Anna Townshend di Control Design ha riassunto, per conto di Rockwell Automation, quanto illustrato da Angela Rapko, vice presidente regionale dei servizi Lifecycle di Rockwell Automation durante il suo incontro con la stampa nell’ambito dell’ultima edizione di Automation Fair 2021, che si è svolta a Houston, Texas, a novembre 2021.
“Quando prendiamo in considerazione la sicurezza informatica, il nostro approccio copre davvero l’intero attack continuum”, ha dichiarato Rapko. “Bisogna pensare al prima, al durante e al dopo”.
Anche Shoshana Wodzisz, responsabile della sicurezza dei prodotti di Rockwell Automation, e Ted Haschke, responsabile dello sviluppo aziendale, della sicurezza funzionale e della sicurezza informatica presso TÜV Rheinland, si sono uniti a Rapko, per fornire delle linee guida per le fasi iniziali e parlare del valore degli standard di sicurezza informatica, delle certificazioni da parte di terzi, nonché delle condizioni che hanno recentemente spinto verso l’adozione di soluzioni digitali e degli attacchi informatici.
Solo nel corso dell’ultimo anno, un terzo dei sistemi di controllo industriali sono stati oggetto di attacchi dannosi, ha dichiarato Rapko. I controlli industriali sono diventati un bersaglio di questi attacchi in quanto presiedono al controllo di numerose risorse, molte delle quali non sono state preservate nel corso degli anni, ha affermato.
L’industria si trova anche nel bel mezzo di una convergenza tra la tecnologia dell’informazione (Information technology, IT) e la tecnologia operativa (Operational technology, OT) e le problematiche inerenti la sicurezza informatica hanno messo in evidenza il continuo divario che esiste tra questi due ambiti. Per molti anni, la parte IT si è concentrata soprattutto sulla sicurezza informatica. “Mentre, dal punto di vista della OT, siamo davanti a un panorama completamente diverso”, ha dichiarato Rapko. “Le best practice della sicurezza informatica OT sono molto diverse da quelle IT. Gli strumenti non sono applicabili così come gli standard”.
Standard e Certificazioni
Fortunatamente, alcuni standard esistono e Shoshana Wodzisz ne ha parlato durante il suo intervento: il più importante è lo standard 62443 della International Electrotechnical Commission (IEC) per la tecnologia operativa nell’infrastruttura critica e in quella industriale. Wodzisz ritiene che questi standard siano fondamentali per la progressione delle pratiche di sicurezza informatica nel settore industriale perché forniscono un quadro comune.
“È un parametro che possiamo utilizzare tutti per fare dei paragoni tra noi”, ha dichiarato Wodzisz. “L’aspetto che mi piace di più del 62443 e, in generale, di ogni standard è che fornisce una terminologia comune alla quale aderire in modo che utenti finali e fornitori come Rockwell Automation, possano utilizzare le stesse parole e lo stesso linguaggio. Parliamo la stessa lingua”.
Lo standard include parti diverse per i fornitori, gli integratori di sistema e i proprietari delle risorse o gli utilizzatori finali. Identifica la tipologia dei controlli di sicurezza che devono essere implementati sui prodotti o sulle soluzioni, come la gestione della password, il firmware con la firma digitale e la conservazione degli audit log.
L’altro aspetto importante dei requisiti standard fornisce indicazioni per un ciclo di sviluppo sicuro o i processi per uno sviluppo della sicurezza. “Vengono descritte le modalità di sviluppo di un prodotto, di creazione di una soluzione con particolare enfasi sul fatto che le azioni che vengono intraprese partano dalle basi per arrivare fino ai livelli superiori. La sicurezza informatica non è un elemento che si può aggiungere alla fine del processo”, ha dichiarato Wodzisz.
Ted Haschke ha parlato dell’importanza delle certificazioni di sicurezza informatica da parte di terzi rilasciate da aziende come TÜV Rhineland.
“L’accreditamento da parte di terzi conferisce solidità al certificato che viene rilasciato”, ha dichiarato Haschke. Le aziende come Rockwell Automation sono sottoposte a ispezioni annuali per garantire la correttezza dei processi e delle procedure di testing. TÜV Rhineland fornisce certificazioni di sicurezza informatica anche su prodotti e soluzioni.
