Le vulnerabilità di sicurezza dei sistemi OT, l’Operational Technology, sempre più connessa all’IT, sono un problema ben noto. Ciononostante, nella regione Emea solo il 29% delle aziende industriali esegue mensilmente penetration test o valutazioni delle vulnerabilità, mentre la maggioranza, ovvero il 48%, svolge queste attività ogni due mesi e il 19,6% ancor più sporadicamente, uno o due volte l’anno. Fanalino di coda, c’è un 4% di aziende che non svolge alcun controllo preventivo sulle vulnerabilità OT e se ne occupa solo quando si verificano problemi o incidenti.
A dirlo è un nuovo studio condotto da Kaspersky in collaborazione con Vdc Research, "Securing OT with Purpose-built Solutions", per cui sono stati coinvolti 250 decisori di aziende Emea di vari settori industriali (tra cui l'energia, le utility, la produzione e i trasporti). Anche l’installazione delle patch è poco frequente in molte aziende: solo il 33,9% degli intervistati ha detto di applicarle ogni mese, mentre il 45% se ne occupa “ogni pochi mesi” e il 17% “una o due volte l’anno”.
Perché accade tutto ciò? Il problema della scarsa visibilità e della mancata installazione delle patch riguarda anche gli ambienti IT e quindi un po’ tutte le aziende. Nell’OT, però, questo problema è amplificato da una serie di fattori: sistemi obsoleti ancora in uso, scarsa disponibilità di patch rilasciate dai fornitori, mancanza di visibilità sui sistemi e oggetti connessi e, ancora, necessità di competenze specialistiche e normative di settore da rispettare.
A tutto ciò si somma la convergenza tra sistemi IT e OT, che rispondono a logiche di funzionamento diverse e spesso sono basati su tecnologie di proprietà anziché su standard aperti. C’è anche da considerare la proliferazione degli oggetti di Internet of Things nei contesti industriali: telecamere, sensori di vario tipo, impianti di controllo della climatizzazione e altro ancora, tutti elementi che allargano la superficie d’attacco potenziale.
Una possibile strategia di gestione del rischio OT
Per l’industria, da una violazione informatica possono derivare tempi di inattività non pianificati, perdite di produzione, danni di reputazione e finanziari. Come sottolineato da Kaspersky, in qualsiasi software possono nascondersi bug, codice poco sicuro e altri punti deboli che i malintenzionati potrebbero sfruttare per compromettere gli ambienti IT. Se, poi, le vulnerabilità riguardano sistemi operativi industriali (o sistemi OT connessi all’IT), allora c’è il rischio di incidenti o attacchi che bloccano i macchinari in fabbirca o l’erogazione di un servizio.
Negli ambienti in cui i sistemi IT e OT convergono, allora, non basta monitorare tutti gli asset ma serve, secondo Kaspersky, un “metodo di valutazione del rischio allineato con le realtà operative”, che tenga conto dei livelli di rischio, dei requisiti di sicurezza e delle potenziali conseguenze delle vulnerabilità. Il vendor la definisce come strategia di “cyber immunità”.
"In Kaspersky adottiamo un approccio alla cyber immunity basato sul concetto di Secure-by-Design”, ha commentato Dmitry Lukiyan, responsabile della divisione KasperskyOS. “Ciò significa realizzare prodotti resilienti dal punto di vista architetturale, in grado di resistere agli attacchi, anche a quelli che sfruttano vulnerabilità sconosciute. A differenza dei sistemi tradizionali, i prodotti Cyber Immune non si affidano a patch costanti o a livelli di sicurezza esterni. Di conseguenza, i nostri clienti possono contare su una protezione più forte, una manutenzione semplificata e un costo totale di gestione inferiore, il tutto senza compromettere la sicurezza".