Secondo Sergio Leoni, Regional Sales Director di Nozomi Networks, integrare l’OT nel proprio Security Operation Center non rappresenta più una scelta facoltativa per le organizzazioni industriali e le infrastrutture critiche.
Nozomi Networks, il rischio informatico legato alla tecnologia operativa è in aumento
In passato, i sistemi industriali non erano considerati ad alto rischio: isolati, privi di connettività verso le altre infrastrutture aziendali o internet e, al tempo stesso protetti in questa “oscurità”, venivano considerati un elemento di scarso interesse per i criminali informatici.
Tuttavia, secondo il manager della società la realtà di oggi è molto diversa ed il rischio informatico industriale è più elevato a causa di diversi fattori:
- la maggiore esposizione e condivisione di dati tra sistemi IT e OT industriali
- le tensioni geopolitiche, aumentate dopo la pandemia
- la transizione verso applicazioni e analisi basate sul cloud
- la crescente sofisticazione degli attacchi e degli autori delle minacce.
Non a caso, secondo Gartner «per ridurre il rischio, i leader della sicurezza dovrebbero eliminare i silos IT e OT, creando una singola funzione di sicurezza digitale e gestione del rischio che dovrebbe riferire all’IT, ma avere anche la responsabilità IT e OT.»
Perché l’OT deve essere considerata in un SOC aziendale
Il manager di Nozomi Networks afferma che integrare la sicurezza OT all’interno di un Security Operation Center (SOC) porta con sé numerosi vantaggi, tra cui:
- bloccare più velocemente le minacce, che spesso trovano origine nei sistemi IT, identificandole nelle prime fasi della “kill chain” informatica
- ridurre i tempi di risposta migliorando la comunicazione tra team IT e OT
- tagliare i costi grazie a un unico SOC integrato
- affrontare la carenza di talenti sfruttando i punti di forza dei team. E’ in genere più facile colmare il divario di competenze formando le risorse IT sulle sensibilità OT, piuttosto che l’inverso.
Un esempio viene dal governo degli Stati Uniti, che – attraverso il programma Continuous Diagnostics and Mitigation (CDM) guidato dalla Cybersecurity and Infrastructure Security Agency (CISA) – non solo fornisce risorse utili, ma dimostra come sia possibile integrare con successo l’OT in un SOC e lanciare iniziative di cybersecurity a livello aziendale.
Ci sono diverse altre best practice che le organizzazioni possono adottare per unificare al meglio IT e OT, tra cui:
- iniziative in ottica compliance, come l’architettura SIEM e la revisione della capacità, oltre all’allineamento tra norme e conformità
- valutazioni di cyber defence readiness, esercizi tabletop tecnici ed esecutivi, così come simulazioni cibernetiche;
- pianificazioni intel-driven, come l’aumento delle capacità di intelligence sulle minacce
- programmi di cyber response come l’addestramento all’analisi del malware, l’incremento delle competenze OT per i team di cybersecurity e la condivisione delle conoscenze IT con i team OT.
Iniziative come queste, sottolinea Nozomi Neworks, possono identificare i punti di forza e le opportunità di miglioramento. E fornire una tabella di marcia per diventare un’organizzazione più resiliente e sicura dal punto di vista informatico.