Nonostante l’automatizzazione, il fattore umano è ancora in grado di mettere a repentaglio i processi industriali: lo scorso anno gli errori o le azioni accidentali da parte dei dipendenti sono stati la causa del 52% degli incidenti che hanno interessato i sistemi Operational Technology e le reti dei sistemi di controllo industriale (OT/ICS). Secondo il nuovo report di Kaspersky, dal titolo “State of Industrial Cybersecurity 2019”, questa problematica è parte di un contesto ben più ampio e articolato. Infrastrutture industriali sempre più complesse richiedono protezione e competenze all’avanguardia. Nonostante queste tendenze, le aziende si trovano di fronte alla mancanza di professionisti in grado di gestire le nuove cyberminacce e alla scarsa preparazione da parte dei propri dipendenti.
Industria 4.0, ma senza sicurezza
Molte realtà industriali si stanno preparando alla digitalizzazione delle reti e all’adozione di standard dell’Industry 4.0. Quattro organizzazioni su cinque (81%) tra quelle coinvolte dallo studio di Kaspersky – dedicato allo stato della cybersecurity nell’industria nel 2019 – considerano la digitalizzazione delle proprie reti operative come un obiettivo importante o addirittura estremamente importante per quest’anno. Tuttavia, per tutti i benefici che un’infrastruttura connessa può portare con sé, ci sono altrettanti rischi legati alla sicurezza informatica.
La buona notizia è che la cybersecurity dei sistemi OT/ICS sta diventando una priorità assoluta per le aziende industriali, come conferma la maggioranza (87%) delle realtà coinvolte dallo studio di Kaspersky. Per raggiungere il livello di protezione adeguato, però, è necessario investire in misure dedicate e disporre di professionisti altamente qualificati che possano mettere in atto quelle stesse misure in modo efficace. Nonostante si consideri la questione come prioritaria, solo poco più di metà delle aziende interpellate (57%) dichiara di stanziare del budget per la propria sicurezza informatica industriale.
Mancano soldi e… professionisti
Oltre ai vincoli legati alle questioni di bilancio, si pone anche il problema del personale qualificato. Le aziende devono non solo fare i conti con la mancanza di esperti in cyber-sicurezza con le giuste competenze per gestire la protezione dei network industriali, ma temono anche che gli operatori OT/ICS non siano pienamente consapevoli dei comportamenti e delle azioni che possono determinare delle violazioni dal punto di vista della sicurezza informatica. Queste sfide costituiscono le due principali preoccupazioni per quanto riguarda la gestione della cybersecurity a livello industriale e possono in qualche modo spiegare perché gli errori da parte dei dipendenti determinano quasi la metà di tutti gli incidenti informatici a livello degli ICS, come le infezioni da malware o anche attacchi mirati più gravi.
Circa nella metà delle aziende prese in esame da Kaspersky (45%) i dipendenti che si occupano della sicurezza delle infrastrutture IT supervisionano anche le reti OT/ICS e si trovano quindi a dover integrare questo compito con le loro principali responsabilità. Questo tipo di approccio può comportare dei rischi per la sicurezza: anche se le reti operative e aziendali stanno diventando sempre più connesse, specialisti diversi possono avere approcci (37%) e obiettivi (18%) differenti in materia di cyber-sicurezza.
Le aziende stanno investendo
“Lo studio che abbiamo realizzato quest’anno dimostra che le aziende stanno cercando di migliorare il livello di protezione delle proprie reti industriali. Questo obiettivo, però, può essere raggiunto solo se si affrontano in modo adeguato i rischi legati alla mancanza di personale qualificato e agli errori dei dipendenti. L’adozione di un approccio globale e multi-livello, che possa combinare la protezione dal punto di vista tecnico con la formazione regolare di specialisti della sicurezza informatica e di operatori delle reti industriali, garantirà sia la protezione delle reti dalle cyberminacce, sia l’aggiornamento costante delle competenze del personale”, ha commentato Morten Lehn, General Manager Italy di Kaspersky.
Oltre ad incentivare i miglioramenti dal punto di vista tecnico e a far crescere la consapevolezza da parte dei dipendenti in tema di cyber-sicurezza industriale, le organizzazioni devono pensare anche a dotarsi di una protezione specifica per l’Industrial IoT, che può avere un alto tasso di connessione all’esterno dell’ambiente: quasi la metà delle aziende interpellate da Kaspersky (41%) si dice pronta a connettere le proprie reti OT/ICS al cloud, ricorrendo alla politica della manutenzione preventiva o alle simulazioni tramite Digital Twin.
Jesus Molina, Presidente dell’IIC Security Working Group e Director of Business Development di Waterfall Security Solutions ha dichiarato: “Come dimostra questa indagine dell’ARC Advisory Group condotta per conto di Kaspersky, la connessione sempre più sistematica tra Edge Device IIoT e i servizi cloud rappresenta una sfida continua dal punto di vista della sicurezza informatica. È stato uno dei fattori principali alla base della creazione dell’IIC Industrial Internet of Things Security Framework, così come dei documenti successivi sulle best practice da seguire e del recente IoT Security Maturity Model”.
Kaspersky ha un portfolio di soluzioni e servizi progettati appositamente per far fronte alle sfide delle organizzazioni industriali. Kaspersky Industrial CyberSecurity, ad esempio, combina la protezione degli Endpoint e delle reti di tipo industriale, per la loro sicurezza da minacce che possono colpire operatori e reti in ambienti ICS, con servizi di Threat Intelligence avanzata e di Incident Response. Mette a disposizione anche un programma per la formazione e la sensibilizzazione in temi di sicurezza appositamente creato per gli esperti di cybersecurity, per i responsabili in ambiti OT e per gli operatori ICS.