IT vs OT vs Sicurezza: convivenza possibile?

Qualche settimana fa ho partecipato ad un interessante evento per CISO. Al di la dell’argomento (per altro estremamente interessante) la cosa simpatica è stata poter discorrere senza vincoli o freni. A tavola (e te pareva che non ne approfittavo per mangiare gratis 🙂 ) tra una chiacchiera ae l’altra si è iniziato a discorrere del difficile rapporto che corre tra il mondo OT ed IT, e di questi con la sicurezza dell’informazione nei suoi vari domini.

è sempre interessante sentire i vari punti di vista e le varie esperienze dalla voce dei protagonisti della nostra vita digitale, ed è interessante come spesso vi sia una comunità di esperienze che ci permette di definire lo stato (povero) della digitalizzazione in Italia.

IT vs OT il peccato originale.

Dall’osservatorio di un CISO è innegabile che OT e IT siano mondi diversi, che usano linguaggi diversi, con diverse esigenze e diverse metriche. Anche i tempi di vita degli oggetti che “vivono” nel mondo OT sono profondamente diversi da quelli che vivono nel mondo IT.

Criticità diverse, lingue diverse, metriche diverse non possono portare ne ad una facile convivenza ne a una facile comunicazione. Il risultato è una estrema diffidenza tra i due mondi, con l’OT che vede nel suo isolamento una forma di salvaguardia dall’invadenza dell’IT. Purtroppo, come già successe ai difensori dei mainframe, il mondo IT ha aumentato la sua pervasività nel mondo IT rompendo un “felice” isolamento che aveva reso i due mondi due cose diverse.

Il mantenimento di posizioni difensive da parte del mondo OT rispetto al mondo IT è comprensibile, ma occorre anche ammettere che il mondo OT si è sviluppato prima ma su esigenze e perimetri estremamente ristretti. L’accesso riluttante di componenti IT in questo mondo ha però aperto una finestra su una evidenza poco amata dall’OT: la senescenza di infrastrutture informatiche progettate senza un reale approccio di sicurezza by design e by default il cui cardine di sicurezza è sempre stato basato sull’isolamento e da un approccio security by oscurity.

Purtroppo questo approccio si è dimostrato, sempre più negli ultimi anni, insufficiente a garantire la sicurezza del mondo OT. Attacchi informatici verso strutture OT si sono moltiplicati con risultati economicamente importanti e non vi sono indicazioni che questo trend sia in diminuzione, anzi.

I criminali informatici non amano rinunziare a potenziali stream di monetizzazione una volta individuati, e la fragilità di molti sistemi OT sulle nuove tecniche di attacco in uso da queste organizzazioni è un canale interessante.

Questa vulnerabilità non è data solo dalla pervasività di sistemi IT nel campo OT, ma anche a fragilità specifiche di sistemi disegnati al di fuori di moderni parametri di sicurezza, non fosse altro per l’età di questi sistemi.

In questo dualismo però l’IT non è senza colpe, se la pervasività è un fatto, cosi come la apertura, la comprensione delle esigenze specifiche dell’OT non è altrettanto diffusa. Il risultato è che l’IT ha replicato, o cerca di replicare, i propri modelli operativi in un ambito differente.

Avendo i due mondi linguaggi diversi, metriche e spesso linee di riporto diverse la comunicazione risulta estremamente difficile e la resistenza tra i due mondi è ancora molto elevata

La sicurezza un ospite incomodo

Dall’osservatorio del ciso esiste però un comune nemico comune sia di OT che di IT, la cui pervasività è percepita come un peso e non come un fattore abilitante al business: la sicurezza dell’informazione.

Infatti la sicurezza o è vista come un sottoinsieme del mondo IT, cosa che alimenta la diffidenza del mondo OT nei sui confronti, o un elemento estraneo a tutto tondo da entrambe.

Ho già parlato in passato del fatto che la sicurezza della informazione è campo diverso dall’IT sia in termini di copertura (la cyber security è solo uno dei domini di riferimento) che in termini logici di indipendenza, controllato e controllore non possono coesistere e, in particolare, non può il controllore (la sicurezza) dipendere dal controllato per ovvi conflitti di interesse. la uscita della sicurezza dell’informazione dal dominio IT ha portato da parte dell’IT una “inimicizia” e la rottura di un rapporto nei confronti di chi si occupa di sicurezza, visto come un ulteriore peso, assieme a compliance.

