Sicurezza OT: servono linee guida chiare e figure qualificate

Dic 13, 2023 Approfondimenti, Interviste, RSS

Quando si parla di cybersecurity si pensa subito al mondo IT: in un’economia fortemente basata sui dati è essenziale proteggere le informazioni e i sistemi che le gestiscono per evitare breach. Ciò di cui non si discute a sufficienza è la sicurezza dei sistemi OT: nel mondo della tecnologia operativa ci sono settori ugualmente vulnerabili dove i danni di un attacco hanno conseguenze fisiche e ben più gravi rispetto al furto di dati.

In un’intervista con Umberto Cattaneo, EURA Regional Cybersecurity Business Consultant Lead presso Schneider Electric, abbiamo approfondito lo stato della sicurezza nel mondo OT e le difficoltà delle imprese di proteggere le infrastrutture.

Gli attacchi contro i sistemi e i processi industriali possono avere impatti molto seri, soprattutto se colpiscono infrastrutture come ospedali o reti idriche ed elettrice. Le conseguenze possono danneggiare la salute degli individui, in alcuni casi mettendo a rischio la vita stessa delle persone.

Molte realtà fanno fatica a implementare le misure di sicurezza per proteggere i propri sistemi perché non conoscono regole e standard del settore; inoltre, non esistono figure specializzate che possano occuparsi di queste attività, e la generale carenza di talenti non aiuta.

Cattaneo spiega che alla base “c’è un problema di maturità e di conoscenza delle cose da fare”: chi si occupa di cybersecurity IT fatica a entrare nel mondo OT perché ha a che fare con protocolli e sistemi coi quali non ha familiarità.

Sicurezza OT: servono figure specializzate

Secondo Cattaneo la soluzione è creare una nuova professione che unisca le competenze del mondo IT e OT. Le grandi aziende si stanno già muovendo in questo senso e hanno dei reparti specializzati che si occupano di cybersecurity OT; le piccole e medie imprese, invece, faticano a trovare le competenze giuste, sia interne che esterne.

Il problema però va al di là della carenza di talenti sul mercato: nelle realtà più piccole manca anche la possibilità, e in molti casi anche la volontà, di allocare budget per mettere in sicurezza i sistemi.

Schneider Electric offre soluzioni di protezione per i sistemi industriali. La compagnia ha un gruppo di esperti di cybersecurity che si occupa a livello trasversale di tutta la piattaforma di offerta ed esegue interventi di assessment, mitigation, manutenzione e monitoraggio. Il comparto sta crescendo rapidamente e l’azienda sta convertendo le figure più tecniche, quelle che seguivano la parte di automazione, per specializzarle nella parte cyber.

Cattaneo afferma che non è pensabile che la parte IT prenda in carico la sicurezza OT senza un’adeguata revisione delle competenze: anche se i protocolli operativi del mondo industriale stanno convergendo verso quelli dei sistemi informatici, rimangono comunque delle profonde differenze nelle modalità d’uso e nelle pratiche da implementare.

“Le tecnologie stanno migrando sui protocolli IT, sistemi operativi IT, però le modalità operative, le condizioni di lavoro e anche le criticità rimangono peculiarità del mondo OT” spiega Cattaneo, aggiungendo che le conoscenze industriali sono più complesse rispetto a quelle dei sistemi IT.

Finché queste nuove figure non si diffonderanno è indispensabile che i due mondi comunichino tra loro. “Security by obscurity non è più sostenibile” afferma Cattaneo. È necessaria una trasfusione di conoscenze, ricordandosi però che non tutto quello che fa il mondo IT è direttamente trasferibile nel mondo OT.

Il problema della mancanza di standard

Il problema della sicurezza OT è alimentato anche da mancanze legislative: le leggi, anche le più nuove, sono focalizzate sulla gestione del dato e sulla gestione della privacy; temi importanti per il mondo industriale, ma che non sono una priorità.

Nel mondo OT è essenziale garantire il funzionamento dell’infrastruttura e la disponibilità dei servizi, ma mancano le indicazioni su come farlo. Cattaneo spiega che non esistono linee guida e standard precisi da applicare per mettere in campo un livello anche minimo di sicurezza.

Oltre a un insieme di norme condivise mancano anche aiuti economici per supportare le realtà più piccole e guidarle nell’implementazione della cybersecurity. Queste imprese non sempre hanno disponibilità finanziaria per mettere in sicurezza gli impianti e devono per forza di cose privilegiare la corretta erogazione del servizio.

Il primo passo per migliorare la sicurezza OT è prendere consapevolezza della situazione e collaborare per definire standard e piani d’azione nazionali coinvolgendo tutte le realtà impattate. Approfondendo la conoscenza dei sistemi e istituendo linee guida chiare è possibile formare risorse specializzate in grado di migliorare la protezione dei sistemi critici e garantire la fornitura dei servizi essenziali.

• carenza di talenti, it, servizi essenziali, sicurezza OT, sistemi industriali, standard di sicurezza