Rischi di sicurezza OT: Come valutarli e affrontarli?


OT security risks webinar

Il 4 giugno 2020 abbiamo ospitato il nostro webinar "Rischi della sicurezza OT: Come valutarli e affrontarli?", dove i nostri esperti di sicurezza André Slingerland e Mentor Emurlai hanno discusso il panorama della sicurezza OT (Operational Technology) e hanno evidenziato le 10 principali lezioni apprese dall'OT Risk Assessment. I partecipanti hanno posto ottime domande, che abbiamo riassunto qui di seguito in un QandA.

Se avesse ancora delle domande, la invitiamo a contattare cybersecurity@bureauveritas.com.

È curioso di conoscere i nostri altri Webinar? Visiti: https: //cybersecurity.bureauveritas.com/webinars


QandA


Se dovesse avere ancora delle domande, la preghiamo di contattare cybersecurity@bureauveritas.com.


La nostra organizzazione ha più stabilimenti, come si comporta in questo caso nell'esecuzione delle valutazioni del rischio?

Idealmente un impianto viene valutato separatamente, ma in genere se si devono valutare più impianti, questo richiede più tempo. Ci sono casi in cui più impianti diversi sono diretti e gestiti centralmente. In ogni momento con il cliente vengono discussi i dettagli e le specificità dell'approccio. Una parte dell'OT Risk Assessment consiste in un walk-down in cui esaminiamo varie parti in cui visitiamo le unità di processo e le aree in base alla criticità. Ad esempio, vorremmo vedere i set di regole del firewall, i diagrammi, i PFD e i PHA, le postazioni di lavoro e la configurazione, ecc.


Secura utilizza i controlli IEC62443 per l'auditing ed esiste una mappatura con i controlli BIO (baseline informationecurity overheid)?

I rischi identificati durante l'assessment del rischio possono riguardare ciascuno dei requisiti fondamentali IEC 62443 e controlli specifici IEC 62443. Analogamente alla IEC 62443, è possibile effettuare una mappatura ai controlli BIO, se richiesto dal cliente. Inoltre, è possibile effettuare una mappatura simile ai controlli del NIST Cyber Security Framework.


Come vengono controllati i dispositivi proprietari per verificare lo stato di aggiornamento del software?

Nell'assessment del rischio abbiamo un'area tematica separata che è la visibilità e il controllo ICS. Lì verifichiamo se l'inventario degli asset è completamente completo. L'inventario degli asset deve specificare elementi informativi come la posizione fisica degli asset, le interfacce di connettività esposte, la criticità degli asset, lo stato di aggiornamento del software, ecc. Eseguiamo anche diversi campioni per verificare se i dispositivi (proprietari) sono aggiornati e inoltre se sono vulnerabili.

Può fornire una stima della durata e del funzionamento di un Risk Assessment?

Un assessment del rischio dipende in gran parte dalle dimensioni del sito da valutare. Un sito piccolo può richiedere fino a 1-2 giorni, mentre un sito più grande può richiedere da 3 a 5 giorni. Il funzionamento consiste nel definire, insieme al cliente, l'ambito di applicazione, compreso il modo in cui verrà effettuato il walk-down sul posto e quale personale chiave verrà intervistato. In generale, la valutazione del rischio si concentra sui sottosistemi e sulle reti critiche.

Come affrontate una valutazione del rischio sugli edifici?

La affrontiamo come faremmo con qualsiasi altro sito. La metodologia che seguiamo per condurre le valutazioni del rischio consente di valutare diversi tipi di siti/edifici. Ci potrebbero essere alcune aree tematiche meno o più rilevanti.

Può fornirci un esempio interessante di minaccia informatica inaspettata?

Ci sono diverse minacce informatiche interessanti da elencare, perché dipendono soprattutto dal sito che viene valutato. Per fare un esempio, c'era un sito di grandi dimensioni che era condiviso tra diverse aziende rivali. Questo ha comportato minacce aggiuntive che normalmente non ci sarebbero state (tanto) se il sito non fosse stato condiviso. In questo caso, se non si sono prese misure adeguate, l'azienda potrebbe essere esposta a: minacce di terzi, ad esempio appaltatori, per i quali era difficile distinguere chi fosse, interfacce esposte all'esterno che danno accesso diretto alla rete, facilitando l'infiltrazione di malware tramite supporti rimovibili e hardware esterno, possibilità di dispositivi rogue che passano inosservati.

Può fornirci un esempio interessante di minaccia informatica inaspettata?

Le prove di ingresso vengono raccolte preferibilmente in anticipo dal cliente. Ciò può includere diversi documenti come diagrammi di rete, planimetria, elenco o almeno numero totale di asset e processi critici, una copia di laboratorio degli asset critici (controllore di sicurezza) e altre informazioni rilevanti. In generale, sono richieste informazioni che coprano tutti i livelli di Purdue. Durante l'OT Risk Assessment stesso possono essere raccolte ulteriori prove di input, ad esempio il traffico di rete passivo viene raccolto da switch con funzionalità di port mirroring (solo da parte del cliente). In questo modo non viene eseguita una scansione attiva.


Se ha altre domande, ci contatti all'indirizzo cybersecurity@bureauveritas.com.