Le ragioni della inimicizia di IT e OT nei confronti della sicurezza in realtà hanno ragioni più profonde: sistemi disegnati senza tener conto della sicurezza si vedono scoperti proprio nel loro punto di orgoglio, il design. Questo ha portato spesso l’IT (e inizia a vedersi il fenomeno anche nell’OT) a proiettare sulla sicurezza problematiche di design che non competono strettamente alla sicurezza.

Non è possibile pensare che la sicurezza dell’informazione, nei suoi vari domini, assolva a correttore di errori di design ed implementazione, processi incompleti o fallaci, digitalizzazione mal gestita e mal progettata. Eppure, spesso, questa è la richiesta che arriva alla sicurezza quella di coprire, con il proprio budget, errori di design e processo che sono, in realtà, attribuibili ad IT ed OT.

Come è facile immaginare questa “tensione” tra le diverse anime fa leva su questioni economiche e politiche interne all’organizzazione che non sono ne di facile ne di immediata risoluzione.

La percezione della sicurezza informatica come “ostacolo” alle attività di business e non di facilitatore (analogo discorso si può dire per le esigenze di compliance) in realtà è legato al fatto che sicurezza e compliance non sono considerate “ab initio” nel disegno delle infrastrutture ma chiamate ex post a coprire problematiche. Il concetto di disegnare infrastrutture e processi con “privacy e security” inserita “by design” e “by default” è ancora su carta più che reale. E il “business” inteso come la infrastruttura aziendale esterna a IT ed OT non ha competenze o comprensione delle problematiche se non a livello embrionale.

Esempi virtuosi, intendiamoci, ci sono ma sono eccezioni e non la norma. E quando ci sono l’azienda si ritrova un vantaggio competitivo in quanto aumenta la efficienza operativa e riduce i costi di gestione a fronte di un maggiore modesto costo iniziale.

Il prima, l’adesso e il domani

Se il futuro si può considerare da scrivere esiste il problema del pregresso e della gestione del corrente.

Sul passato si può intervenire solo in modalità reattiva, ovviamente, cercando di porre in atto processi e tecnologie che consentano la copertura di sicurezza delle aree più a rischio. Esistono esigenze varie da analizzare, in questo senso mi vengono in mente la microsegmentazione, il controllo degli accessi remoti da parte di operatori esterni, l’accesso remoto in modalità zero trusted, il controllo e monitoraggio di identità e attack pathway.

Per il presente si può pensare alla pianificazione della gestione delle risorse iniziando a definire metriche che aiutino le varie anime della azienda a condividere un approccio risk based che permetta di indirizzare le risorse in maniera più efficiente.

Per il futuro invece occorrerà prima o poi aprirsi ad una collaborazione tra i diversi stakeholder che condividano le esigenze e sappiano sviluppare tecnologie e processi in maniera efficace ed efficiente.

Esiste una soluzione?

La possibilità di riconciliare 6 anime (IT, OT, Sviluppo, Sicurezza, Compliance e Business) pur nella dinamica competitiva delle rispettive esigenze (il budget non è infinito e gli interessi vanno mediati) esiste quando si crea un ponte di comunicazione tra i diversi attori. Questa comunicazione è un elemento che non si crea “a tavolino” o “su carta, ma richiede la effettiva condivisione di attività operative e progetti. Far lavorare in gruppi di lavoro congiunto con obiettivi definiti e misurabili i vari elementi consente di definire una lingua comune che prelude a metriche compatibili e comprensibili.

Ovviamente questo richiede un commitment aziendale forte e una accettazione della sfida da parte dei vari stakeholder che devono accettare di essere “misurati” su questi obiettivi.

Modestamente mi permetterei di suggerire come primo possibile strumento il “cyber range” inteso come esercizio che consideri la attiva e fattiva partecipazione di tutti i vari stakeholders. Come esercizio di “sicurezza” la “simulazione realistica” di un attacco con le relative conseguenze permetterebbe ai vari soggetti di iniziare a capire le conseguenze delle scelte effettuate e di ripensare ad un futuro più ottimizzato. In questo senso la sicurezza potrebbe offrire alla azienda uno strumento di crescita e di creazione di ponti di comunicazione tra le sue diverse anime con la comprensione di cosa potrebbe accadere a causa di un problema di attacco alle infrastrutture (IT) in termini produttivi (OT) e quindi di business, all’immagine (MKTG e comunicazione) e alle ricadute economiche (finance) e legali.

