Ormai è universalmente noto che le operations che non sono in grado di sostenere tempi prolungati di inattività fisica, come le infrastrutture critiche, l’industria produttiva e le strutture iperconnesse, rappresentano bersagli particolarmente redditizi per i criminali informatici. Dieci anni fa, gli strumenti di rilevamento di intrusioni e anomalie per la tecnologia operativa (OT) e i sistemi di controllo industriale (ICS) erano agli albori. Oggi il mercato si sta espandendo e sta sviluppando soluzioni più mature, in particolare per la cybersecurity.
Tradizionalmente, fornire un “proof of concept” significava garantire che il software introdotto negli ambienti di controllo industriale e di processo non avrebbe danneggiato i sistemi e le reti che cercava di proteggere. Oggi, il “proof of concept” si è trasformato in una competizione tra i migliori provider del settore per dimostrare di possedere una comprensione più profonda dei sistemi OT/ICS e dell’integrazione IT e IoT, il supporto di partnership efficienti e la presenza di strategie di go-to-market, nonché la possibilità di applicazione orizzontale tra diversi settori.
Nonostante l’IT e l’OT siano settori sostanzialmente diversi con priorità divergenti, molte aziende di cybersecurity che tradizionalmente si occupano di IT sono già entrate nel mercato della cybersecurity OT. Gli analisti di mercato prevedono un grande boom e un aumento della competizione per il 2023. Rilevazione, trasformazione digitale, affidabilità operativa, interoperabilità, governance e standard rimangono i fattori principali che guidano la domanda.
Se c’è una questione emersa con forza nel 2022 è che fiducia e verifica nella cybersicurezza OT non si escludono a vicenda.
I cyberattacchi
Nel 2022, Incontroller ha dimostrato la potenziale gravità dei cyberattacchi che colpiscono i processi industriali. Fortunatamente, l’attacco è stato scoperto prima di causare incidenti, e ciò ha dimostrato quanto gli investimenti nelle soluzioni di cybersecurity progettate specificatamente per le attività industriali possano generare un effettivo ritorno sugli investimenti. Incontroller è solo il quarto attacco con malware mirato ai sistemi di controllo industriale, eppure ha comportato un intervento di risposta molto delicato che ha richiesto fiducia e verifica tra il fornitore di ICS e i team di ricerca sulla sicurezza.
Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato linee guida specifiche per il settore, costruendo al contempo un rapporto di fiducia con l’industria, con l’obiettivo di migliorare il contributo di proprietari e operatori ai processi di regolamentazione come per il nuovo Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA). L’Unione Europea sta portando avanti due nuovi mandati che forniranno “un quadro giuridico aggiornato e completo per rafforzare la resilienza fisica e informatica delle infrastrutture critiche”.
Israele, Germania, Singapore, Australia e molti altri Paesi stanno continuando a rafforzare le iniziative di cybersecurity con l’obiettivo di aumentare sia la fiducia sia la verifica. Inoltre, l’invasione dell’Ucraina da parte della Russia ha posto nuova enfasi sulla fiducia nelle operazioni cibernetiche: basti pensare che sono state condotte operazioni ufficiali per raccogliere un “esercito di volontari cyber” che aiutassero la nazione nel conflitto.
Zero Trust
Zero Trust ha assunto vita propria, arricchendosi di una miriade di definizioni e meccanismi di implementazione, dalla fase strategica all’applicazione. Per la mentalità “assume breach”, che riconosce che la sicurezza perimetrale è insufficiente per difendersi dall’attuale panorama delle minacce informatiche, i principi di Zero Trust sono essenziali, in quanto consentono di ridurre il “tempo di permanenza” degli impatti potenziali e la loro gravità.
Per alcuni, Zero Trust potrebbe sembrare semplicemente un pacchetto di best practice come la segmentazione della rete e il principio del minimo privilegio, ma per applicare correttamente Zero Trust è necessario studiare come le tecnologie interagiscono, cosa richiedono l’una dall’altra e come è possibile ridurre al minimo l’accesso alle informazioni, al comando e al controllo dei sistemi.
Secondo il Council of Insurance Agents and Brokers (CIAB), nel 2022 i premi assicurativi per la cybersecurity sono aumentati ulteriormente, con una media del 28% solo nella prima metà dell’anno. Nel 2022, un contenzioso ha visto l’annullamento di un contratto di polizza cyber a causa della mancata verifica, da parte del richiedente, dell’esistenza di un’autenticazione multifattoriale (MFA) al momento dell’attacco del ransomware, come indicato nella parte di autoattestazione della richiesta di copertura.
Inoltre, nel 2022 il NIST ha aggiornato le linee guida per la gestione del rischio nella filiera della cybersecurity, evidenziando in particolare come i fattori di fiducia e di sicurezza siano principi fondamentali. Infine, più specificamente per la cybersecurity industriale, il 2022 ha posto nuova enfasi sul monitoraggio continuo per OT e ICS. Definito dal NIST come “il sistema informativo e gli asset che vengono monitorati per identificare gli eventi di cybersecurity e verificare l’efficacia delle misure di protezione”, il monitoraggio continuo è di assoluta priorità per il rilevamento e la prevenzione degli incidenti informatici.
