La legge australiana SOCI (Security of Critical Infrastructure) ha ridefinito il modo in cui i soggetti responsabili gestiscono i rischi informatici e operativi. La legge sposta l'attenzione dall'allineamento delle politiche di alto livello a una resilienza operativa dimostrabile, supportata da pratiche di gestione del rischio comprovate.
Le ultime modifiche rafforzano l'aspettativa del governo australiano che i proprietari di infrastrutture critiche passino da quadri normativi statici a controlli pratici e operativi, in particolare nel campo della sicurezza informatica e della protezione delle informazioni.
Ai sensi della Parte 2A della legge SOCI, i soggetti responsabili sono tenuti a istituire, mantenere e rispettare il CIRMP (Programma di gestione dei rischi delle infrastrutture critiche). Tale obbligo si applica a tutti i settori, tra cui:
|
|
|
La maggior parte di questi settori è tenuta ad adottare un approccio più maturo, dimostrabile e in costante miglioramento alla gestione del rischio a livello di personale, processi e tecnologia.
Le modifiche introdotte tra il 2021 e il 2024 rafforzano tre aspettative fondamentali:
- Misure di sicurezza informatica e delle informazioni chiaramente definite e attuate
- Valutazione e revisione continua dei rischi, non documentazione statica
- Controllo e responsabilità a livello di consiglio di amministrazione
Le autorità di regolamentazione si aspettano ormai che le organizzazioni dimostrino l'efficacia dei propri controlli, supportata da attività di monitoraggio, registrazione e strumenti di governance, nonché la loro efficacia operativa. La conformità non è più un semplice esercizio di documentazione. Si tratta di una responsabilità operativa ed esecutiva direttamente legata alla resilienza nazionale.
La legge SOCI e il CIRMP
I soggetti responsabili devono definire, mantenere e rispettare un CIRMP che sia proporzionato alla criticità dell'asset e al contesto di minaccia. Il CIRMP deve andare oltre le semplici dichiarazioni di principio e prevedere controlli pratici e basati sul rischio, in grado di affrontare i pericoli concreti.
In base ai requisiti del CIRMP, le organizzazioni devono:
- Individuare i rischi che potrebbero avere un impatto significativo sulle infrastrutture critiche
- Ridurre al minimo o eliminare i rischi significativi derivanti da tali pericoli
- Rivedere e aggiornare regolarmente i controlli per tenere conto dell'evoluzione delle minacce
- Conservare la documentazione e le prove a sostegno della garanzia normativa e dell'impegno
- Affrontare i rischi relativi a quattro vettori di pericolo ben definiti:
- Rischi legati alla sicurezza informatica e alla sicurezza delle informazioni
- Sicurezza fisica e rischi naturali
- Rischi per il personale
- Rischi legati alla catena di approvvigionamento
Sebbene il CIRMP rimanga un quadro basato su principi, le autorità di regolamentazione si aspettano una maturità operativa. Le organizzazioni devono dimostrare che i controlli sono implementati, monitorati e costantemente migliorati. La documentazione da sola non è sufficiente. È necessario fornire prove dell'attività di supervisione della governance, dei processi di valutazione dei rischi e dei meccanismi tecnici di applicazione.
Il rischio informatico come elemento Core del CIRMP
I pericoli legati alla sicurezza informatica e delle informazioni rappresentano uno dei rischi più significativi e in rapida evoluzione per le infrastrutture critiche. Il CIRMP rafforza il ruolo del rischio informatico come pilastro centrale della pianificazione della resilienza, riflettendo la crescente frequenza di attacchi ransomware, compromissioni della catena di approvvigionamento e attacchi mirati agli ambienti OT.
I soggetti responsabili devono dimostrare di comprendere chiaramente in che modo le minacce informatiche potrebbero incidere in modo significativo sulla disponibilità, l'integrità o l'affidabilità delle infrastrutture critiche.
Ciò comprende la capacità di identificare:
- Come dati, file e software entrano e si spostano negli ambienti IT, OT e ICS
- Laddove esistono confini di fiducia tra le reti IT, OT e di terze parti
- In che modo il malware o gli accessi non autorizzati potrebbero diffondersi nei sistemi operativi
- Che si tratti di fornitori, appaltatori o supporti multimediali portatili, ciò comporta rischi non controllati
Le modifiche apportate alla legge SOCI chiariscono che i sistemi legacy, le reti isolate fisicamente e gli ambienti OT con funzionalità limitate non sono esenti dagli obblighi in materia di rischi informatici. Le organizzazioni devono adattare i controlli a tali ambienti, anziché evitare di attuarli.