Del resto il problema non è “se” qualcosa andrà male ma “quando”

Dati e persone, un binomio indissolubile da considerare.

Antonio Ieranò, Evangelist cyber Security Strategy, Proofpoint

Nella visione tradizionale, quando pensiamo alla protezione dei dati e alla sicurezza dell’informazione, si tende a considerare le attività di gestione del dato come attività svolte all’interno di un perimetro ben definito e, per questo, con una certa sicurezza intrinseca. Vincoli fisici di accesso alle risorse offrono alcuni livelli di protezione, sia fisica che informatica, spesso considerati robusti.

Nella realtà il passaggio globale a modelli di lavoro ibridi, forzato anche da concause esterne, ha modificato sensibilmente l’ambiente di riferimento che dobbiamo considerare quando si parla di sicurezza dell’informazione. Gli ultimi due anni e mezzo hanno visto decollare le opzioni di lavoro a distanza, il che a sua volta ha aumentato le potenziali superfici di attacco per un’organizzazione. Con un maggiore utilizzo di piattaforme cloud e di collaborazione, le persone sono ora più che mai la più grande superficie di attacco e sono particolarmente vulnerabili lavorando al di fuori della presunta sicurezza dei loro uffici aziendali.

Le reti domestiche non sono protette come le reti dell’ufficio, i dispositivi possono essere condivisi con altri e spesso sono ad uso promiscuo (lavoro e personale). I dati ed i sistemi aziendali sono ora accessibili “in cloud” oltre che nei tradizionali datacenter, e la moltiplicazione di percorsi esterni per accedere ai sistemi e risorse aziendali rappresenta un enorme pericolo. Offre agli attori delle minacce più modi per entrare, ma rende anche più difficile tracciare ciò che i lavoratori stanno gestendo.

Inoltre, le organizzazioni stanno creando e spostando più dati che mai. Ciò a sua volta crea nuove forme di rischio per la sicurezza per le aziende, rendendo difficile capire quando i dati sono a rischio, quale sia il loro valore effettivo e, di conseguenza, implementare i controlli appropriati per mitigare il rischio.

Quindi, come possono le organizzazioni affrontare queste sfide relativamente nuove per la sicurezza dei dati?

Alle prese con rischi aziendali più ampi

La forza lavoro decentralizzata accelera anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Nel 2022, il costo totale medio globale di una violazione dei dati ha raggiunto il massimo storico di 4,35 milioni di dollari, secondo il Cost of a Data Breach Report di IBM Security. Secondo il rapporto, il lavoro a distanza è in parte responsabile dell’aumento dei costi. Il rapporto ha rilevato una “forte correlazione” tra il lavoro remoto e il costo delle violazioni dei dati. Le violazioni, in cui il lavoro a distanza era un fattore, costano in media 1 milione di dollari in più. 

Le informazioni di identificazione personale (PII) dei clienti sono il tipo di record più costoso compromesso in una violazione dei dati. E questi dati sono preziosi per gli attori delle minacce per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a colpire questo tipo di dati e le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni per proteggerli meglio.

Il regime normativo in continua espansione è uno dei fattori che fanno aumentare i costi delle violazioni dei dati (si pensi al GDPR) e la necessità di una migliore governance dei dati.

Un solido programma di governance dei dati deve riconoscere questo ambiente in evoluzione e considerarne le implicazioni rispondendo a domande fondamentali, come ad esempio:

1. Dove vengono archiviati i tuoi dati?
2. I tuoi dati sono protetti o regolamentati?
3. Come vengono utilizzati questi dati?
4. Chi vi ha accesso?
5. Come vengono protetti questi dati?
6. Come vengono trasmessi alle terze parti coinvolte?

La sfida Insider

I dati non si perdono ne escono da soli. Le persone perdono dati perché sono le persone che vi accedono. Il dato non sparisce per sua volontà: viene rubato da un utente malintenzionato esterno che si sia impossessato di credenziali di un utente aziendale, perso a causa di un utente negligente o preso da un dipendente malintenzionato, spesso a un concorrente. È importante, ora più che mai, proteggersi dalle minacce interne.

Il nostro recente Voice of the CISO Report 2022 ha infatti rivelato che il 31% CISO hanno citato le minacce interne – negligenti, accidentali o criminali – come la minaccia più significativa per la loro organizzazione nei prossimi 12 mesi.

