IT vs OT vs Sicurezza: convivenza possibile?

Qualche settimana fa ho partecipato ad un interessante evento per CISO. Al di la dell’argomento (per altro estremamente interessante) la cosa simpatica è stata poter discorrere senza vincoli o freni. A tavola (e te pareva che non ne approfittavo per mangiare gratis 🙂 ) tra una chiacchiera ae l’altra si è iniziato a discorrere del difficile rapporto che corre tra il mondo OT ed IT, e di questi con la sicurezza dell’informazione nei suoi vari domini.

è sempre interessante sentire i vari punti di vista e le varie esperienze dalla voce dei protagonisti della nostra vita digitale, ed è interessante come spesso vi sia una comunità di esperienze che ci permette di definire lo stato (povero) della digitalizzazione in Italia.

IT vs OT il peccato originale.

Dall’osservatorio di un CISO è innegabile che OT e IT siano mondi diversi, che usano linguaggi diversi, con diverse esigenze e diverse metriche. Anche i tempi di vita degli oggetti che “vivono” nel mondo OT sono profondamente diversi da quelli che vivono nel mondo IT.

Criticità diverse, lingue diverse, metriche diverse non possono portare ne ad una facile convivenza ne a una facile comunicazione. Il risultato è una estrema diffidenza tra i due mondi, con l’OT che vede nel suo isolamento una forma di salvaguardia dall’invadenza dell’IT. Purtroppo, come già successe ai difensori dei mainframe, il mondo IT ha aumentato la sua pervasività nel mondo IT rompendo un “felice” isolamento che aveva reso i due mondi due cose diverse.

Il mantenimento di posizioni difensive da parte del mondo OT rispetto al mondo IT è comprensibile, ma occorre anche ammettere che il mondo OT si è sviluppato prima ma su esigenze e perimetri estremamente ristretti. L’accesso riluttante di componenti IT in questo mondo ha però aperto una finestra su una evidenza poco amata dall’OT: la senescenza di infrastrutture informatiche progettate senza un reale approccio di sicurezza by design e by default il cui cardine di sicurezza è sempre stato basato sull’isolamento e da un approccio security by oscurity.

Purtroppo questo approccio si è dimostrato, sempre più negli ultimi anni, insufficiente a garantire la sicurezza del mondo OT. Attacchi informatici verso strutture OT si sono moltiplicati con risultati economicamente importanti e non vi sono indicazioni che questo trend sia in diminuzione, anzi.

I criminali informatici non amano rinunziare a potenziali stream di monetizzazione una volta individuati, e la fragilità di molti sistemi OT sulle nuove tecniche di attacco in uso da queste organizzazioni è un canale interessante.

Questa vulnerabilità non è data solo dalla pervasività di sistemi IT nel campo OT, ma anche a fragilità specifiche di sistemi disegnati al di fuori di moderni parametri di sicurezza, non fosse altro per l’età di questi sistemi.

In questo dualismo però l’IT non è senza colpe, se la pervasività è un fatto, cosi come la apertura, la comprensione delle esigenze specifiche dell’OT non è altrettanto diffusa. Il risultato è che l’IT ha replicato, o cerca di replicare, i propri modelli operativi in un ambito differente.

Avendo i due mondi linguaggi diversi, metriche e spesso linee di riporto diverse la comunicazione risulta estremamente difficile e la resistenza tra i due mondi è ancora molto elevata

La sicurezza un ospite incomodo

Dall’osservatorio del ciso esiste però un comune nemico comune sia di OT che di IT, la cui pervasività è percepita come un peso e non come un fattore abilitante al business: la sicurezza dell’informazione.

Infatti la sicurezza o è vista come un sottoinsieme del mondo IT, cosa che alimenta la diffidenza del mondo OT nei sui confronti, o un elemento estraneo a tutto tondo da entrambe.