In pratica, ciò richiede visibilità e un controllo effettivo sui punti di accesso più comunemente sfruttati, tra cui:
- Caricamento e download di file
- Allegati alle e-mail
- Endpoint gestiti e non gestiti
- Supporti rimovibili
- Percorsi di accesso remoto
- Aree di convergenza tra IT e OT
Una gestione efficace dei rischi informatici nell'ambito del CIRMP dipende dall'adozione di controlli preventivi che riducano l'esposizione prima che le minacce raggiungano i sistemi critici. La registrazione, il monitoraggio e la produzione di prove sono essenziali per dimostrare che tali controlli funzionano come previsto.
Allineamento delle categorie di rischio CIRMP con l'attuazione pratica delle misure di controllo
Il CIRMP impone alle organizzazioni di gestire i rischi relativi a quattro vettori di pericolo. Ciascun vettore richiede controlli applicabili e verificabili che riducano il rischio sostanziale per le infrastrutture critiche.
I vettori di rischio includono:
- Sicurezza informatica e delle informazioni
- Personale
- Catena di approvvigionamento
- Sicurezza fisica
Le sezioni seguenti illustrano in che modo queste categorie di rischio si traducano in controlli di sicurezza operativi all'interno degli ambienti delle infrastrutture critiche.
1. Rischi legati alla sicurezza informatica e alla sicurezza delle informazioni
Il CIRMP impone alle organizzazioni di attuare misure di controllo volte a ridurre al minimo i rischi informatici significativi che potrebbero compromettere la disponibilità, l'integrità o l'affidabilità delle infrastrutture critiche. Tra le minacce informatiche più comuni figurano il phishing, il malware, il ransomware e gli attacchi denial-of-service.
Le minacce legate ai file rimangono uno dei vettori di accesso iniziali più comuni. Le organizzazioni devono garantire la sicurezza delle operazioni di caricamento, scaricamento, trasferimento e inserimento dei file sia negli ambienti IT che in quelli OT.
MetaDefender OPSWAT è progettato per bloccare le minacce veicolate dai file prima che raggiungano gli utenti o i sistemi critici. Si integra nell'infrastruttura esistente per analizzare upload, download, allegati e-mail e trasferimenti di file senza interferire con i flussi di lavoro operativi.
MetaDefender Core diverse tecnologie di rilevamento per garantire un'ispezione a più livelli, tra cui:
- Tecnologia di scansione multipla Metascan™ con oltre 30 motori anti-malware
- Rilevamento basato su firme, euristico e basato sull'apprendimento automatico
- Rilevamento zero-day pre-esecuzione basato sull'intelligenza artificiale e sull'apprendimento automatico
- Reputazione dei file e analisi degli hash
Per le minacce sconosciute e di tipo zero-day, la tecnologia Deep CDR™ esegue una sanificazione approfondita dei file per rimuovere in modo ricorsivo le minacce incorporate, quali script, macro e contenuti non conformi alle politiche aziendali, per poi rigenerare file sicuri e utilizzabili, preservando al contempo le funzionalità aziendali.
L'analisi Adaptive consente l'osservazione del comportamento in un ambiente controllato. Proactive DLP™ esamina il contenuto dei file per individuare informazioni sensibili e applicare misure basate su criteri prestabiliti, quali la rimozione, l'occultamento o l'inserimento di filigrane, prima che i file vengano resi disponibili agli utenti o ai sistemi.
Altre funzionalità di ispezione includono:
- Verifica del tipo di file effettivo
- Estrazione dell'archivio e scansione ricorsiva
- File-based vulnerability assessment
- Prevenzione della perdita di dati e controllo dei contenuti
Queste funzionalità contribuiscono al raggiungimento degli obiettivi del CIRMP:
- Ridurre la dipendenza da un'unica tecnologia di rilevamento
- Individuazione e prevenzione degli attacchi zero-day
- Ottenere prove verificabili della due diligence nell'ambito del rilevamento delle minacce
2. Rischi per il personale
Ai sensi del CIRMP, i rischi legati al personale comprendono quelli derivanti da dipendenti, appaltatori, subappaltatori, stagisti e altre persone che hanno accesso alle infrastrutture critiche. Le organizzazioni devono valutare chi rientra nella categoria dei lavoratori essenziali, quale livello di accesso possiedono e se tale accesso possa comportare un rischio significativo.