Inoltre, i recenti risultati di Proofpoint e del Ponemon Institute mostrano che, indipendentemente dal fatto che si tratti di negligenza o dolo, le minacce interne costano alle organizzazioni 15,4 milioni di dollari all’anno, in aumento del 34% rispetto al 2020, quando la pandemia ha colpito.  

Per calare la questione in termini italiani si faccia riferimento a questi dati:

• Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, con il 44% che ha subito un’infezione riuscita. Solo il 38% ha riottenuto l’accesso ai propri dati dopo aver effettuato il pagamento iniziale del ransomware.
• Il 39% delle organizzazioni italiane ha riferito di aver subito perdite di dati a causa di un’azione interna nel 2022.
• Il 18% dei dipendenti italiani ha cambiato lavoro nell’ultimo anno.  Tra coloro che hanno cambiato lavoro, il 42% ha ammesso di portare con sé i dati.

Molte organizzazioni hanno dovuto riorientare i loro sforzi tecnologici e di sicurezza dagli ambienti di lavoro on-premise a una forza lavoro completamente remota, con il risultato di una miriade di nuovi problemi che devono essere affrontati. Aver adottato strategie di digitalizzazione pensate per un ambiente “chiuso” in un ambito aperto e diffuso come quello attuale ha ulteriormente indebolito i perimetri difensivi del dato, esposto a processi non sempre compatibili con la nuova realtà.

Anche se non possiamo attribuire l’aumento complessivo delle minacce interne a un singolo fattore, il passaggio al lavoro da qualsiasi luogo i sempre più frequenti cambi di lavoro hanno entrambi esacerbato questi rischi. Non c’è dubbio che una forza lavoro dispersa crei una maggiore dipendenza dal cloud, una superficie di attacco significativamente più ampia e un indebolimento della visibilità e dell’efficacia dei controlli di perdita di dati legacy. Inoltre, è più facile che mai condividere ed esporre grandi quantità di informazioni sensibili, sia con noncuranza che con dolo.

Affrontare la sfida dei dati ibridi

Mentre la maggior parte delle aziende è ormai ben abituata al mondo post-pandemia, molte politiche e procedure non sono ancora aggiornate. I controlli in atto per proteggere i dati, ad esempio, sono stati costruiti principalmente attorno alle pratiche di lavoro tradizionali che spesso prevedono passaggi “cartacei” non replicabili remotamente se non con stampa e re-digitalizzazione del documento processato con la relativa moltiplicazione del rischio di esposizione di dati sensibili.

In molti casi, le soluzioni tradizionali di protezione dalla perdita di dati (DLP) si sono concentrate su strumenti e perimetri progettati per mantenere le informazioni sensibili all’interno di un ambiente “chiuso” e gli attori malintenzionati fuori. Questo approccio legacy alla DLP si è concentrato sui dati in uso, in movimento e a riposo, senza molto contesto al di fuori di questo.

Tuttavia, con molte persone che ora operano al di fuori delle tradizionali attività d’ufficio, gli atteggiamenti, i comportamenti e i modi di lavorare sono cambiati. E con esso, anche il modo in cui accediamo e interagiamo con i dati è cambiato. Questo nuovo modo di lavorare richiede un nuovo modo di proteggere i nostri dati sensibili sia dall’esterno che dall’interno. Uno che ponga molta più enfasi sulle persone piuttosto che solo su strumenti e controlli.

Mentre le politiche e le procedure possono essere in ritardo nel nuovo ambiente di lavoro ibrido, lo stesso non si può dire dei criminali informatici. Gli attori delle minacce non hanno perso tempo, prima capitalizzando l’interruzione causata dalla pandemia e ora affinando le loro esche per colpire gli utenti in ambienti nuovi e potenzialmente meno sicuri. E continuano a prendere di mira le persone, ovunque lavorino. 

Soluzione DLP tradizionali possono individuare attività sospette, ma non forniscono alcuna consapevolezza comportamentale prima, durante o dopo il movimento rischioso dei dati e offrono poco in termini di analisi dei comportamenti rischiosi degli utenti. In altre parole, gli strumenti legacy non possono aiutarti a rispondere al contesto di “chi, cosa, dove, quando e perché” dietro un avviso. Il risultato è un sovraccarico dei team di sicurezza e una visione minima dell’attività reale.

