OT Security

Il rischio connesso alla Cybersecurity aziendale è diventata una delle preoccupazioni maggiori da parte degli stakeholders aziendali. La proliferazione di sistemi di produzione integrata (con i loro componenti Cyber Physical Systems) ha determinato l’espansione della superficie di attacco in maniera incontrollata, rendendo le aziende sempre più dipendenti dall’integrità e dalla disponibilità dei dati all’interno del perimetro dei dispositivi industriali. La preoccupazione per la resilienza dei sistemi industriali agli incidenti informatici è arrivata fino al legislatore, che nel 2018 ha varato la direttiva NIS, che impone a tutte una serie di attività produttive l’implementazione di un framework di governance della Cybersecurity.

Il Framework di sicurezza universalmente riconosciuto come il più efficace nell’indirizzare i rischi relativi alla Cybersecurity Industriale è quello descritto nella direttiva NIST 800-82.

La direttiva NIST 800-82 rappresenta lo stato dell’arte nel campo della sicurezza informatica in ambito industriale ed il framework di riferimento tecnico per tutta un’altra serie di normative e adempimenti (ad esempio la direttiva NIS), per cui l’analisi dello stato dell’infrastruttura di Operational Technology in ottica NIST 800-82 è un passaggio fondamentale anche per le aziende che non sono soggette alla direttiva NIS.

Qualsiasi tipologia di governance della Cybersecurity prevede una prima fase di valutazione dell’AS-IS relativo, valutazione che costituisce le fondamenta dell’implementazione efficace di un piano di Cybersecurity Management che possa determinare un rating aziendale alto. Data la diffusione e la accettazione generale del framework NIST 800-82, la valutazione dell’AS-IS in questa ottica è determinata dall’esecuzione di un’attività di audit NIST 800-82: questa attività è efficace nel valutare la distanza dell’azienda dall’implementazione del framework di sicurezza NIST 800-82 e nel valutare l’effort organizzativo ed economico richiesto per l’adeguamento (e quindi per l’ottenimento di un alto rating di Cybersecurity).

Attività comprese nella redazione di un audit NIST 800-82

Attività previste:

• Inventario dispositivi
• Presenza documentazione di installazione, configurazione, audit
• Procedure di configurazione dei dispositivi
• Policy e procedure di assegnazione dei ruoli, responsabilità e dei livelli di accesso, identificazione e autorizzazione (restrizione degli accessi)
• Policy e procedure di assegnazione dei dispositivi
• Formazione del personale (livello di awareness)
• Change management
• Fault tolerance
• Risk management
• Incident response e digital forensics
• Gestione fornitori
• Gestione ospiti
• Policy patching ed aggiornamenti
• Sicurezza fisica presso sedi e punti di rilevamento
• Gestione base dati (B server ecc)
• ICS Security Architecture network mapping, subnetting, segregation, Wifi, firewall,
• Policy di sicurezza (password, protocolli, cifratura)
• Identificazione e valutazione Servizi esposti
• Comunicazioni e connessioni (remote desktop, vpn)
• Monitoraggio continuo (IDS)
• Audit
• VA e verifica manuale
• Proactive intelligence
• Backup e disaster recovery
• Documentazione del network, identificazione degli apparati e delle modalità di connessione (rete, cavo, fibra, wifi, gsm, gprs, linea Telefonica)
• Identificazione livelli di criticità e dei sistemi critici
• Identificazione protocolli di comunicazione
• Separazione logica e fisica delle reti sensori / uffici
• Individuazione sotto reti
• Valutazione regole di accesso alle sottoreti (fw, router)
• Verifica presenza alert in caso di mancanza di contatti per tot tempo (es. Guasto apparato, jammer, altro)
• Valutazione vulnerabilità conosciute per modello
• Verifica applicazione patch per vendor
• Verifica dell’implementazione delle configurazioni di sicurezza possibili sul singolo apparato
• Verifica presenza sulla rete di eventuali apparati non necessari
• Applicazione principi defense in deep, livelli supplementary di sicurezza (es. Vpn, autenticazione, cifratura)
• Individuazione single point of failure
• Verifica possibilità di accesso remote agli apparati con chiamata diretta invece di call back

Deliverables:

• Consegna Report
• Analisi delle evidenze
• Identificazione del livello di rischio
• Support alla redazione delle Policy
• Reports e Remediation Plan
• Audit post Remediation