Aggiornamenti recenti Settembre 13th, 2024 3:41 PM
Dic 13, 2023 Marina Londei Approfondimenti, Interviste, RSS 0
Quando si parla di cybersecurity si pensa subito al mondo IT: in un’economia fortemente basata sui dati è essenziale proteggere le informazioni e i sistemi che le gestiscono per evitare breach. Ciò di cui non si discute a sufficienza è la sicurezza dei sistemi OT: nel mondo della tecnologia operativa ci sono settori ugualmente vulnerabili dove i danni di un attacco hanno conseguenze fisiche e ben più gravi rispetto al furto di dati.
In un’intervista con Umberto Cattaneo, EURA Regional Cybersecurity Business Consultant Lead presso Schneider Electric, abbiamo approfondito lo stato della sicurezza nel mondo OT e le difficoltà delle imprese di proteggere le infrastrutture.
Gli attacchi contro i sistemi e i processi industriali possono avere impatti molto seri, soprattutto se colpiscono infrastrutture come ospedali o reti idriche ed elettrice. Le conseguenze possono danneggiare la salute degli individui, in alcuni casi mettendo a rischio la vita stessa delle persone.
Molte realtà fanno fatica a implementare le misure di sicurezza per proteggere i propri sistemi perché non conoscono regole e standard del settore; inoltre, non esistono figure specializzate che possano occuparsi di queste attività, e la generale carenza di talenti non aiuta.
Cattaneo spiega che alla base “c’è un problema di maturità e di conoscenza delle cose da fare”: chi si occupa di cybersecurity IT fatica a entrare nel mondo OT perché ha a che fare con protocolli e sistemi coi quali non ha familiarità.
Secondo Cattaneo la soluzione è creare una nuova professione che unisca le competenze del mondo IT e OT. Le grandi aziende si stanno già muovendo in questo senso e hanno dei reparti specializzati che si occupano di cybersecurity OT; le piccole e medie imprese, invece, faticano a trovare le competenze giuste, sia interne che esterne.
Il problema però va al di là della carenza di talenti sul mercato: nelle realtà più piccole manca anche la possibilità, e in molti casi anche la volontà, di allocare budget per mettere in sicurezza i sistemi.
Schneider Electric offre soluzioni di protezione per i sistemi industriali. La compagnia ha un gruppo di esperti di cybersecurity che si occupa a livello trasversale di tutta la piattaforma di offerta ed esegue interventi di assessment, mitigation, manutenzione e monitoraggio. Il comparto sta crescendo rapidamente e l’azienda sta convertendo le figure più tecniche, quelle che seguivano la parte di automazione, per specializzarle nella parte cyber.
Cattaneo afferma che non è pensabile che la parte IT prenda in carico la sicurezza OT senza un’adeguata revisione delle competenze: anche se i protocolli operativi del mondo industriale stanno convergendo verso quelli dei sistemi informatici, rimangono comunque delle profonde differenze nelle modalità d’uso e nelle pratiche da implementare.
“Le tecnologie stanno migrando sui protocolli IT, sistemi operativi IT, però le modalità operative, le condizioni di lavoro e anche le criticità rimangono peculiarità del mondo OT” spiega Cattaneo, aggiungendo che le conoscenze industriali sono più complesse rispetto a quelle dei sistemi IT.
Finché queste nuove figure non si diffonderanno è indispensabile che i due mondi comunichino tra loro. “Security by obscurity non è più sostenibile” afferma Cattaneo. È necessaria una trasfusione di conoscenze, ricordandosi però che non tutto quello che fa il mondo IT è direttamente trasferibile nel mondo OT.
Il problema della sicurezza OT è alimentato anche da mancanze legislative: le leggi, anche le più nuove, sono focalizzate sulla gestione del dato e sulla gestione della privacy; temi importanti per il mondo industriale, ma che non sono una priorità.
Nel mondo OT è essenziale garantire il funzionamento dell’infrastruttura e la disponibilità dei servizi, ma mancano le indicazioni su come farlo. Cattaneo spiega che non esistono linee guida e standard precisi da applicare per mettere in campo un livello anche minimo di sicurezza.
Oltre a un insieme di norme condivise mancano anche aiuti economici per supportare le realtà più piccole e guidarle nell’implementazione della cybersecurity. Queste imprese non sempre hanno disponibilità finanziaria per mettere in sicurezza gli impianti e devono per forza di cose privilegiare la corretta erogazione del servizio.
Il primo passo per migliorare la sicurezza OT è prendere consapevolezza della situazione e collaborare per definire standard e piani d’azione nazionali coinvolgendo tutte le realtà impattate. Approfondendo la conoscenza dei sistemi e istituendo linee guida chiare è possibile formare risorse specializzate in grado di migliorare la protezione dei sistemi critici e garantire la fornitura dei servizi essenziali.
Giu 07, 2024 0
Apr 15, 2024 0
Feb 07, 2024 0
Lug 06, 2023 0
Set 13, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 11, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...Set 11, 2024 0
I ricercatori di Trend Micro hanno individuato una serie...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...