Definire processi che consentano di individuare, proteggere e garantire la resilienza dei sistemi. La necessità di un approccio tecnico e insieme organizzativo che vede nella collaborazione IT e OT la chiave del successo

Di Piero Macrì

 

Gli ambienti di produzione sono sempre più interconnessi, una tendenza che si va via via estendendo in virtù dell’applicazione della logica IoT al mondo industriale, che implica l’acquisizione di dati per la gestione e controllo real time dell’operatività così come una massiva elaborazione degli stessi in infrastrutture e piattaforme cloud dedicate.

Uno scenario che rende necessario impostare una politica di sicurezza coerente con le nuove coordinate tecnologiche. Obiettivo non semplice poiché, tranne che per eccezioni, l’ambiente di produzione è sempre stato poco propenso a definire regole e metodi così come invece si è andato nel tempo realizzando nella parte più propriamente informatica o business delle organizzazioni.

Perché un cambiamento possa concretizzarsi devono cambiare le regole del gioco all’interno delle strutture organizzative delle aziende. Significa che i responsabili delle operation devono trovare un terreno comune di discussione con la componente IT, andando così a creare le premesse per l’applicazione di una logica di sicurezza trasversale a tutte le componenti d’impresa.

Nel corso dell’ICS Forum è stato questo il tema centrale su cui si sono alternate le riflessioni, i commenti e le esperienze di utenti e fornitori. Andrea Zapparoli, membro del Clusit è stato lapidario: “Continuiamo a riscontrare un progressivo aumento dei vettori di attacco e una sempre più elevata capacità delle organizzazioni nel mettere a rischio assett e risorse aziendali, fenomeno che si è andato amplificando nel corso degli ultimi anni e che sta interessando settori di industry, una volta immuni da rischio”. Il messaggio è chiaro: “Nelle imprese deve affermarsi una nuova cultura e la consapevolezza che la sicurezza non può e non deve essere considerata un costo, ma un investimento strategico per la sostenibilità dell’IoT Industry”.

Un commento su cui sono pienamente allineati i fornitori di soluzioni di sicurezza che hanno partecipato a ICS e che ricordano come l’investimento in sicurezza debba essere visto come un abilitatore della business continuity. “In uno scenario di totale connessione come quello delineato dall’Industry 4.0 si deve sempre e comunque orientare l’operatività in base a  un modello security first. La sicurezza non può e non deve essere un collaterale dell’ambiente di produzione – ha sottolineato Roberto  Zuffada  di Siemens –  ma deve essere embedded  a livello applicativo ed operativo”.

Traslare l’approccio IT al mondo Operational non è immediato. In termini di sicurezza le componenti d’infrastruttura tradizionali devono essere pensate ad hoc così come la gestione degli aggiornamenti del software necessita di un adattamento ulteriore che spesso – come testimoniato da ABB – deve prevedere una certificazione mirata prima che il nuovo codice possa essere immesso in ambiente di produzione.

Una considerazione ulteriore, emersa nelle più diverse discussioni che si sono svolte nel corso della giornata milanese è che  le componenti di Operational Technology presenti nelle grandi infrastrutture non sono sempre e comunque di ultima generazione. Nella gran maggioranza dei contesti operativi ci si confronta con apparati i più diversi, spesso incompatibili con il ciclo di vita del software. Significa avere in casa sistemi che utilizzano embedded sistemi operativi che non sono più supportati e non possono essere aggiornati con patch di sicurezza in grado di contrastare virus e malware di ultima generazione, per non parlare di attacchi zero day.

In definitiva, tecnologie ethernet e Ip fanno ormai parte di  un mondo diventato sostenibile, tecnologicamente ed economicamente, anche nel perimetro OT. Per grandi infrastrutture come Enel, si è rivelata per esempio strategica e indispensabile l’adozione di un framework di sicurezza che è stato definito in base a una collaborazione costante e coerente tra IT e OT e  che sottende un superamento della logica a silos, non più sostenibile alla luce dell’evoluzione del mercato. “Devono essere definiti processi che servono a individuare, proteggere e garantire resilienza ovvero capacità di ripristino delle condizioni originali dei sistemi in tempi rapidi, adottando un approccio tecnico e insieme organizzativo”, afferma Gian Luigi Pugni di Enel.

Quello che emerge è che l’Operational Security deve poter essere codificata in veri e propri processi e policy aziendali. Tuttavia non basta mettere in atto processi e tecnologia. Si deve sempre ragionare in termini di riduzione e attenuazione del rischio poiché la sicurezza tout court è un’utopia. Ecco, quindi, la necessità di poter disporre di soluzioni di monitoraggio  a tutti  i livelli in grado di supervisionare l’intero spetto delle soluzioni complessive d’infrastruttura.

Indicazioni, queste ultime, che però si rivelano applicabili soprattutto in infrastrutture complesse ed estese. Diverso il discorso – non tanto da un punto di vista logica, ma applicativo –  che può essere attuato in ambienti di piccole e medie dimensioni dove, al di là delle soluzioni tecnologicamente più appropriate, vale innanzitutto la capacità di diffondere la consapevolezza dei rischio abilitando regole di comportamento e di buon senso che non possono essere però lasciate allo spontaneismo o volontà dei singoli.

 

 

 

Per aggiornamenti in tempo reale su questo argomento, segui la nostra Redazione anche su Facebook, Twitter, Google+ o LinkedIn