Ho già parlato in passato del fatto che la sicurezza della informazione è campo diverso dall’IT sia in termini di copertura (la cyber security è solo uno dei domini di riferimento) che in termini logici di indipendenza, controllato e controllore non possono coesistere e, in particolare, non può il controllore (la sicurezza) dipendere dal controllato per ovvi conflitti di interesse. la uscita della sicurezza dell’informazione dal dominio IT ha portato da parte dell’IT una “inimicizia” e la rottura di un rapporto nei confronti di chi si occupa di sicurezza, visto come un ulteriore peso, assieme a compliance.

Le ragioni della inimicizia di IT e OT nei confronti della sicurezza in realtà hanno ragioni più profonde: sistemi disegnati senza tener conto della sicurezza si vedono scoperti proprio nel loro punto di orgoglio, il design. Questo ha portato spesso l’IT (e inizia a vedersi il fenomeno anche nell’OT) a proiettare sulla sicurezza problematiche di design che non competono strettamente alla sicurezza.

Non è possibile pensare che la sicurezza dell’informazione, nei suoi vari domini, assolva a correttore di errori di design ed implementazione, processi incompleti o fallaci, digitalizzazione mal gestita e mal progettata. Eppure, spesso, questa è la richiesta che arriva alla sicurezza quella di coprire, con il proprio budget, errori di design e processo che sono, in realtà, attribuibili ad IT ed OT.

Come è facile immaginare questa “tensione” tra le diverse anime fa leva su questioni economiche e politiche interne all’organizzazione che non sono ne di facile ne di immediata risoluzione.

La percezione della sicurezza informatica come “ostacolo” alle attività di business e non di facilitatore (analogo discorso si può dire per le esigenze di compliance) in realtà è legato al fatto che sicurezza e compliance non sono considerate “ab initio” nel disegno delle infrastrutture ma chiamate ex post a coprire problematiche. Il concetto di disegnare infrastrutture e processi con “privacy e security” inserita “by design” e “by default” è ancora su carta più che reale. E il “business” inteso come la infrastruttura aziendale esterna a IT ed OT non ha competenze o comprensione delle problematiche se non a livello embrionale.

Esempi virtuosi, intendiamoci, ci sono ma sono eccezioni e non la norma. E quando ci sono l’azienda si ritrova un vantaggio competitivo in quanto aumenta la efficienza operativa e riduce i costi di gestione a fronte di un maggiore modesto costo iniziale.

Il prima, l’adesso e il domani

Se il futuro si può considerare da scrivere esiste il problema del pregresso e della gestione del corrente.

Sul passato si può intervenire solo in modalità reattiva, ovviamente, cercando di porre in atto processi e tecnologie che consentano la copertura di sicurezza delle aree più a rischio. Esistono esigenze varie da analizzare, in questo senso mi vengono in mente la microsegmentazione, il controllo degli accessi remoti da parte di operatori esterni, l’accesso remoto in modalità zero trusted, il controllo e monitoraggio di identità e attack pathway.

Per il presente si può pensare alla pianificazione della gestione delle risorse iniziando a definire metriche che aiutino le varie anime della azienda a condividere un approccio risk based che permetta di indirizzare le risorse in maniera più efficiente.

Per il futuro invece occorrerà prima o poi aprirsi ad una collaborazione tra i diversi stakeholder che condividano le esigenze e sappiano sviluppare tecnologie e processi in maniera efficace ed efficiente.

Esiste una soluzione?

La possibilità di riconciliare 6 anime (IT, OT, Sviluppo, Sicurezza, Compliance e Business) pur nella dinamica competitiva delle rispettive esigenze (il budget non è infinito e gli interessi vanno mediati) esiste quando si crea un ponte di comunicazione tra i diversi attori. Questa comunicazione è un elemento che non si crea “a tavolino” o “su carta, ma richiede la effettiva condivisione di attività operative e progetti. Far lavorare in gruppi di lavoro congiunto con obiettivi definiti e misurabili i vari elementi consente di definire una lingua comune che prelude a metriche compatibili e comprensibili.

Ovviamente questo richiede un commitment aziendale forte e una accettazione della sfida da parte dei vari stakeholder che devono accettare di essere “misurati” su questi obiettivi.

Modestamente mi permetterei di suggerire come primo possibile strumento il “cyber range” inteso come esercizio che consideri la attiva e fattiva partecipazione di tutti i vari stakeholders. Come esercizio di “sicurezza” la “simulazione realistica” di un attacco con le relative conseguenze permetterebbe ai vari soggetti di iniziare a capire le conseguenze delle scelte effettuate e di ripensare ad un futuro più ottimizzato. In questo senso la sicurezza potrebbe offrire alla azienda uno strumento di crescita e di creazione di ponti di comunicazione tra le sue diverse anime con la comprensione di cosa potrebbe accadere a causa di un problema di attacco alle infrastrutture (IT) in termini produttivi (OT) e quindi di business, all’immagine (MKTG e comunicazione) e alle ricadute economiche (finance) e legali.

Del resto il problema non è “se” qualcosa andrà male ma “quando”

IT o Security e\o Privacy?

Rispondevo, oggi, ad un post su linkedin:

I ransomware più pericolosi.

1. l’IT manager che sa tutto lui
2. Il CEO che si fida del CFO sui budget IT
3. Il sysadmin che tanto a lui non succede che scoprano che usa P@ssw0rd come password
4. Il backup admin che no fa mai un controllo se i backup finiscono con successo
5. lo stesso soggetto del punto 4 che non ha mai fatto un restore in vita sua
6. lo sviluppatore che se non uso diritti amministrativi non va il mio software
7. il tipo del marketing che deve ricevere e cliccare su tutto altrimenti crolla il mondo
8. il tipo di HR che lui è sopra voi umani e non gli potete mica mettere limiti e controlli
9. quelli che la segregation of duties non va bene nel lavoro smart dove tutti fanno tutto sopratutto lui.
10. tu, si tu, non girarti proprio tu

Incomincio ad avere dei seri problemi quando si parla di security, privacy o GDPR. Il problema nasce dal fatto che diventa fin troppo, a me, evidente che ci si ostina a dare alla sicurezza informatica i compiti di pulizia e sistemazione delle dementi idee partorite in ambito IT (e non solo).

Quello che voglio dire è che security operation e it security o cyber security, privacy e GDPR compliance non devono coprire demenze by deign e by default costruite da idee IT deliranti figlie di soggetti che non hanno capito nulla (nella migliore delle ipotesi), di cosa sia la digitalizzazione

Basta dare alla cybersecurity il compito di coprire deficienze e incompetenze di IT, HR, ed altri compartimenti della azienda. Visti lauti stipendi e responsabilità gerarchiche che tutti inizino a prendersi le proprie resonsabilità. Se non volete farlo, tenete presnte che i recenti orientamenti giuridici sono allienati al mio pensiero, ed in caso di probelmi (non se ma quando) avrete da spiegare le vostre illuminate posizioni ed idee davanti ad un giudice.

Non potete pretendere che responabili CISO e Privacy sappiano tutto, e pagarli, e fornirgli risorse, in maniera ridicola.

Pretendete che gli esperti di security e privacy sappiano di programmazione, prodotti, psicologia, business, legge ma poi non gli riconscete competenze e, sopratutto, fate come vi pare indipendentemente dalle loro indicazioni, ammesso e non concesso che abbiate scelto soggetti relamente indipendenti e competenti.

Duro?

Non abbastanza, se dovessi dire quello che realmente penso prrobabilmente alcuni si potrebbero persino offendere: da CISO che riportano a IT o HR o security manager che hanno esperienza SOLO nella configurazione di firewall ho una secuela di acefale bestialità che non si contano.

Non è la prima volta che esprimo questo concetto, ma recentemente con l’esigenza di home-working venuta fuori a causa del covid e con il crescere del ransomware e phishing la cosa ha assunto problematiche bibicle.

Cerchiamo di capirci, l’IT securtity NON ha il compito di coprire e rimediare le idiozie di disegno di reti e processi pensate da persone, quando va bene, in morte cerebrale.

Se non hai disegnato una politica di backup degna di questo nome non è un probelma di security ma un problema di ignoranza assoluta della questione.

Se le tue password amministrative le sanno anche i criceti non è un problema di security, ma di ottusità alla ennesima potenza.

Se nel codice che hai scritto password e database sono accessibili a chiunque non è un problema di security, è un probelma di incompetenza epigastrica su come si deve scrivere codice.

Se i pagamenti possono essere gestiti da una email senza ulteriori controlli, te lo sei cercato perchè evidentemente non hai idea in che mondo vivi o hai disegnato processi VOLUTAMENTE equivoci per coprire comportamenti non leciti.

Basta dare alla security responsabilità di coprire le idiozie di disegno, implementazione e gestione dei processi e funzioni disegnati da cereblolesi di tutti i paesi,

E basta dire che CEO, CFO, o qualsiasi “C” level non hanno le competenze, perchè non regge.

Neanche di fronte alla legge.

Se sai guidare una macchina, ebbene hai appreso componenti giuridiche procedurali e tecniche ben più difficili di pensare in maniera un minimo sensata ai processi della tua azienda. Se sai usare il tuo nuovo TV 8K smart android allora si di informatica abbastanza per capire concetti impossibili come autenticazione, identificazione, autorizzazione. Quindi le scuse sono a 0.

Quandosi dice che la security è un probelma di processo e non di tecnologia significa che se hai disegnato il processo come lo avrebbe disegnato un bambino ritardato di 3 anni, allora il processo (legale) è quello che ti meriti.

Basta buonsimo e comprensione, si abbia il coraggio di dirlo: molti che si occupano dell’it sono dei dementi. Magari bravissimi su un prodotto ma da qui a saper disegnare processi e tecnologie sensate ne corre.

Molti che gestiscono le aziende hanno la stessa compresione del mondo in cui vivono e la relativa digitalizzazione di un paramecio (con rispetto parlando per i parameci) e se poi falliscono piangono senza capire…tutto tranne che prendersi le dovute e pagate responsabilità.

E diciamocelo una volta per tutte, IT e Security non stanno nella stessa lega. O sei parte della soluzione o sei parte del roblema. Non si può pretendere che vi sia la necessaria indipendenza e competenza se si mette la securty sotto l’IT. Nella migliore delle ipotesi se l’IT è sopra la security chi comanda non avrà interesse a capire cosa la security indica.

E, scusatemi se ho l’ardire di dirlo, security ed IT NON sono la stessa cosa, anzi si sfiorano, hanno elementi di overlapping, ma security ed IT hanno anime, conoscenze e scopi diversi.

E se volessi essere cattivo menzionerei il GDPR e i processi di privacy che NON corrispondono all’IT e NEANCHE alla security.

Lo so che chi legge si divide in 2 categorie:

• Chi capisce già sa e o si rassegna o si incazza ma non si espone (tranne pochi suonati come me)

• Chi non capisce, per lo più, perchè non vuole capire, fino a quando può dare la colpa ad altri…

La realtà è che siamo in un ambito complesso dove la conoscenza specifica di un pezzetto non significa avere la visione di insieme. Ma siccome chi “dovrebbe” avere la visione di insieme si arroga il diritto e l’onere di devidere avendo la visibilità di una minima parte i risultati sono quelli che viviamo oggi.

E siccome chi decide non ammette di aver deciso “male” la colpa, la reponsabilità e e richieste assurde vanno indirizzate su chi non ha ne strumenti ne scopo per risolvere il problema.

La ricetta per un disastro perfetto.

Seminario V-Valley: Sicurezza informatica nell'ambito della legislazione italiana

 

Mercoledì 22 Ottobre 2014  presso la sede ESPRINET –  Via Energy Park 20 – Vimercate
	SEMINARIO
“Sicurezza informatica nell’ambito della legislazione italiana. Le soluzioni di RSA.”  Relatori: Antonio Ieranò – Security Advisor Fabrizio Banfi – RSA Distribution Manager Italia
Agenda:
09:30 – 10:00   Registrazione
10:00 – 11:00   Cybercryme, leggi e responsabilità civili e penali–  Ilquadronormativo:leggi,norme edinterpretazioni-  Lo status del Cybercrime: vittime e complici inconsapevoli (ma complici)
11:00 – 11:00   La legge Italiana e le responsabilità dell’IT
12:00 – 12:45   Requisiti minimi per stare tranquilli: Rete, Dati, Utenti
12.45 – 14.00   Le soluzioni di RSA: Authentication Manager, Identity & Access Management……..e DLP
14.00 – 15:00   Pranzo presso l’agriturismo “La Camilla” – Concorezzo
Obiettivo del seminarioL’obiettivo del seminario è quello di chiarire alcuni aspetti che legano il mondo dell’IT alla legislazione Italiana e suggerire possibili soluzioni implementative che alcuni vendor, come RSA,possanooffrire venireincontro aspecificheesigenze. Inparticolareverràposta l’attenzione alleproblematiche digestionedegliutenti, primoveropuntodeboledellestruttureinformatiche.  Struttura del seminario Nel corso del seminario si otterremo indicazioni su quali sono i vincoli che leggi e regolamenti impongono a chi implementa o gestisce una struttura Informatica. Verranno presentati esempi concreti di come una soluzione, tecnologia o prodotto può aiutare un amministratore IT a rimanere “Compliant” rispetto ai requisiti di legge ed evitare quindi eventuali conseguenze di carattere civilistico o penale.
Presentazione del Seminario
Quando si parla di informatica ed in particolare di sicurezza informatica, non si può prescindere dai vincoli e dalle indicazioni che vengono offerte dal quadro legislativo del paese di riferimento. Esistono, infatti, tutta una serie di normative specifiche sia a livello italiano che a livello europeo che vincolano le strutture IT al rispetto di certi parametri “minimi”.Il peso specifico dell’informatica è al giorno d’oggi così importante che non è possibile, ad esempio, prescindere da conseguenze di carattere civilistico o penale in caso di danni provocati a terzi dalle nostre strutture informatiche o dai processi ad esse inerenti. Lapervasivitàtotale dell’informatica copre tuttigliaspetti dellanostra vita, non solo la partelegata al business, maanchequellapersonale,sociale efamiliare. Chesianosmartphone, tablet, email, social network, blog,domotica oaltro, l’informatica nonpuò nontenerecontodelleconseguenzelegali dell’uso edeventualeabuso diquestistrumenti.Termini come privacy, dati sensibili, email sono entrati nel lessico comune anche del mondo giuridico oltre che di quello civile. Occorre però osservare che non sempre il lessico e la tecnologia informatica si accordano con il mondo giuridico, e viceversa. Incomprensioni e errori sono abbastanza comuni in un campo che è “relativamente” nuovo e i cui sviluppi sono ancora abbastanza imprevedibili.
Considerato la natura degli argomenti trattati, la partecipazione gratuita al seminario è limitata ai primi 15 iscritti.
PER PARTECIPARE CLICCHI QUI: ISCRIZIONE EVENTO
CONTATTI: V-Valley S.r.l. società con socio unico – Sede legale Via Energy Park, 20 – 20871 Vimercate(MB) Registro Imprese di Monza e Brianza, Codice Fiscale e Partita IVA 07064570968 Rea MB-1872131