I supporti rimovibili e i dispositivi portatili continuano a rappresentare vettori comuni per l'introduzione di malware negli ambienti OT, in particolare nelle reti isolate o segmentate. In assenza di controlli efficaci, queste vie di accesso possono aggirare le difese perimetrali.
MetaDefender e MetaDefender Media sono progettati per applicare controlli di sicurezza nei punti di ingresso dei supporti multimediali e a livello dell'interfaccia uomo-macchina (HMI).
MetaDefender Kiosk la scansione e la sanificazione dei supporti rimovibili prima che i file possano accedere agli ambienti protetti. Applica criteri di sicurezza predefiniti e genera registri a supporto dei requisiti di audit.
MetaDefender Media Firewall l'ispezione in linea e l'applicazione delle politiche per i trasferimenti di dati tra reti, compresi i segmenti OT. Impedisce che file non autorizzati o pericolosi entrino nei sistemi critici.
Questi dispositivi soddisfano i requisiti in materia di rischi per il personale previsti dal CIRMP:
- Ridurre il rischio di comportamenti dolosi o negligenti da parte di personale interno
- Garantire una gestione sicura dei supporti rimovibili all'interno delle reti OT
- Limitare l'uso di dispositivi non approvati
- Migliorare la visibilità su chi carica i file e quando
3.Supply Chain
La legge SOCI identifica esplicitamente i pericoli legati alla catena di approvvigionamento come una categoria di rischio rilevante ai sensi del CIRMP. I soggetti responsabili devono affrontare i rischi derivanti da fornitori, appaltatori, OEM (produttori di apparecchiature originali) e fornitori di servizi terzi.
L'esposizione della catena di approvvigionamento può derivare da:
- Endpoint di terze parti che si connettono a reti critiche
- Canali di accesso remoto agli ambienti OT
- Dispositivi portatili portati in cantiere dagli appaltatori
- Software e attività di manutenzione
Molti gestori di infrastrutture critiche si affidano alla connettività remota per monitorare le risorse, eseguire diagnosi e effettuare aggiornamenti in siti distribuiti o regionali. In assenza di controlli adeguati, questi canali di accesso possono introdurre minacce informatiche in ambienti sensibili, comprese le reti OT isolate fisicamente o parzialmente connesse.
OPSWAT MetaDefender e MetaDefender Access™ sono progettati per ridurre i rischi derivanti dall'interazione di dispositivi di terze parti con i sistemi critici.
MetaDefender Drive e la valutazione di laptop, computer desktop e server temporanei al di fuori del sistema operativo host prima che questi si connettano ad ambienti protetti. Rileva il malware, identifica le vulnerabilità e verifica l'integrità dei dispositivi per garantire che solo i sistemi affidabili possano accedere a reti controllate o isolate fisicamente.
MetaDefender OT Access una soluzione di accesso remoto sicuro progettata appositamente per ambienti OT e CPS (sistemi cyber-fisici). Consente una connettività controllata per terze parti e personale remoto, garantendo al contempo controlli di accesso granulari e politiche di gestione delle sessioni.
Queste funzionalità soddisfano i requisiti relativi ai rischi della catena di approvvigionamento previsti dal CIRMP attraverso:
- Proteggere i sistemi critici da interferenze o interruzioni causate da risorse di terze parti
- Limitazione dell'accesso a sistemi e funzioni autorizzati
- Migliorare la visibilità sulle interazioni tra fornitori e appaltatori con le infrastrutture critiche
4. Rischi legati alla sicurezza fisica e alla segmentazione della rete
I rischi fisici e ambientali continuano a rappresentare una componente fondamentale del CIRMP. Negli attuali contesti delle infrastrutture critiche, la sicurezza fisica si intreccia sempre più con il rischio informatico, in particolare laddove i sistemi OT si basano su flussi di dati controllati tra le reti IT e OT.
Molti ambienti di infrastrutture critiche utilizzano sistemi OT legacy in cui non è possibile implementare i tradizionali strumenti di sicurezza degli endpoint. Di conseguenza, è necessario implementare controlli di sicurezza ai confini della rete e nei punti di trasferimento dei dati.
Le linee guida normative e gli standard di settore raccomandano comunemente l'uso di gateway unidirezionali, noti anche come diodi di dati, per proteggere le reti OT sensibili. Questi controlli garantiscono un flusso di dati unidirezionale per impedire accessi non autorizzati, l'iniezione di comandi o l'esfiltrazione di dati dai sistemi critici.
MetaDefender garantisce un trasferimento unidirezionale dei dati basato su hardware. Impedendo fisicamente il traffico in senso inverso, elimina il rischio di attacchi in entrata basati sulla rete in ambienti segmentati.
