Recentemente il Ponemon Institute ha presentato il rapporto "2021 State of Industrial Cybersecurity", sponsorizzato e pubblicato da Dragos Inc. Per questa ricerca, Ponemon ha intervistato oltre 600 professionisti della sicurezza IT e OT, suddivisi in un'ampia gamma di settori. In questo articolo vengono illustrati alcuni dei risultati chiave e delle raccomandazioni più interessanti e come questi corrispondono al ciclo di vita della sicurezza OT di Bureau Veritas Cybersecurity. Il rapporto completo è pubblicato qui.
Stato della Cybersecurity industriale di Ponemon 2021
Data:
03 dicembre 2021 |
Author(s):
Frank Ruedisueli - Consulente senior per la sicurezza OT
03 dicembre 2021 |
Author(s):
Frank Ruedisueli - Consulente senior per la sicurezza OT
Incidenti di sicurezza
Secondo questa ricerca , il 63% degli intervistati ha indicato che la propria organizzazione ha avuto almeno un incidente di cybersecurity OT/ICS negli ultimi due anni. Allo stesso tempo, i ricercatori hanno notato che sia la frequenza che la gravità degli attacchi informatici sono in aumento. Il costo medio di un incidente di questo tipo è di circa 3 milioni di dollari. Questo calcolo include i tempi di inattività, la sostituzione delle apparecchiature, le multe e i costi di manodopera del personale di sicurezza IT e OT.
Questa ricerca ha anche scoperto alcune statistiche aggiuntive. Ad esempio, il tempo medio di rilevamento di un incidente è di 170 giorni. Dopo il rilevamento, la gravità e l'impatto devono essere analizzati dagli esperti di sicurezza, e questo richiede in media altri 66 giorni. Infine, ci vogliono 80 giorni per rimediare all'incidente di cybersecurity, per un totale di 316 giorni dal rilevamento iniziale alla bonifica. Questo esclude ancora qualsiasi attività aggiuntiva successiva all'incidente o ulteriori passi di preparazione per prevenire incidenti simili in futuro.
Uno degli attacchi informatici più diffusi e devastanti è l'Attacco ransomware. Lo studio ha indicato che il 29% dei partecipanti ha dichiarato che la propria organizzazione ha dovuto affrontare un attacco di questo tipo. Nella metà di questi casi il riscatto pagato era superiore a 500.000 dollari.
Maturità della sicurezza
Solo il 21% dei partecipanti ha riferito che la sicurezza del proprio programma di cyber security OT/ICS ha raggiunto la piena maturità, mentre circa il 50% è ancora in una fase iniziale o intermedia. Ciò significa che molte attività del programma di sicurezza non sono ancora state pianificate o implementate e l'organizzazione potrebbe non avere il controllo del rischio di cyber security. In un'organizzazione matura, l'efficienza e l'efficacia del programma di cyber security vengono misurate continuamente e, insieme ai rischi attuali di cyber security, comunicate al management di alto livello. Allo stesso tempo, la direzione fornisce budget e risorse sufficienti per mantenere il programma in funzione e ridurre il rischio informatico a un livello accettabile.
Conclusioni e raccomandazioni
Una delle raccomandazioni principali è quella di superare le differenze culturali e tecniche tra i team IT e OT. Un risultato notevole che spiega gli attuali blocchi per gli investimenti nella sicurezza OT/ICS lo illustra in modo simpatico, perché i due risultati principali sembrano essere una contraddizione. Uno afferma che la sicurezza OT è gestita dal reparto di ingegneria che non ha competenze in materia di sicurezza, mentre l'altro afferma che la sicurezza OT è gestita dal reparto IT che manca di competenze ingegneristiche.
Un'organizzazione dovrebbe avere una strategia di sicurezza unificata, ma allo stesso tempo deve capire che l'OT/ICS richiede un approccio diverso. È necessario un team combinato che informi anche il management di alto livello sullo stato del programma di sicurezza e sul rischio cyber dell'organizzazione.
L'organizzazione deve assicurarsi che ci siano risorse e budget sufficienti per eseguire e migliorare la Cybersecurity. Questo inizia con un inventario dettagliato di tutti i dispositivi ICS collegati durante il loro intero ciclo di vita. Una seconda raccomandazione è quella di sviluppare, mantenere e testare un piano di cyber incident response.
