IIoT Security

Sicurezza IIoT: una scelta strategica per imprese e utility

Una scarsa attenzione alla sicurezza IIoT, vale a dire ai sistemi e agli endpoint destinati al mondo industriale, rischia di trasformare l’Internet of Things in una Internet of Threats. Lo spiega un report di IBM IBV

Pubblicato il 08 Feb 2021

sicurezza industria

Ne abbiamo scritto più volte, anche in tempi recenti: uno dei temi non più procrastinabili quando si parla di Internet of Things – IoT e ancor di più quando si parla di IIoT è quello della sicurezza.
La stessa IBM in un report pubblicato qualche tempo fa, aveva lanciato un segnale d’allarme: semplicemente si deve evitare che l’Internet of Things si trasformi in una Internet of Threats, vale a dire in una Internet delle minacce.
Che si tratti di imprese del comparto industriale, che si parli di utilities o di servizi pubblici, l’imperativo categorico è sviluppare adeguate strategie per mitigare e gestire i rischi e per proteggere adeguatamente proprio l’Industrial Internet of Things.

Sicurezza IIoT: a che punto siamo

Interessante, su questo tema, è proprio un report sviluppato da IBV Institute for Business Value, la struttura che all’interno dell’organizzazione IBM si occupa di analisi e ricerca, non a caso intitolato “Internet of Threats: Securing the Internet of Things for Industrial and Utility Companies – Internet delle minacce: proteggere l’Internet delle cose per le aziende industriali e di servizi”.
Nella sua analisi IBV parte da un dato di fatto: esiste ancora una consapevolezza troppo limitata rispetto alla effettiva necessità di sicurezza dell’IoT.
Manca una reale comprensione incompleta dei rischi derivanti dalle implementazioni IoT; mancano di conseguenza programma formali dedicati alla sicurezza IoT.
I framework di sicurezza e le strutture organizzative sono ancora troppo incentrati sull’IT e non sono di conseguenza adeguati a soddisfare le esigenze di affidabilità e predittibilità di apparati IoT spesso utilizzati in modalità “always on”.
Il risultato?
Un divario decisamente marcato tra l’adozione dell’IoT e l’effettiva capacità in atto di proteggerlo.
Non è un problema da poco, soprattutto perché stiamo parlando di un mercato, quello dell’Industrial Internet of Things, destinato a raggiungere un valore globale di 14mila miliardi di dollari entro i prossimi 10 anni. Di conseguenza le preoccupazioni di fondo sulla sicurezza e la vulnerabilità dei sensori e di altri dispositivi sono tutt’altro che ingiustificate.
In una infrastruttura connessa, dispositivi, sensori e piattaforme IoT sembrano oggi essere i maggiori punti di vulnerabilità.

New call-to-action

Implementazioni IIoT e sicurezza non vanno di pari passo

Il punto centrale, si sottolinea nel rapporto, è che l’implementazione delle tecnologie IoT e IIoT non va di pari passo con la loro protezione, ma procede, anzi, a un ritmo decisamente superiore, con il risultato di esporre le organizzazioni a pericoli non irrilevanti. Se si pensa a alle possibili compromissioni di impianti industriali, di impianti chimici o petroliferi, a gasdotti o ad altri servizi pubblici è facile capire che a rischio sono le persone, le produzioni e persino l’ambiente.
Nel report si usa un’immagine molto efficace: Building a plane while flying it. È come se si stesse costruendo un aereo mentre già lo si sta facendo volare.
Numerosi report, anche usciti nelle scorse settimane, hanno evidenziato come un numero crescente di attacchi negli ultimi mesi ha avuto come obiettivo proprio tutto il mondo OT, il mondo delle Operational Technology, pesando per oltre un 30% sul totale degli attacchi cyber registrati, con un impatto importante in termini di sicurezza, produttività ed efficienza.

