Defense in depth

Pubblicato il 6 maggio 2024

Parliamo di cybersecurity e di come le aziende si devono proteggere, perché la sicurezza informatica è importantissima per realtà digitalizzate e connesse

La cybersecurity è diventata un argomento di grande rilevanza per le aziende digitalizzate e connesse, poiché la minaccia di attacchi informatici è sempre più presente. La sicurezza informatica è diventata un aspetto fondamentale per proteggere i dati ritenuti sensibili e garantire la continuità operativa delle imprese. Da un lato la digitalizzazione e la connessione aiutano e offrono grandi opportunità alle aziende, ma dall’altro le espongono a nuovi rischi e minacce che prima devono essere conosciute e poi affrontate e mitigate. Si tratta di un cambiamento di paradigma importante. Gli aspetti legati alla cybersecurity coinvolgono non soltanto soluzioni tecniche, ma anche e in egual misura processi di gestione, procedure aziendali e personale, che deve essere formato e informato per raggiungere la necessaria consapevolezza circa il rischio, e pertanto adattare i propri comportamenti. La cybersecurity, quindi, è un processo che coinvolge l’intero assetto aziendale in ogni suo aspetto e prevede anche diverse fasi e implementazioni: strumenti di prevenzione, strumenti di protezione e strumenti adatti al contenimento degli effetti di un eventuale attacco e la risposta a questo. L’approccio per poter garantire la sicurezza informatica è quello che è stato definito come ‘defense in depth’. L’approccio di protezione defense in depth, tradotto letteralmente come ‘difesa a strati’, è una strategia di sicurezza informatica che mira a proteggere un sistema da una varietà di minacce utilizzando diverse misure di sicurezza che si sovrappongono e si integrano tra loro. Questo approccio riconosce che nessuna misura di sicurezza è completamente efficace da sola e che, quindi, diversi livelli di protezione sono necessari per garantire la sicurezza complessiva di un sistema. La difesa in profondità si basa sull’idea di creare molteplici strati di difesa intorno ai dati e ai sistemi critici, in modo che se un livello di sicurezza viene compromesso, ci siano altri livelli pronti a prevenire ulteriori danni. Questo approccio riduce la probabilità che un attaccante riesca a violare completamente la sicurezza del sistema. Questo approccio può includere l’implementazione di firewall, sistemi di rilevamento delle intrusioni, controlli di accesso, crittografia dei dati, monitoraggio del traffico di rete, formazione del personale e altro ancora. Ad esempio, all’esterno della rete aziendale, un’azienda potrebbe implementare un firewall per filtrare il traffico di rete e impedire l’accesso non autorizzato. All’interno della rete, potrebbe essere implementato un sistema di rilevamento delle intrusioni per individuare attività sospette o comportamenti anomali. Inoltre, potrebbero essere adottate misure per proteggere i dati sensibili, come la crittografia dei dati e i controlli di accesso basati su ruoli. L’approccio di defense in depth prevede inoltre la costante valutazione e aggiornamento delle misure di sicurezza, in modo da adattarsi alle nuove minacce e vulnerabilità che possono emergere nel tempo. Questo approccio si basa sull’idea che la sicurezza informatica è un processo continuo e in evoluzione, e che le aziende devono essere pronte a rispondere in modo proattivo alle minacce informatiche. Gli strati che costituiscono la defense in depth sono: – Policy e procedure: definizione di procedure operative e gestionali dell’intera azienda che consentano di gestire le diverse attività che sono coinvolte nella security. Queste procedure fanno parte del Security Program che rappresenta il sistema di gestione della cybersecurity. – Sicurezza fisica: Questo strato si concentra sulla protezione fisica dei dispositivi e dei sistemi informatici, come l’accesso fisico limitato ai server e la protezione contro furti e danneggiamenti. – Protezione della rete: Questo strato include le misure di sicurezza poste all’esterno della rete aziendale, come firewall, filtri di rete e sistemi di prevenzione delle intrusioni (IPS). Queste misure aiutano a bloccare e filtrare il traffico dannoso prima che possa entrare nella rete. – Protezione dei dispositivi: questo strato include la possibilità di rendere i dispositivi in cui sono residenti i dati più robusti e di difficile accesso al fine di impedire l’accesso indesiderato al device; tra questi possono essere inclusi i sistemi antitampering. – Protezione dei dati: questo strato include misure come la crittografia dei dati, la gestione dei diritti digitali e la creazione di backup regolari. Queste misure proteggono i dati sensibili da accessi non autorizzati e garantiscono la disponibilità dei dati in caso di attacco informatico.

La norma IEC 62443

L’approccio di defense in depth viene stabilito e definito in modo standard anche nel mondo dell’automazione industriale, la cosiddetta OT (Operational Technology) cybersecurity. Il riferimento tecnico normativo è la IEC 62443. La norma IEC 62443 è una serie di standard internazionali che fornisce linee guida e best practice per la sicurezza informatica nei sistemi di controllo industriale e nell’ambito dell’automazione. Questi standard sono stati sviluppati dall’International Electrotechnical Commission (IEC) al fine di fornire un quadro di riferimento per proteggere i sistemi di controllo industriale da minacce informatiche, attacchi e vulnerabilità. La IEC 62443 definisce una serie di requisiti e raccomandazioni per la progettazione, l’implementazione, il monitoraggio e il mantenimento della sicurezza informatica nei sistemi di controllo industriale. Questi standard coprono diversi aspetti della sicurezza informatica, tra cui la protezione dei dispositivi e dei sistemi, la gestione dei rischi, la formazione del personale, la gestione degli accessi e altro ancora. La serie di standard IEC 62443 è diventata un punto di riferimento fondamentale per le aziende e le organizzazioni che operano nel settore dell’automazione e del controllo industriale, poiché fornisce linee guida chiare e specifiche per proteggere i sistemi di controllo industriale da minacce informatiche sempre più sofisticate. La struttura della norma prevede 4 livelli:

– Parte 1: definizioni, concetti generali e applicazioni

– Parte 2: policy e procedure. Definisce i contenuti minimi dei security program che devono essere implementati dai diversi ruoli che concorrono alla security in un sistema industriale: i service provider, gli end user e i costruttori, oltre che la gestione delle patch di aggiornamento

– Parte 3: sistema. Definisce i requisiti che devono essere soddisfatti per un sistema, che è inteso come il sistema di automazione nella sua configurazione di funzionamento normale. In questo livello viene definito come valutare il rischio e associare le misure di protezione e prevenzione che devono essere implementate per resistere con successo a determinate minacce. Le misure che vengono implementate nel sistema consentono di definire le prestazioni del sistema con un Security Level (SL), che è definito come un numero compreso tra 0 e 4. In questa parte di norma vengono definite le misure e le implementazioni minime che devono essere messe in campo per raggiungere quello specifico SL.

– Parte 4: si occupa dei dispositivi, qui intesi con un’accezione più ampia: host, sistemi embedded, software, network component, o un insieme complesso costituito da uno o più degli elementi precedenti. In questo caso vengono date le linee guida che un costruttore deve seguire per poter garantire un secure lifecycle development e poter valutare quale sia il Security Level che il proprio dispositivo è in grado di garantire, quindi, quali siano le minacce contro cui è resistente. Come accennato in precedenza, la IEC62443 non definisce solo i livelli secondo un approccio di defense in depth, ma definisce anche i ruoli che concorrono alla security e per ognuno di essi definisce quali siano le funzioni a cui deve assolvere e quali siano le procedure minime che deve essere in grado di implementare e realizzare per poter definire sicuro il proprio operato. I ruoli definiti sono quelli dell’end user, cioè il proprietario del sistema e colui che gestisce il sistema e lo esercisce; il manufacturer, il costruttore del dispositivo o del dispositivo complesso; e il service provider, colui il quale esegue attività di manutenzione, messa in servizio, collaudo e testing presso l’end user. Come è emerso già in precedenza, affrontare le sfide della cybersecurity richiede un approccio olistico e proattivo. Le aziende devono adottare una serie di misure per proteggere i loro sistemi e i loro dati come:

– Consapevolezza e formazione: educare i dipendenti sulla sicurezza informatica e sensibilizzarli sui rischi associati alle pratiche online è fondamentale per prevenire attacchi come il phishing e l’ingegneria sociale.

– Implementazione di politiche di sicurezza: le aziende devono sviluppare e attuare politiche di sicurezza robuste che definiscano le procedure per proteggere i dati, gestire gli accessi e rispondere agli incidenti di sicurezza.

– Utilizzo di soluzioni di sicurezza: investire in soluzioni di sicurezza informatica, come firewall, antivirus, sistemi di rilevamento delle intrusioni e software di crittografia, è essenziale per proteggere i sistemi aziendali da minacce esterne e interne.

– Monitoraggio continuo e risposta agli incidenti: le aziende devono monitorare costantemente l’attività dei propri sistemi per rilevare e rispondere prontamente agli eventuali incidenti di sicurezza.

– Aggiornamenti regolari dei sistemi: mantenere i sistemi e il software aziendale aggiornati con le ultime patch di sicurezza è fondamentale per proteggere i sistemi da vulnerabilità note e patchate.

Se queste rappresentano delle best practice, non sempre risulta semplice la loro implementazione in ambito industriale, in quanto molto è anche legato alle peculiarità e particolarità del sistema industriale. Tra queste si possono elencare la complessità dei sistemi, l’interconnessione crescente, i cicli di vita prolungati e le priorità della produzione. Gli impianti industriali spesso includono una vasta gamma di dispositivi e sistemi legacy, che possono essere difficili da aggiornare e proteggere. Questa complessità può ostacolare l’implementazione di misure di sicurezza uniformi e coerenti. Inoltre, con l’aumento dell’interconnessione degli impianti con le reti aziendali e Internet, il rischio di esposizione a minacce informatiche esterne è notevolmente aumentato. Gestire la sicurezza di queste interconnessioni richiede soluzioni specifiche e un controllo rigoroso sull’accesso ai sistemi critici. Inoltre, gli impianti industriali spesso hanno cicli di vita prolungati, con sistemi che possono rimanere in funzione per decenni. Questo può rendere difficile l’aggiornamento e la sostituzione di dispositivi obsoleti o non supportati, aumentando il rischio di vulnerabilità. Affrontare questo problema richiede pratiche di gestione del ciclo di vita del software e dell’hardware, insieme a una valutazione regolare della sicurezza e una pianificazione anticipata per l’aggiornamento e la sostituzione dei dispositivi più vecchi. Infine, nei contesti industriali, la priorità principale è spesso la produzione e la continuità operativa. Questo può portare a una sottovalutazione della sicurezza informatica e alla mancanza di risorse dedicate alla cybersecurity. Ma quello che si prospetta all’orizzonte è la necessità sempre maggiore di investimenti e implementazioni in quest’ambito, anche in virtù dell’incremento di attacchi nell’ambito industriale e al loro successo. Quindi è importante sensibilizzare la direzione aziendale sull’importanza della sicurezza informatica e dimostrare come un investimento in sicurezza possa contribuire a proteggere la produzione e preservare la reputazione dell’azienda. Integrare la sicurezza informatica nei processi operativi e fornire formazione specifica al personale può aiutare a garantire che la sicurezza sia considerata una priorità in tutto l’ambiente industriale.

Scarica il pdf



Contenuti correlati

Scopri le novità scelte per te x