L’OT (Operation Technology) è quell’insieme di strumenti informatici utilizzati per controllare e gestire sistemi e apparati tecnologici e quindi è presente in tutti i principali settori industriali, dal manufacturing all’energia, ai trasporti. L’attuale situazione mondiale, caratterizzata da elementi puri come la guerra in Ucraina e le tensioni USA-CINA rappresentano un fattore aggravante accompagnato dalla non preparazione di molte aziende ma anche di parte dei fornitori a diversi livelli.
Per lungo tempo fisicamente isolati dal resto del sistema informativo aziendale, i sistemi OT negli ultimi anni hanno visto una progressiva integrazione con la rete aziendale e l’utilizzo sempre più spinto di tecnologie standard. Questo ha reso gli impianti OT estremamente vulnerabili ad attacchi cyber mentre, allo stesso tempo, l’evoluzione degli strumenti di protezione informatica non è stata altrettanto veloce. Secondo l’ultimo rapporto CLUSIT il comparto Industry è quello che, insieme a Finance e Media, ha subito il maggiore incremento nel numero e nella pericolosità degli attacchi informatici. Stiamo parlando, per quanto riguarda il primo semestre 2022, di una crescita del 34%! Ed a seguire le cose non sono di certo migliorate. La fonte degli attacchi copre tutta la gamma dei possibili attori: si va da organizzazioni nazionali che mirano principalmente ai grandi impianti infrastrutturali per motivi politici (cyberwar) a criminali comuni che puntano a carpire informazioni o a creare disservizi per lucrare un vantaggio economico (cybercrime).. 
Quest’ultima tipologia sta iniziando a colpire anche le aziende di manufacturing, in tutto ciò la situazione UCRAINA ha contribuito alla formazione di attacchi strutturati al fine di indebolire le economie occidentali.
Secondo i dati dei FortyGuards Labs di Fortinet, sono tre le tipologie di attacco ai dispositivi SCADA, di gran lunga più frequenti nel mondo (e in Italia). Due di queste hanno l’obiettivo di ottenere informazioni sensibili dai sistemi vulnerabili sotto attacco; la terza punta a prendere direttamente il controllo dei sistemi vulnerabili. In realtà tutte queste possono avere un risvolto sulla continuità di esercizio e sulle politiche predittive che sono orai parte integrante dei sistemi OT o di applicazioni ad hoc ad esso correlate.
La risposta degli utenti e dei fornitori di soluzioni di cybersecurity inizialmente ha faticato a seguire l’evoluzione delle tecnologie e, di conseguenza, delle sfide connesse. Una fase iniziale di semplice “security by isolation”, che si faceva forte della separazione fisica fra l’infrastruttura SCADA e il resto dell’IT aziendale, è stata ben presto sorpassata dagli eventi e le Aziende (almeno quelle più lungimiranti) sono passate a soluzioni di protezione “Network Centric”.
L’evoluzione del mondo OT è stata però ancora una volta più veloce, ed oggi è necessario un approccio che tenga conto del mondo IIOT (industrial IOT), dello smart building e, in generale, di un proliferare di dispositivi connessi che operano a cavallo fra il mondo dei dati e il mondo fisico.
In sintesi, per citare il rapporto CLUSIT: “se in ambito IT il divario che divide i cybercriminali e i nuclei di cybersecurity delle varie aziende è spesso troppo ampio, a favore degli attaccanti ovviamente, in ambito OT è disarmante”. Tanto è vero che anche l’Unione Europea sta esaminando con particolare attenzione il tema dell’OT Security. In primo luogo, verso le infrastrutture strategiche (energia, distribuzione, trasporti, sanità) ma anche verso il mondo del manufacturing, sia come ulteriore possibile canale di attacco, sia perché (e questo interessa particolarmente l’Italia) produttori di macchine e sistemi OEM devono rispettare in modo nativo determinati requisiti di sicurezza. Alla nuova direttiva sulla sicurezza delle reti e dell’informazione (NIS2) si aggiungeranno presto nuove normative a cui le entità statali e le Aziende produttrici dovranno uniformarsi.
Il paradosso informatico che prima si fermava alla incapacità di un utilizzo intelligente dei dati acquisiti sul campo, ora si allarga e deve tener di conto del fatto che si deve inserire la certezza della bontà del dato. Un salto di qualità non banale per tutte le aziende. Un vero e proprio paradigma shift per le aziende che hanno adottato modelli di business improntati non alla cessione del bene ma al suo utilizzo. Pensiamo solo all’aspetto più benevolo: come contabilizzo dati falsati? Quale sarà l’impatto sui ricavi attesi?
Un esempio immediato è rappresentato dell’uso di flotte nel settore automotive … ma non solo. Come programmo interventi di manutenzione preventiva e di sostituzione di componenti o sottosistemi che denunciano un presunto alto grado di deterioramento e quindi di una fermata dell’esercizio che implica il non utilizzo del bene?
Come muoversi per intraprendere un percorso virtuoso di messa in sicurezza dell’ambiente OT aziendale e salvaguardare il modello di business? Secondo un recente report di Gartner, occorre partire da un’analisi dell’infrastruttura IT/OT vista nel suo insieme (asset Discovery e network mapping). Inevitabilmente questa fase di assessment porterà a quello che Gartner definisce il momento “Oh Wow!”: quando ci si rende conto delle differenti possibili vulnerabilità. Solo per fare alcuni esempi: asset non gestiti, sistemi nati per essere isolati che sono invece integrati in rete, dispositivi aperti all’accesso da remoto per manutenzione, software non aggiornati, patch non installate, etc.).
A questo punto vengono individuate e messe in opera le azioni correttive più urgenti e, nel contempo, si provvede ad un’analisi più strutturata e alla definizione dei passi successivi. L’aspetto positivo è che diversi fornitori (alcuni dichiaratamente specializzati in soluzioni OT) hanno iniziato a mettere sul mercato soluzioni specifiche di discovery e di prevenzione del rischio. La cattiva notizia è che, proprio per la forte integrazione fra ambienti e sistemi di cui abbiamo parlato in precedenza, l’applicazione di soluzioni puntuali non basta: serve un approccio integrato alla sicurezza che tenga conto, se possibile, anche degli aspetti non informatici (SIEM: Security Information and Event Management, o SOAR: Security Orchestration Automation and Response).
In conclusione, l’OT Cybersecurity è un tema di stringente attualità, che comporta rischi non trascurabili sia per le grandi infrastrutture nazionali, sia per le realtà produttive, anche di medie dimensioni. Il tema va affrontato con le adeguate competenze che, purtroppo, non sono facili da reperire in un mercato dove la domanda supera di molto l’offerta. L’alternativa è quella di appoggiarsi a fornitori esterni qualificati, ma comunque sotto la supervisione di una risorsa interna (CISO: Chief Information Security Officier) che possa avere una visione globale della sicurezza aziendale.
Che dire: un altro tema importante che necessità il coinvolgimento e l’azione propulsiva del management aziendale. In primis non è un fattore tecnico e basta. E’ un tema strategico e come tale va trattato e alla svelta.