Functional Safety e Cybersecurity - FAQ

Con il progresso tecnologico, sempre più impianti industriali stanno adottando soluzioni basate su IP. Questo può aumentare la loro vulnerabilità a eventi o incidenti informatici. Abbiamo già assistito ad attacchi mirati ai Sistemi di Sicurezza Strumentati (SIS), come nel caso dell'attacco TRITON, e probabilmente ne vedremo altri in futuro. Fortunatamente, nel caso TRITON, gli aggressori non hanno avuto successo e il sistema di sicurezza ha risposto adeguatamente. Gli standard di sicurezza, come l'IEC 61508, ora richiedono che i rischi di cybersecurity siano affrontati come parte della valutazione complessiva della sicurezza.

I risultati del nostro studio sulla Sicurezza Industriale e le Tendenze della Cybersecurity mostrano che la sicurezza funzionale e la cybersecurity sono inseparabilmente collegate. Per soddisfare i requisiti di sicurezza e cybersecurity, dovrebbe essere adottato un approccio basato sul rischio per garantire che i budget limitati possano essere spesi nelle aree più importanti di sicurezza e cybersecurity. Questo richiede che i manager OT abbiano una comprensione dettagliata dei rischi aziendali, dei rischi di sicurezza e dei rischi di cybersecurity per poter prioritizzare i budget di conseguenza.

Questo dipende dal rischio aziendale; dovrebbe essere effettuata una valutazione utilizzando un framework oggettivo come il NIST Cybersecurity Framework o l' IEC 62443. Questo fornirà una panoramica molto chiara delle problematiche legate ai rischi aziendali e dei controlli di cybersecurity mancanti o inadeguati. Qualsiasi investimento nelle misure di cybersecurity deve essere proporzionale al rischio. Dovrebbe essere creato un programma che affronti prima le questioni principali e successivamente quelle rimanenti. È improbabile che ciò possa essere realizzato in un unico passo e, secondo l'esperienza di TÜV Rheinland, un programma efficace può richiedere dai 2 ai 3 anni, a seconda dell'azienda specifica e del livello di maturità della cybersecurity esistente. Le valutazioni del rischio dovrebbero essere effettuate regolarmente per riflettere la natura in continua evoluzione delle minacce alla cybersecurity.

Per molte organizzazioni, la sfida più grande, e una che è stata sottovalutata da molti fino ad ora, sono i necessari cambiamenti organizzativi e culturali all'interno dell'azienda che devono essere affrontati. Le nuove tecnologie abilitate all'IP possono migliorare enormemente l'efficienza degli impianti, ma spesso comportano rischi associati che potrebbero non essere stati considerati. Inoltre, a causa della carenza di lavoratori qualificati, è difficile per le aziende trovare personale formato che comprenda i processi industriali, la tecnologia operativa e la cybersecurity.

È possibile formare il personale IT per diventare esperti di cybersecurity OT nel tempo, se hanno una comprensione dei processi industriali, dell'ingegneria e una passione per l'argomento. In pratica, il miglior team di cybersecurity OT sarà composto da personale IT, ingegneri di processo OT, proprietari degli asset ed esperti di cybersecurity OT. Questo approccio consente la condivisione e lo scambio di conoscenze ed esperienze, creando un team molto valido. TÜV Rheinland offre coaching e ulteriori corsi di formazione per i membri del team, al fine di sviluppare questa capacità.

Ci vogliono anni di esperienza per raggiungere la competenza necessaria in cybersecurity, IT e OT. Mentre si accumulano esperienza e conoscenze, dovrebbe essere considerato l'uso di terze parti come TÜV Rheinland. TÜV Rheinland può contribuire alla formazione a lungo termine dei dipendenti in cybersecurity, nelle tecnologie associate e nelle relative sfide.

Questo dipende dall'azienda in questione. Molte organizzazioni stanno adottando un approccio convergente in cui i team di cybersecurity IT e OT lavorano a stretto contatto con un unico CSO responsabile. Il problema è che competenze di questo tipo in un CSO sono difficili da trovare, quindi avere funzioni separate potrebbe essere una soluzione migliore nel medio termine.