Una moderna soluzione DLP può aiutare a risolvere questo problema. Può aiutare i team IT a individuare e revocare rapidamente app dannose di terze parti e bloccare attori malevoli noti, indirizzi IP dannosi che potrebbero portare alla compromissione dell’account, account potenzialmente già compromessi.

Una soluzione moderna deve adattare costantemente il rilevamento, la prevenzione e la risposta al livello di rischio di un utente e alla sensibilità dei dati a cui accede.

Persone, processi e tecnologia

Una solida strategia per i dati deve includere una combinazione di persone, processi e tecnologia.

Sebbene sia fondamentale mettere in atto i controlli tecnologici corretti, il personale è ancora al centro di qualsiasi potenziale perdita di dati. Sono quelli con accesso privilegiato alle tue reti. Sono quelli che inseriscono le loro credenziali nei tuoi sistemi. Inoltre, con oltre il 90% degli attacchi informatici che richiedono l’interazione umana, sono quelli che hanno maggiori probabilità di esporre i tuoi dati ai criminali informatici.

Ecco perché una moderna soluzione DLP deve tenere conto del comportamento umano, sia in ufficio o fuori.

Sfortunatamente, questo non è il caso di molti sistemi legacy. La maggior parte vedrà qualsiasi comportamento anomalo (ma magari giustificato o obbligato dal contesto in cui opera l’utente) come una bandiera rossa istantanea, che influisce sull’esperienza utente e costa tempo prezioso ai team di sicurezza.

In un momento in cui le pratiche di lavoro “normali” possono significare cose diverse da un giorno all’altro, questo approccio non è più adatto allo scopo. Gli ambienti di lavoro remoti e disparati necessitano di soluzioni in grado di monitorare e prevenire in modo proattivo la perdita di dati tra gli endpoint, tenendo conto del comportamento degli utenti, dell’accesso al cloud e delle app di terze parti.

E tali protezioni adattabili sono solo una parte di un’efficace prevenzione della perdita di dati. Questo approccio incentrato sulle persone deve estendersi anche al tuo programma di formazione. Tutti gli strumenti e i controlli del mondo non bastano da soli. La protezione totale dalla perdita di dati richiede una formazione continua, mirata e adattiva sulla consapevolezza della sicurezza. Formazione che non lascia dubbi sugli utenti sul ruolo che possono potenzialmente svolgere nel ridurre il numero e l’impatto degli attacchi informatici.

Per implementare tutto questo, quindi, non basta solo inserire una “tecnologia salvifica” ma occorre ragionare per livelli adattando le esigenze di sicurezza alle richieste del business, integrando il programma di governance dei dati alle pratiche di sicurezza ed ai processi di compliance.

Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione.

La scoperta, la prima fase di questo approccio, comporta la definizione del controllo iniziale. È qui che si eseguono passaggi quali la qualificazione delle leggi e dei regolamenti applicabili all’organizzazione, la definizione della strategia di protezione dei dati in base ai cicli di vita dei dati, l’identificazione degli utenti a più rischio, l’individuazione dell’impronta digitale, la configurazione dell’inventario globale e l’indicizzazione dei dati.

Nella seconda fase (rilevamento), si sviluppano funzionalità di controllo ottenendo contesto per tutte le attività, l’intento e l’accesso dell’utente; identificare account compromessi e utenti di phishing; e la classificazione di dati sensibili o regolamentati. Stai anche adottando misure per tenere traccia degli incidenti e raccogliere e acquisire dati da tutte le tue fonti.

Infine, l’ultima fase (applicazione) riguarda la crescita delle capacità di controllo completo, come la rimozione di dati da posizioni non sicure, la messa in sicurezza dello scambio dei dati con terze parti, l’applicazione di protezioni dei limiti dei dati, l’implementazione della supervisione completa della conformità e così via.

Suddividendo tutte le grandi domande in passaggi più piccoli e attuabili, stai creando un approccio programmatico che ti aiuta a proteggere i dati in base ai rischi più elevati e ti offre il miglior ritorno sull’investimento. È importante valutare continuamente l’efficacia del programma e ottimizzarlo. Il tuo ambiente è dinamico e le tattiche delle minacce cambiano costantemente.

I criminali informatici di oggi sono in continua evoluzione, prendendo di mira minacce nuove e sofisticate direttamente alle persone. Anche le nostre difese devono evolversi. In caso contrario, questa è una corsa agli armamenti che non possiamo vincere.