Aggiornamenti recenti Luglio 10th, 2025 2:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Un gruppo APT statunitense ha attaccato industrie cinesi
- Un dipendente ha venduto le proprie credenziali per un colpo da 120 milioni di euro
- Liste di dati sul dark web: una fonte inaffidabile per le analisi di sicurezza. L’approfondimento di Group-IB
- Ingram Micro, dietro l’alt dei sistemi c’è un attacco ransomware
- CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e MintsLoader all’attacco
Sicurezza OT: servono linee guida chiare e figure qualificate
Quando si parla di cybersecurity si pensa subito al mondo IT: in un’economia fortemente basata sui dati è essenziale proteggere le informazioni e i sistemi che le gestiscono per evitare breach. Ciò di cui non si discute a sufficienza è la sicurezza dei sistemi OT: nel mondo della tecnologia operativa ci sono settori ugualmente vulnerabili dove i danni di un attacco hanno conseguenze fisiche e ben più gravi rispetto al furto di dati.
In un’intervista con Umberto Cattaneo, EURA Regional Cybersecurity Business Consultant Lead presso Schneider Electric, abbiamo approfondito lo stato della sicurezza nel mondo OT e le difficoltà delle imprese di proteggere le infrastrutture.
Gli attacchi contro i sistemi e i processi industriali possono avere impatti molto seri, soprattutto se colpiscono infrastrutture come ospedali o reti idriche ed elettrice. Le conseguenze possono danneggiare la salute degli individui, in alcuni casi mettendo a rischio la vita stessa delle persone.
Molte realtà fanno fatica a implementare le misure di sicurezza per proteggere i propri sistemi perché non conoscono regole e standard del settore; inoltre, non esistono figure specializzate che possano occuparsi di queste attività, e la generale carenza di talenti non aiuta.
Cattaneo spiega che alla base “c’è un problema di maturità e di conoscenza delle cose da fare”: chi si occupa di cybersecurity IT fatica a entrare nel mondo OT perché ha a che fare con protocolli e sistemi coi quali non ha familiarità.
Sicurezza OT: servono figure specializzate
Secondo Cattaneo la soluzione è creare una nuova professione che unisca le competenze del mondo IT e OT. Le grandi aziende si stanno già muovendo in questo senso e hanno dei reparti specializzati che si occupano di cybersecurity OT; le piccole e medie imprese, invece, faticano a trovare le competenze giuste, sia interne che esterne.
Il problema però va al di là della carenza di talenti sul mercato: nelle realtà più piccole manca anche la possibilità, e in molti casi anche la volontà, di allocare budget per mettere in sicurezza i sistemi.
Schneider Electric offre soluzioni di protezione per i sistemi industriali. La compagnia ha un gruppo di esperti di cybersecurity che si occupa a livello trasversale di tutta la piattaforma di offerta ed esegue interventi di assessment, mitigation, manutenzione e monitoraggio. Il comparto sta crescendo rapidamente e l’azienda sta convertendo le figure più tecniche, quelle che seguivano la parte di automazione, per specializzarle nella parte cyber.
Pixabay
Cattaneo afferma che non è pensabile che la parte IT prenda in carico la sicurezza OT senza un’adeguata revisione delle competenze: anche se i protocolli operativi del mondo industriale stanno convergendo verso quelli dei sistemi informatici, rimangono comunque delle profonde differenze nelle modalità d’uso e nelle pratiche da implementare.
“Le tecnologie stanno migrando sui protocolli IT, sistemi operativi IT, però le modalità operative, le condizioni di lavoro e anche le criticità rimangono peculiarità del mondo OT” spiega Cattaneo, aggiungendo che le conoscenze industriali sono più complesse rispetto a quelle dei sistemi IT.
Finché queste nuove figure non si diffonderanno è indispensabile che i due mondi comunichino tra loro. “Security by obscurity non è più sostenibile” afferma Cattaneo. È necessaria una trasfusione di conoscenze, ricordandosi però che non tutto quello che fa il mondo IT è direttamente trasferibile nel mondo OT.
Il problema della mancanza di standard
Il problema della sicurezza OT è alimentato anche da mancanze legislative: le leggi, anche le più nuove, sono focalizzate sulla gestione del dato e sulla gestione della privacy; temi importanti per il mondo industriale, ma che non sono una priorità.
Nel mondo OT è essenziale garantire il funzionamento dell’infrastruttura e la disponibilità dei servizi, ma mancano le indicazioni su come farlo. Cattaneo spiega che non esistono linee guida e standard precisi da applicare per mettere in campo un livello anche minimo di sicurezza.
Oltre a un insieme di norme condivise mancano anche aiuti economici per supportare le realtà più piccole e guidarle nell’implementazione della cybersecurity. Queste imprese non sempre hanno disponibilità finanziaria per mettere in sicurezza gli impianti e devono per forza di cose privilegiare la corretta erogazione del servizio.
Il primo passo per migliorare la sicurezza OT è prendere consapevolezza della situazione e collaborare per definire standard e piani d’azione nazionali coinvolgendo tutte le realtà impattate. Approfondendo la conoscenza dei sistemi e istituendo linee guida chiare è possibile formare risorse specializzate in grado di migliorare la protezione dei sistemi critici e garantire la fornitura dei servizi essenziali.
Condividi l'articolo
- carenza di talenti, it, servizi essenziali, sicurezza OT, sistemi industriali, standard di sicurezza
Dai sistemi OT alle smart city: le sfide di sicurezza del 2024
La biometria touchless democratizza la verifica dell'identità
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Un gruppo APT statunitense ha attaccato industrie cinesi Un nuovo gruppo APT entra nei radar dei ricercatori di... -
Un dipendente ha venduto le proprie credenziali per un... Un gruppo di cybercriminali ha rubato circa 140 milioni... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo...
-
Ingram Micro, dietro l’alt dei sistemi c’è un... Da giovedì scorso Ingram Micro sta soffrendo per via di... -
CERT-AGID 28 giugno – 4 luglio: 79 campagne malevole e... Nella settimana appena trascorsa, il CERT-AGID ha...
Ransomware: la serie
No posts found.