Roadmap per la Cybersecurity OT
L'implementazione e il miglioramento continuo di qualsiasi programma di Cybersecurity richiede tempo. È importante iniziare a mappare le priorità aziendali più elevate sui processi OT e infine sugli asset ICS per determinare i controlli adeguati e la loro priorità. Per determinare questa priorità si devono utilizzare scenari guidati dalle minacce e dalle conseguenze. Gli scenari guidati dalle minacce sono ragionati dal punto di vista di un aggressore e mappano le possibili minacce per un'organizzazione, che potrebbero essere basate su rapporti di intelligence sulle minacce o su esercizi di modellazione delle minacce. Gli scenari orientati alle conseguenze si basano sul peggiore impatto possibile che un'organizzazione vuole prevenire. Entrambi porteranno a un inventario dei controlli esistenti, inadeguati o mancanti, necessari per mitigare tutti questi scenari. È ora di creare una roadmap, pianificare un miglioramento continuo e iniziare a mitigare le priorità più alte.
Tutto inizia con una buona comprensione dell'attuale postura di Cybersecurity e delle sue potenziali debolezze. Ciò si riflette anche nel 60% dei partecipanti a questo studio, che hanno dichiarato che la loro priorità principale nel 2021 è migliorare questo aspetto eseguendo valutazioni delle vulnerabilità, dei rischi o delle lacune specifiche di OT/ICS.
Il portafoglio di Cybersecurity di Bureau Veritas Cybersecurity
Nel complesso, queste raccomandazioni si adattano perfettamente al nostro portafoglio di cybersecurity, in particolare alla prima categoria "Audit e risk assessment".
Bureau Veritas Cybersecurity fornisce una varietà di servizi di cybersecurity OT/ICS specifici e vanta un'esperienza in diversi mercati industriali (critici), ad esempio petrolio e gas, energia e acqua (reflua). Con un'analisi delle lacune, identifichiamo lo stato attuale dei controlli di sicurezza in base allo standard IEC 62443-3-3. Con un Risk Assessment OT, utilizziamo un approccio orientato alle conseguenze per quantificare i maggiori rischi di Cybersecurity per un ambiente OT. Per un approccio orientato alle minacce, possiamo offrire esercizi di Threat Modeling sulle minacce OT . Infine, forniamo valutazioni della maturità della sicurezza basate su ISO27000 e IEC 62443-2-1 per valutare il livello di maturità dell'azienda utilizzando un approccio olistico che comprende Persone, Processi e Tecnologia sia IT che OT.
Una parte importante di ogni programma di sicurezza è verificare se tutti i controlli e i processi di mitigazione progettati funzionano nella pratica. In questo caso possiamo fornire uno dei nostri servizi più apprezzati, i test di vulnerabilità e penetration testing. Siamo pienamente consapevoli delle considerazioni specifiche che si applicano ai sistemi OT e abbiamo l'esperienza per pianificare ed eseguire questi test in modo sicuro, sapendo cosa possiamo o non possiamo fare. Naturalmente, sempre in stretta collaborazione con il proprietario dell'asset. Lo stesso vale per le nostre esercitazioni di Red Teaming, dove ci spingiamo addirittura oltre e simuliamo un attacco cyber su larga scala, testando non solo i controlli tecnici di security, ma anche le capacità di rilevamento e di risposta dell'organizzazione.
Tutti gli assessment hanno il loro posto nella roadmap e sono utili per le aziende che si trovano in una fase diversa del loro programma di Cybersecurity. Si tratta anche di un ciclo di miglioramento continuo, in cui la tecnologia e le minacce informatiche sono in continua evoluzione. Saremo lieti di invitarla ad un incontro di accettazione, insieme al nostro team di vendita e ai nostri consulenti di sicurezza, in modo da poter determinare insieme l'approccio migliore.
Si noti che il nostro portafoglio completo di servizi di cybersecurity comprende anche la formazione e la certificazione di sicurezza. Per maggiori informazioni su questi argomenti, consulti la nostra pagina dedicata al mercato industriale.