. Un approccio fondato sulla resi- lienza, invece, consisterebbe nell’installare un sistema in grado di reindirizzare i flussi di prodotto per garantire la continuità delle operazioni anche mentre l’incidente è in corso. Come si può adottare una mentalità basata sulla resilienza quando affrontiamo la sicurezza informa- tica degli oleodotti, tenendo conto di regolamenti in continua evoluzione e della sofisticazione delle minacce informatiche di oggi? Innanzitutto, va tenuto sempre presente che i risul- tati e i fatti statisticamente rilevanti finora possono essere smentiti in qualsiasi momento, che le difese adottate possono fallire e si possano sempre veri- ficare altri cambiamenti. Un metodo di difesa che si rivela efficace oggi contro un avversario speci- fico può non esserlo domani, a fronte di un’evolu- zione della minaccia e del suo autore. Un’ottima cybersecurity deve essere abbastanza agile da adattarsi senza sforzo ai cambiamenti, basandosi su raccomandazioni e best practice, più che su regole. Disporre di una solida base di strumenti e tecnologie, basati su alcuni principi ben noti della cybersecurity, può essere molto utile per ottenere facilmente conformità normativa, migliorando al contempo la security posture delle operazioni sulla pipeline. Molte delle best practice, delle linee guida e delle normative in materia di cybersecu- rity contengono temi comuni che si basano su una conoscenza approfondita degli asset dell’ambiente industriale, sul monitoraggio delle minacce e su un metodo misurabile per tracciare, segnalare e ridurre il rischio. Le strategie di cybersecurity più efficaci comprendono la necessità di monitorare gli asset, per verificare che non siano state apportate modifiche, e monitorare la rete a tutti i livelli