Se implementato in un'architettura DMZ (zona demilitarizzata) e abbinato a controlli firewall a più livelli, questo approccio consente di:
- Riduzione del rischio di diffusione di malware tra le reti IT e OT
- Protezione contro gli accessi remoti non autorizzati ai sistemi critici
- Garanzia della continuità operativa
- Progettazione di rete dimostrabilmente attenta ai rischi e in linea con i principi del CIRMP
Controllando il flusso dei dati tra le zone di fiducia, le organizzazioni possono rafforzare la resilienza sia fisica che informatica in ambienti in cui la disponibilità e la sicurezza sono fondamentali.
Dalla conformità normativa alla resilienza operativa
La legge australiana SOCI e il CIRMP segnano un cambiamento significativo nelle aspettative normative. I soggetti responsabili devono andare oltre la semplice dichiarazione d'intenti e dimostrare che i controlli dei rischi vengono effettivamente attuati e costantemente migliorati nella pratica.
Le autorità di regolamentazione si aspettano che le organizzazioni dimostrino che i controlli sono:
- Adeguato alla criticità e al profilo di rischio dell'infrastruttura
- Integrato nei flussi di lavoro operativi
- Con il supporto di attività di registrazione, monitoraggio e supervisione della governance
- In grado di reggere al vaglio delle autorità di vigilanza e delle autorità di regolamentazione
Il CIRMP non è un quadro normativo statico. Richiede controlli preventivi, applicabili e verificabili in materia di sicurezza informatica, gestione del personale, catena di approvvigionamento e rischi fisici.
La sicurezza preventiva riveste un ruolo centrale nel soddisfare tali aspettative. I controlli devono essere attivi nei punti di accesso comuni, oltre i confini tra IT, OT e ICS, nonché all'interno dei percorsi di interazione con terze parti. Devono inoltre garantire la visibilità e fornire le prove necessarie a sostegno della governance, della garanzia di conformità e degli adempimenti normativi.
L'impegno OPSWATnella protezione delle infrastrutture critiche risponde direttamente ai requisiti operativi e normativi previsti dalla legge australiana SOCI. L'implementazione di controlli tecnici vincolanti nell'ambito del CIRMP rafforza sia la conformità normativa che la resilienza nella pratica.
Negli ambienti delle infrastrutture critiche, la sicurezza preventiva non è un'opzione. È fondamentale per garantire la disponibilità, la sicurezza e la fiducia del pubblico. Per scoprire come allineare la vostra strategia CIRMP a controlli preventivi applicabili, rivolgetevi a un esperto OPSWAT .
Domande frequenti
Qual è lo scopo del CIRMP?
Il CIRMP impone ai soggetti responsabili ai sensi della legge australiana SOCI di identificare, valutare e gestire i rischi che potrebbero avere un impatto significativo sulle infrastrutture critiche. Esso garantisce che le organizzazioni attuino controlli adeguati in materia di sicurezza informatica, personale, catena di approvvigionamento e rischi fisici.
Il CIRMP si applica agli ambienti OT?
Sì. Gli obblighi previsti dal CIRMP si applicano sia agli ambienti IT che a quelli OT. I sistemi legacy o isolati fisicamente non sono esenti. Le organizzazioni devono adattare i controlli alle specificità dei sistemi OT con risorse limitate.
Quali sono le minacce informatiche più rilevanti per le infrastrutture critiche?
Tra le minacce informatiche più comuni figurano il ransomware, il phishing, il malware diffuso tramite file, le violazioni della catena di approvvigionamento e gli accessi remoti non autorizzati. Il trasferimento di file, i supporti rimovibili e le connessioni di terze parti rappresentano spesso punti di accesso.
In che modo le organizzazioni possono dimostrare la conformità ai requisiti informatici del CIRMP?
Le organizzazioni devono dimostrare che i controlli sono stati implementati e sono efficaci. Ciò comporta la tenuta di registri, il monitoraggio delle attività, l'applicazione delle politiche tecniche e la messa a disposizione di processi documentati di supervisione e revisione della governance.
Perché la legge SOCI pone l'accento sulla sicurezza preventiva?
La legge SOCI pone l'accento sulla riduzione al minimo dei rischi significativi per le infrastrutture critiche. I controlli preventivi riducono la probabilità che minacce informatiche, rischi interni o vulnerabilità della catena di approvvigionamento raggiungano i sistemi critici, garantendo così la continuità operativa e la conformità normativa.