Sicurezza IIoT: quali sono i limiti nell’approccio

Il tema, va detto per chiarezza, non è del tutto ignorato: il problema è che molte aziende si trovano ancora in una fase iniziale di adozione delle tecnologie, degli strumenti e ancor di più delle metodologie e delle best practice che consentono di mitigare i rischi e proteggere dispositivi e piattaforme IoT.
I problemi, si sottolinea nel report, sono molteplici e di diversa natura: si va dalla mancanza di competenze IT da parte del personale OT e viceversa, alla polverizzazione e disomogeneità dei dispositivi OT, fino alla complessità di integrare tutto ciò che è disperso sotto un unico ombrello di protezione.
Non solo.
Oltre alla consapevolezza limitata della sicurezza IoT e a un approccio ancora troppo incentrato sui modelli imposti dall’IT, cui abbiamo fatto cenno in precedenza, non si può non tener conto del fatto che gli standard di sicurezza IoT stanno sì emergendo, ma ancora forse troppo lentamente. Serve, ad esempio, implementare i controlli CIS (Center for Internet Security) effettuando inventari di dispositivi e software autorizzati o implementando dispositivi con diagnostica integrata e hardware e firmware protetti e rinforzati.
In ogni caso, IBM IBV indica nella mancanza di risorse qualificate la sfida più grande per proteggere le implementazioni IoT, per le quali servirebbe un pool di talenti davvero ampio.
Così accade che troppo spesso le valutazioni di rischio vengono eseguite “ad hoc” e non sulla base di una metodologia e un approccio formalizzati.

Tre passi verso la sicurezza IIoT

Quali sono dunque le azioni da intraprendere?
Il primo passo è inevitabilmente la consapevolezza non solo dei rischi effettivi, ma anche del fatto che non si parla di un concetto astratto, ma di un tema che richiede l’adozione di procedure, pratiche e tecnologie che non inficino i KPI stabiliti dall’organizzazione.
Il secondo passo è mettere in atto pratiche che coinvolgano persone, processi e tecnologia con l’obiettivo di creare una nuova capacità di sicurezza IoT, nella quale IT e OT convergano verso l’obiettivo comune dell’efficienza operativa.
Il terzo passo è fare leva sulla proattività. Bisogna essere pronti a preparare una risposta efficace agli attacchi informatici, eseguire simulazioni di violazione, avere consapevolezza della situazione sul campo o sugli impianti e mantenere costante il monitoraggio del SOC – Security Operation Center.

Tra metodologie e tecnologie

Ma quali sono le leve tecnologiche sulle quali l’organizzazione deve puntare?
Nel report si fa chiaro riferimento sia a soluzioni metodologiche, sia a una serie di soluzioni tecnologiche che supportano la sicurezza dell’IIoT.
Serve, in primo luogo, stabilire un programma di sicurezza IoT formale, che coinvolga, come già accennato persone, processi e tecnologia.
Serve tenere traccia di ogni endpoint, identificarlo, profilarlo, capire cosa fa e con chi parla. Serve definire SLA chiari, coinvolgendo anche partner e integratori di sistema.
Serve dar vita a un team di sicurezza interfunzionale del quale facciano parte le funzioni operation, IT, engineering e system control.
Per quanto riguarda le tecnologie, si parte dalla crittografia, per proteggere l’infrastruttura dagli attacchi che potrebbero compromettere le informazioni sensibili, si passa alla sicurezza di rete e ai sistemi di autenticazione dei dispositivi per proteggere le comunicazioni tra dispositivi IoT, apparecchiature periferiche, sistemi di back-end e applicazioni, e si arriva alle analisi di sicurezza, per identificare potenziali attacchi e intrusioni IoT che potrebbero aver aggirato i controlli di sicurezza tradizionali, e all’identity e asset management.

Fondamentale, è la conclusione cui giunge IBM, è considerare la sicurezza dell’IoT come una questione aziendale strategica e non semplicemente come un problema tecnologico.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4