Negli ultimi tempi è sempre più sulla bocca degli addetti ai lavori il concetto di “Security-by-Design/Default”, e di “OTsecurity-by-Design/Default” per chi, come noi, si occupa di protezione da rischi informatici (cyber)  di impianti e macchinari utilizzati nell’Industria e nelle Utility.

Il recente Cybersecurity ACT/Strategy della U.E., e sicuramente le direttive per GDPR e NIS hanno riportato l’attenzione sui regolamenti e sul tema della Cyber Security ed hanno fatto balzare agli occhi del management quanta “NON-sicurezza” ci sia nei sistemi e nelle organizzazioni attualmente in uso in molte Aziende ed Enti in ogni settore.

Il concetto di Security-by-Design/Default implica che oltre ai requisiti funzionali, il disegno, la progettazione, lo sviluppo e la manutenzione dei sistemi debba tenere conto della sicurezza (in questo caso cyber), durante tutto il ciclo di vita del sistema, dalla sua ideazione alla sua dismissione.

Questo, la Security-by-Design/Default, può essere fatto coi sistemi nuovi, quelli ancora da ideare e/o in fase iniziale di progettazione.

Ma come fare coi sistemi già installati e funzionanti che oggi sono già attivi ed in produzione su impianti e macchine nelle fabbriche e in Operatori Erogatori di Servizi Essenziali (OSE)?

Nella nostra attività di fornitore di metodologie e tool di “remediation” per la cyber-security, spesso ci chiedono quali sono i primi passi da fare per la messa in sicurezza e protezione di sistemi utilizzati in produzione.

STEP 1: mappatura dei sistemi. Sei certo di conoscere a fondo la tua architettura? Forse qualcosa ti sta sfuggendo…

Secondo la nostra esperienza sono indispensabili un preciso censimento di TUTTI i sistemi  esistenti in Azienda ed un’attenta analisi dei rischi per ognuno di loro nonché dell’insieme dei sistemi e dell’organizzazione.

Ma il primo requisito qual è?

Sicuramente l’assunzione di responsabilità da parte del management e l’attribuzione di un BUDGET.

Per la Security, spiace dirlo, ma senza soldi non si va molto lontano.

Ed i soldi non sono solo “una tantum” ma sono da mettere in conto anche per mesi ed anni successivi alla prima presa di coscienza, per mantenere adeguato proprio il livello di security secondo il rischio che abbiamo deciso di assumerci.

Ma attenzione: i soldi, lo sappiamo, sono sempre contati. E spiace spenderli in modo poco accorto, in attività e dispositivi che poi si possano rivelare poco efficaci.

A volte ci sentiamo anche dire:  noi siamo già a posto!

Ci siamo già dotati di tutto quanto ci hanno consigliato per adeguare i nostri sistemi e la nostra organizzazione a quanto prescrive il GDPR.

Bene! Questo è un ottimo inizio: significa che il management è sensibile al tema Cyber Security.

Ma il GDPR riguarda prevalentemente Infrastruttura e sistemi IT: i dati dell’Azienda e la loro protezione.

E quando guardiamo all’OT (Operation Technology), le reti e sistemi che fanno funzionare la produzione di beni e servizi, siamo proprio sicuri che presidi e contromisure che abbiamo messo in campo per la IT Security siano adeguati a proteggere anche i sistemi OT?

Ecco allora una proposta che ci sentiamo di fare: investire qualche soldo per cercare di capire se potremmo avere falle di OT Security, che finora sono sfuggite alla nostra attenzione e che possano mettere a repentaglio la nostra Continuità Operativa ed in definitiva la Continuità del Business di tutta l’Azienda.

Consigliamo allora di procedere con un assessment da fare sui sistemi OT in modo assolutamente passivo e non intrusivo, senza interferire con la produzione:  un POC (Proof-Of-Concept) o un POV (Proof-Of-Value) con uno tool di discovery, specifico per il mondo OT, come ad esempio SCADA-Guardian di Nozomi Networks, distribuito e supportato da ServiTecno.

Dopo poche ore o pochi giorni (a seconda della complessità della rete/infrastruttura da valutare) avremo un report ed una dashboard con una mappa completa di tutti i partecipanti e le comunicazioni presenti sulla rete/infrastruttura OT, con identificazione dei protocolli in uso, le porte utilizzate, le connessioni presenti e/o che si presentano in modo estemporaneo o non previsto, i livelli di firmware e versioni software di switch, router, firewall, PLC, PC/SCADA, ecc.

Con un metodo assolutamente innovativo e sviluppato appositamente per sistemi e reti OT, avremo anche un elenco delle vulnerabilità rilevate con mappatura riferita ai database dei CERT ICS con in aggiunta una valutazione di eventuali anomalie riscontrate che, se aggregate, possano evidenziare ulteriori vulnerabilità sui sistemi.

Tale report/dashboard potrà essere valutato con gli specialisti di Nozomi e di ServiTecno e presentato al management per tutte le eventuali ulteriori azioni richieste.

Interessa parlarne?  Chiamaci!

Anomaly Detection for Plants

Riferimenti: