OPSWAT le infrastrutture critiche; tuttavia, tale protezione non si limita a ciò che i governi definiscono «infrastrutture critiche», ma si estende a ciò che voi ritenete critico.
Al centro di tale infrastruttura vi sono i dati critici, ovvero quei dati che garantiscono un funzionamento sicuro, stabile e continuo.
Negli ambienti ICS (sistemiIndustrial ) e OT, questi dati rispecchiano le funzioni e i processi fondamentali dell'azienda. Tuttavia, quando si verifica un incidente informatico, una delle priorità principali diventa il contenimento.
Il dilemma del contenimento
Il primo passo per contenere l'attacco consiste nell'isolare i sistemi colpiti e interrompere i percorsi di connettività che potrebbero favorirne la diffusione. Le linee guida della CISA (Cybersecurity and Infrastructure Security Agency) sulla risposta al ransomware, ad esempio, raccomandano espressamente di isolare immediatamente i sistemi colpiti e di scollegare i dispositivi, ove possibile(1). Si tratta di un consiglio valido, ma negli ambienti industriali può creare un dilemma operativo:
| La sicurezza richiede separazione | Il reparto operativo ha bisogno di visibilità |
|---|---|
| Bloccare il movimento laterale | I sistemi funzionano ancora in modo sicuro? |
| Basta con il modello "comando e controllo" | I sistemi sono stabili o stanno superando i limiti di tolleranza? |
| Impedire la diffusione | Dobbiamo chiudere o possiamo continuare a operare senza intoppi? |
I diodi ottici eliminano ogni margine di dubbio
Un diodo ottico per i dati consente alle organizzazioni di disattivare i percorsi bidirezionali, quali firewall, VPN, accesso remoto e relazioni di fiducia, pur consentendo il flusso verso l'esterno dei dati di telemetria critici. Questo metodo offre un meccanismo per il monitoraggio dei processi, una maggiore sicurezza e un processo decisionale più efficace basato su dati in tempo reale.
Core
Anche se durante il contenimento si "chiude la porta" tra IT e OT, è comunque possibile lasciare una "fessura" per consentire ai dati di processo in sola lettura di uscire dall'ambiente OT, il tutto senza fornire un percorso di rete per il ritorno.
Il contenimento, in quanto parte integrante della risposta agli incidenti (IR), è in linea con le linee guida di lunga data del NIST in materia di sicurezza OT. Il NIST sottolinea che un'alternativa al firewall è rappresentata da un gateway unidirezionale o da un diodo di dati, che consente solo comunicazioni autorizzate e configurate in un'unica direzione(2).
Cosa succede quando cala il buio
Come si fa a gestire la produzione senza automazione e infrastrutture? Un esempio spesso citato di "contenimento tramite disconnessione" è l'incidente ransomware del 2019 che ha colpito Norsk Hydro, in cui l'azienda ha interrotto l'accesso alla rete per impedire la diffusione del virus e ha fatto ricorso a processi manuali per un certo periodo. Il ransomware LockerGoga ha colpito maggiormente alcuni dei loro impianti di lavorazione dell'alluminio e l'impatto finanziario avrebbe raggiunto oltre 71 milioni di dollari. Il personale in pensione degli impianti, che conosceva il vecchio sistema cartaceo, si è offerto volontario per tornare in fabbrica e mantenere attiva la produzione(3).
È importante comprendere questo caso perché illustra i costi operativi e finanziari derivanti dalla perdita della connettività digitale e della visibilità centralizzata sui processi automatizzati durante la risposta agli incidenti informatici. È stata la scelta giusta.
Visibilità del grado di decisione con contenimento
In molte aziende del settore industriale, la visibilità dei processi dipende dal flusso di dati provenienti da fonti OT quali:
- Server OPC UA (valori in tempo reale, allarmi, dati contestualizzati)
- Gli storici come AVEVA PI (serie temporali + eventi + contesto Asset Framework)
Durante il periodo di isolamento, è prassi comune disattivare i firewall e le relative regole oppure bloccare l'accesso remoto per impedire che i dati di telemetria OT si colleghino agli strumenti aziendali. Un'architettura a diodi modifica tale modalità di guasto:
- È possibile disattivare le regole del firewall/del server relative al traffico in entrata a rischio.
- È comunque possibile ricevere dati telemetrici unidirezionali per mantenere la consapevolezza della situazione e velocizzare la valutazione degli incidenti in tempo reale.
- Se utilizzi altri strumenti di monitoraggio del traffico di rete per il rilevamento delle minacce, puoi far transitare tali dati attraverso un diodo
Scenario di esempio
Incidente
Un ransomware si attiva sulla rete aziendale. Il team di risposta agli incidenti isola e disattiva il traffico tra IT e OT per impedire il contagio dell'infrastruttura OT.
Problema
I team centrali perdono l'accesso alle dashboard OT e alle visualizzazioni storiche che garantiscono la visibilità dell'ambiente, consentendo di verificare se il sistema è sicuro e stabile.
Grazie a un diodo, l'OT continua a trasmettere dati telemetrici in sola lettura a una rete di ricevitori, dove i responsabili SOC e operativi possono visualizzare le tendenze principali, gli allarmi e i dati relativi alla sicurezza, senza che vi siano comunicazioni di controllo in ritorno verso l'ambiente OT.
Sebbene un diodo non sia in grado di «risolvere il problema del ransomware» (si vedano le tecnologie preventive integrate in MetaDefender Core), esso riduce l'estensione dell'impatto impedendo l'accesso alla rete in entrata da zone ad alto rischio, pur garantendo un livello minimo di visibilità operativa.
Dati pratici da inviare
Per garantire l'efficacia operativa, definire un set di dati sulla visibilità delle crisi nella fase di pianificazione del proprio piano di risposta agli incidenti. Includere dati quali:
- Parametri di processo critici per la sicurezza (pressione, temperatura, livelli, interblocchi)
- Indicatori di modalità/stato (automatico/manuale, autorizzazione, interruzioni)
- Riepiloghi degli allarmi (conteggi + allarmi principali)
- Telemetria dello stato della rete (switch/router critici, stato dei dispositivi/delle porte (attivi/inattivi), dati storici sullo stato della rete)
- Contesto essenziale (nomi delle risorse/unità, in modo che i team possano comprenderli rapidamente)
Riferimenti
1. CISA. https://www.cisa.gov/ransomware-response-checklist; CISA. [Online]
2. NIST. SP800-82r3. NIST. [Online] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. Briggs, Bill. Gli hacker hanno colpito Norsk Hydro con un ransomware. L'azienda ha reagito con trasparenza. Microsoft.com. [Online] 16 dicembre 2019. https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/.