Le certificazioni non sono facili da ottenere, ha dichiarato Wodzisz, e i clienti le richiedono sempre di più nel settore dell’industria. Gli standard richiedono e le certificazioni verificano che le aziende seguano i principi di progettazione ispirati alle best practice del settore industriale, le adeguate metodologie di penetration test e di sicurezza, nonché comprendano e identifichino le minacce esistenti per i loro prodotti e soluzioni e si adoperino per mitigare adeguatamente queste vulnerabilità.
Gli standard forniscono alcune linee guida, ma molte aziende non sanno ancora bene dove e come iniziare. Haschke ha individuato il maggior punto di debolezza degli sforzi compiuti dalle aziende relativamente alla sicurezza informatica, nella modalità di esecuzione di una corretta valutazione del rischio e di un’accurata determinazione del livello di sicurezza applicabile per i propri prodotti o i sistemi. Rapko ha ribadito che la maggior sfida che si aspetta in futuro è quella di disporre di un accurato inventario delle risorse, in modo che le aziende possano comprendere i loro rischi.
Strategie consapevoli del rischio, riproducibili e adattative
Per aiutare le aziende nelle fasi iniziali, Rapko ha fornito una panoramica rapida ma dettagliata di alcuni dei passaggi minimi, necessari per definire un programma di sicurezza informatica, inclusi tre livelli di strategia. Inizialmente, le aziende dovrebbero adottare una strategia di sicurezza consapevole del rischio che fornisca i requisiti minimi indispensabili, inclusi una comprensione di base del rischio di una azienda e un livello minimo di controlli. “Questo si applica nei casi in cui l’investimento di capitale è limitato o i livelli di spesa iniziali sono limitati ma si vuole comunque iniziare”, ha dichiarato Rapko.
La fase seguente consiste in una strategia di sicurezza riproducibile che include la creazione di standard e pratiche più complete nell’ambito di tutta l’organizzazione. “La maggior parte dei programmi o delle opportunità di sicurezza informatica riguardano tutti i livelli di un’organizzazione dall’alto al basso” ha affermato Rapko. I leader dell’azienda ricercano uniformità in tutti gli stabilimenti piuttosto che strategie individuali. In questa fase, le aziende hanno bisogno di maggiori investimenti per modernizzare e aggiornare le reti e garantire che i rischi maggiori delle risorse siano mitigati.
La fase finale è quella della strategia informatica adattiva. “In questa fase, non solo è stato valutato e mitigato il rischio, ma sono stati attivati i controlli per gestire e monitorare l’igiene della sicurezza informatica”, ha dichiarato Rapko. Questa fase include anche la valutazione della capacità della forza lavoro di gestire internamente operazioni di sicurezza informatica.
Tendenze emergenti per la sicurezza informatica
La pandemia di COVID-19 ha anche aumentato il bisogno di accesso da remoto e creato ulteriori preoccupazioni in materia di sicurezza informatica. Le aziende non stanno solo aumentando le capacità di accesso da remoto, ma molte stanno valutando anche soluzioni per garantire che le persone giuste abbiano accesso alla giusta infrastruttura, ha dichiarato Rapko.
Mentre il settore oil & gas e quello farmaceutico sono stati i primi a nutrire interesse per lo standard 62443 e per le certificazioni rilasciate da terzi, un numero sempre maggiore di industrie ha cominciato a prendere in considerazione la sicurezza informatica, ha dichiarato Wodzisz. “Vediamo che sta avvenendo lo stesso nell’industria alimentare”, ha affermato.
Wodzisz ha anche sottolineato la convergenza di safety e security. “La sicurezza è fondamentale e oggi i concetti di safety e security si muovono su binari sempre più vicini, sicurezza funzionale e sicurezza del prodotto”, ha dichiarato. “Vediamo una convergenza di questi due concetti perché sono molto dipendenti l’uno dall’altro”.
Con l’aumento dei rischi di sicurezza informatica per l’industria, i produttori devono comprendere gli standard e allo stesso tempo i rischi che corrono. Con gli strumenti, le pratiche e i partner adeguati, le aziende sono in grado di gestire il bisogno impellente di soluzioni di sicurezza informatica.