• 1000

La sicurezza informatica è messa alla prova, come mai prima nella storia, da attacchi informatici che sono aumentati in tutto il mondo e si sono distinti per la frequenza, la sofisticatezza e il loro impatto devastante.

Mentre le aziende di tutti i settori corrono alla ricerca di soluzioni, molte sono poste di fronte ad una dura realtà poiché riconoscono la loro mancanza di preparazione e le conseguenze potenzialmente catastrofiche che possono rischiare.

Sfortunatamente, in mezzo alle crescenti minacce e all’altrettanto crescente pressione pubblica per la ricerca di soluzioni, le organizzazioni industriali rimangono in gran parte impreparate a gestire e rispondere in modo efficace ai feroci attacchi di ransomware.

Le organizzazioni si trovano spesso di fronte a un paradosso perché l’industria della cyber sicurezza fornisce una miriade di soluzioni, a volte però nuove e non ancora testate, che confondono le organizzazioni e ritardano le loro azioni delle inevitabili azioni da compiere in materia di sicurezza.

Perché tutto questo ha importanza

Numerosi studi ci mostrano come le aziende e i leader di governo pur riconoscendo l’importanza delle cyber minacce in corso non sono ancora pronti a respingerle.

La minaccia alle imprese industriali ha caratteristiche globali e le diverse realtà geopolitiche e le concentrazioni industriali in alcune parti del mondo hanno reso alcuni paesi più esposti a questi rischi.

I numeri sono sbalorditivi: gli attacchi ransomware sulle reti di tecnologia operativa (OT) sono aumentati di cinque volte dal 2018 al 2020.

Anche il loro costo globale è salito alle stelle e ha raggiunto nel 2021 i 20 miliardi di dollari, un aumento considerevole rispetto ai 325 milioni di dollari del 2015, con attacchi sempre più sofisticati

In che modo gli aggressori scelgono le loro vittime?

I motivi che generano questi attacchi possono variare e sono spesso supportati dalla vendita illegale di password o di strumenti e tecniche per accedere alle reti aziendali.

Al di là dei ritorni a livello finanziario, gli attacchi ransomware mirati possono avere come motivazione alla base anche fattori ideologici o politici.

Indipendentemente da quello che sia il motivo, misure volte ad una sicurezza adeguata restano indispensabili al fine di gestire efficacemente gli attacchi ma per fronteggiare la vulnerabilità dell’infrastruttura OT/ICS sono richiesti interventi costosi.

Distinguere la resilienza informatica dalla sicurezza informatica

Un punto chiave che differenzia la cyber resilienza dalla cyber sicurezza consiste nel fatto che le capacità di resilienza informatica continuano a funzionare anche dopo che un hacker è penetrato nel perimetro di sicurezza di una rete per comprometterne i cyber assets.

La cyber resilienza può aiutare ad impedire agli avversari di raccogliere informazioni, estrarre dati o assumere il controllo di sistemi mission-essential e, di conseguenza, a proteggere gli stakeholder dalla perdita di asset fondamentali.

La progettazione di sistemi cyber-resilienti per combattere il panorama delle minacce in evoluzione impone di considerare durante la progettazione o l’introduzione di nuovi sistemi o il potenziamento di quelli esistenti.

Valore della resilienza informatica a livello aziendale e sociale

Implementare i propri sistemi e mantenere un'adeguata resilienza informatica può costare di più rispetto all'implementazione e al mantenimento della sicurezza informatica tradizionale.

Ma nonostante i suoi maggiori costi, la resilienza informatica costa complessivamente meno all'impresa delle tradizionali misure di sicurezza informatica quando la si valuta in termini di ciclo di vita.

La resistenza agli attacchi diminuisce i costi se consideriamo i tempi in cui l’azienda deve rimanere ferma a generare mancati guadagni.

Un sofisticato attacco informatico progettato per distruggere un'impresa, infatti, potrebbe paralizzare l’impresa fino a diverse settimane, solo per diversi giorni quando parliamo di attacchi meno sofisticati.

Se calcoliamo la potenziale perdita di ricavi e clienti rispetto al costo dell'implementazione dei principi e delle tecniche di progettazione della resilienza informatica, è chiaro come questa sia conveniente per l'impresa.

Inoltre, anche se un investimento di questo genere non produce un beneficio economico netto a livello di impresa, lo può produrre a livello sociale in quanto subire un attacco potrebbe avere effetti a catena su tutto il territorio.

Quando un'impresa non può permettersi un sistema che garantisca la resilienza informatica, ma ha altre imprese che dipendono da lei, può portare il proprio caso aziendale all’attenzione sociale e regionale.

Quadro normativo

Man mano che vengono introdotti sistemi di produzione automatizzati e che i sistemi IT e OT convergono, le organizzazioni dovrebbero crescere in termini di sicurezza informatica nell'ambito delle funzioni principali, stabilendo standard di sicurezza e misure regolamentari che possono contribuire a garantire la protezione di dati e sistemi.

Le organizzazioni hanno già iniziato a prendere misure regolamentari di protezione contro gli attacchi.

Ad esempio, l’International Electrotechnical Commission (IEC) 61511 Functional Safety standard ora richiede una SIS ossia una valutazione del rischio sicurezza.

La procedura di valutazione del rischio denominata cyber PHA è un passo avanti verso la valutazione del rischio che identifica primariamente il worst case scenario in termini di conseguenze sugli assets in materia di salute, sicurezza, protezione e ambiente (HSSE) e secondariamente identifica eventuali scenari di pericolo.

Questo strumento può aiutare a facilitare un esercizio olistico di cyber PHA e questo include:

  • una revisione della documentazione esistente;
  • un elenco di tutte le risorse informatiche;
  • lo smantellamento del sito;
  • la raccolta e la revisione di precedenti analisi PHA, e conseguentemente
  • un elenco di tutti i tipi di risorse informatiche utilizzate all'interno di ogni specifico processo o dispositivi utili laddove esistano diversi rischi per la sicurezza del processo, ambientali o finanziari.

Come difendersi dai cyber attacks

Affinché un attacco informatico abbia luogo, sia l’inizializzazione che la difesa devono essere hackerabili. Rendendo uno dei due non hackerabile, il rischio può essere ridotto. E rendendo entrambi non hackerabili, il rischio può essere eliminato.

La valutazione della vulnerabilità è fondamentale ma non è sufficiente per proteggersi dagli attacchi informatici e bisogna comprendere le varie tipologie di minacce informatiche.

La formazione del personale sulla consapevolezza della sicurezza informatica è una parte essenziale del processo di prevenzione, in quanto crea una comprensione più profonda delle minacce informatiche e delle salvaguardie possibili.

Con l'aumento delle minacce e degli impatti informatici tra le aziende industriali, i potenziali vantaggi del cyber PHA sono numerosi.

Il più ovvio è la sicurezza del sistema. Una metodologia cyber PHA, se implementata correttamente, può instillare pratiche che possono aiutare a prevenire la maggior parte degli attacchi informatici.

Oltre all'ovvio vantaggio atteso della sicurezza, il cyber PHA può anche avvantaggiare le pratiche aziendali più ampie all’interno di un'organizzazione.