Il ransomware è un software dannoso che cripta i sistemi informatici. Spesso distribuito tramite un'email di phishing, l'attore della minaccia richiederà un pagamento per decriptare questi dati. Spesso, anche se il denaro viene pagato, il processo di decriptazione potrebbe fallire. Poiché i sistemi IT e OT sono spesso collegati, un incidente di ransomware può avere un impatto diretto su un impianto di produzione, causando perdita di produzione e tempi di inattività del sistema.

L'applicazione di patch, buoni backup e una rete segmentata sono misure efficaci per aiutare a prevenire il ransomware, così come una buona formazione degli utenti, il filtraggio delle email e una gestione adeguata. Gli asset OT devono essere documentati e completamente compresi, così come il modo in cui si collegano ai sistemi IT. L'uso di firewall configurati correttamente può essere utile. In definitiva, la risposta a un incidente di ransomware di successo è il ripristino dei sistemi dai backup. Questo deve includere i sistemi OT e il backup deve essere protetto per evitare che venga criptato dallo stesso ransomware. Infine, un buon piano di risposta e recupero dagli incidenti, ben testato, garantirà che, nel caso in cui siate vittime di ransomware, abbiate le persone, i processi e le tecnologie necessari per affrontarlo.

Con le terze parti è importante definire le responsabilità e assicurarsi che ciò sia supportato dai contratti appropriati. La cybersecurity deve essere considerata fin dall'inizio di una relazione con un fornitore e certamente prima che il contratto venga firmato. Successivamente, audit regolari da parte di terze parti sono di fondamentale importanza per verificare che le misure di cybersecurity vengano mantenute durante l'intero periodo contrattuale.

Il programma di audit TISAX nell'industria automobilistica mostra come funzionano tali programmi di garanzia della cybersecurity. Si tratta di un meccanismo di valutazione e scambio per la sicurezza delle informazioni che consente l'accettazione reciproca dei risultati delle valutazioni di cybersecurity tra i partecipanti. Se gestite informazioni sensibili dei vostri clienti o volete valutare la sicurezza delle informazioni dei vostri fornitori, TISAX è un ottimo esempio di come questo possa essere realizzato.

I sistemi OT dovrebbero essere integrati nella strategia di Governance, Rischio e Conformità (GRC) dell'azienda, in modo che le misure di cybersecurity siano considerate insieme ad altri rischi aziendali chiave. Abbiamo creato una nuova soluzione chiamata CARM (Continuous Adaptive Risk Monitoring) che fornisce una sovrapposizione GRC per le operazioni OT. Contattaci per ulteriori informazioni.

Proteggere la disponibilità dei sistemi di produzione è normalmente la principale preoccupazione per gli esperti di cybersecurity OT che lavorano in questo settore, insieme alla protezione delle persone e dell'ambiente. Le conseguenze finanziarie di un'interruzione della produzione sono solitamente immense e possono danneggiare un'azienda a lungo termine. La perdita di dati OT non dovrebbe essere ignorata. Ad esempio, informazioni sui processi OT, diagrammi a blocchi funzionali o segreti aziendali possono essere persi o rubati, causando danni reputazionali o la perdita di contratti importanti. Entrambi questi aspetti sono questioni rilevanti e devono essere implementati controlli e processi di cybersecurity per affrontare un evento o incidente inevitabile.

Il punto di transizione tra IT e OT dipende dalla struttura dell'azienda o del sistema OT in questione. Il modello di riferimento Purdue fornisce un buon modo per spiegare questo concetto. Spesso la transizione IT/OT avviene dal livello 3 o 4 del modello. I sistemi di livello 4 solitamente si occupano delle operazioni aziendali quotidiane e sono disaccoppiati dai livelli di processo. Il livello 3 contiene la Gestione delle Operazioni, che è separata dal livello 2, il controllo di supervisione. Con il passare del tempo e lo sviluppo del mondo OT, l'uso del modello Purdue originale potrebbe essere messo in discussione, ma per ora fornisce una struttura logica "ideale" utile.