Cosa si prospetta per il 2023?
Dalla necessità di definire e implementare SBOM (Software Bill of Materials) ad eventuali nuove crisi internazionali, è difficile fare previsioni, ancor più in ambito OT e ICS, dal momento che i dati sono spesso privati, distribuiti o dietro un paywall. Ciò che è certo è che il 2023 si preannuncia come un anno di svolta, in cui saranno necessari maggiori investimenti in cybersecurity per prevenire gli impatti di una potenziale recessione, che potrebbe esacerbare la forza dei ransomware e aggravare le conseguenze dei tempi di inattività non pianificati o della perdita di produzione.
La governance stabilirà un nuovo precedente
Finora gli standard e i framework predisposti a livello governativo hanno adottato un approccio “a fisarmonica”, estendendosi per regolamentare le sfide comuni a tutti i settori delle infrastrutture critiche e comprimendosi per mettere a fuoco le questioni di sicurezza più critiche per settori specifici. Una nuova direzione e un maggiore coinvolgimento del settore possono produrre una maggiore consapevolezza generale della situazione, fiducia e determinazione nelle community di security dedicate alle infrastrutture critiche. Il governo degli Stati Uniti sta investendo attivamente per risolvere la situazione: ha pubblicato una direttiva operativa federale vincolante incentrata sulla scoperta degli asset e sull’enumerazione delle vulnerabilità e sta offrendo assistenza per l’implementazione della security e set di strumenti dedicati.
La condivisione delle informazioni avrà sempre più valore
Nonostante la riluttanza ad aggregare le informazioni, la condivisione delle informazioni più significative richiede un meccanismo vendor-agnostic per abilitare una condivisione in tempo reale dei dati sui primi segnali di allarme. I leader di mercato non hanno ancora prodotto un metodo per standardizzare e correlare le ricerche sulle minacce e sulle vulnerabilità: la condivisione delle informazioni manca di fiducia e di convalida, ed è stata strutturata in meccanismi progettati in silos e dedicati a specifici settori, a settori privati o alle agenzie governative, creando singole fonti di informazioni attorno alle quali manca un consenso condiviso.
A prescindere dai punti in comune, non esistono due attacchi ai sistemi OT/ICS identici, il che rende più difficile automatizzare le azioni di risposta e remediation. Purtroppo, ciò si traduce nel fatto che ogni singola organizzazione dovrà aspettare che si verifichi un attacco alle operations o agli impianti di qualcun’altra per condividere firme, rilevamenti e informazioni complete per identificare le minacce. Nel 2023, la condivisione di informazioni in questo ambito si sposterà verso soluzioni più inclusive, creative e proattive.
L’analisi innovativa sarà l’elemento distintivo per valutare le soluzioni
L’innovazione nella capacità di fornire consapevolezza della situazione, con fiducia e convalida, guiderà il futuro della cybersecurity OT. Molte organizzazioni abilitano strumenti per la raccolta e l’archiviazione dei dati, ma non riescono ad analizzarli per ottimizzare la loro mission e mitigare i rischi. Le soluzioni costruite per OT e ICS continueranno a risolvere le lacune di security e a migliorare i controlli di sicurezza.
L’analisi comportamentale e il rilevamento delle anomalie per le operazioni di rete possono alimentare l’intelligence relativa alle minacce e security posture generali. Il rilevamento delle anomalie può segnalare sia le deviazioni dai normali schemi di comunicazione, sia le variabili all’interno del processo, come le letture dei sensori e i parametri di flusso. Questi dati di processo possono essere correlati con i dati delle comunicazioni per fornire informazioni utili a informare le procedure di sicurezza e ridurre il rischio complessivo.
Nel 2023, fiducia e verifica saranno i banchi di prova
Il SANS Report stato della cybersicurezza ICS/OT nel 2022, promosso da Nozomi Networks, afferma che “gli attori delle minacce nelle reti di infrastrutture critiche hanno dato prova di conoscere le componenti dei sistemi di controllo, i protocolli industriali e le operations ingegneristiche”. Altri rapporti sugli incidenti OT/ICS hanno evidenziato, invece, la “scarsa familiarità degli attori delle minacce con il dominio OT”. Il 2023 potrebbe essere l’anno in cui gli attori malevoli dimostreranno di avere acquisito capacità di monitorare e modificare i sistemi OT e ICS nei settori critici.
Negli ambiti governativi, assicurativi, nei partenariati pubblico-privati, e nelle relazioni internazionali c’è ancora molta reticenza sull’importanza di proteggere le infrastrutture critiche e di costruire resilienza nei settori produttivi e nelle strutture iperconnesse. In tutto il mercato, dall’intelligence competitiva all’innovazione, fino alla competizione tra i provider, la fiducia e la verifica sono i pilastri portanti per la cybersecurity dell’OT. Nel 2023, gli stakeholder della cybersecurity OT, preoccupati da sicurezza fisica, impatti ambientali, linearità nella fornitura di beni, servizi e risorse, e scenari micro e macroeconomici, saranno pronti a chiedere prova di fiducia e verifica costante.