Questa è una domanda che ci sentiamo spesso rivolgere da preoccupati Clienti che ci chiamano per parlare di cyber security OT/ICS per proteggere reti e sistemi in fabbrica sia nell’industria che nelle utility.
Ora abbiamo i numeri di quanto è costato a Norks Hydro l’incidente di pochi mesi fa a cavallo tra il primo e secondo trimestre 2019 (a pagina 9 del loro quarterly report Q1 2019 che si può trovare in rete https://www.hydro.com/Document/Index?name=Report%20Q1%202019.pdf&id=71833) : tra i 50 e 60 milioni di Euro.
“….L’attacco informatico che ha colpito Hydro il 19 marzo ha colpito la nostra intera organizzazione globale, ove la Divisione Prodotti Estrusi (alluminio) ha subito le sfide operative e le perdite finanziarie più significative.
L’impatto finanziario complessivo dell’attacco informatico è stimato a 300-350 milioni di NOK (circa 30-35 milioni €) nel primo trimestre. L’impatto finanziario per il secondo trimestre è stimato a circa 200-250 milioni di corone norvegesi (circa 20-25 milioni €, per un totale di 50-60 milioni €).
Le operazioni e le vendite hanno recuperato successivamente nel trimestre, riducendo di conseguenza l’impatto finanziario incrementale. Hydro dispone di una solida assicurazione da danni informatici con primarie compagnie di assicuratori. Hydro non ha ancora incassato alcun compenso assicurativo…”
Oltre ai danni reali, spesso si parla anche di danni di immagine o alla reputazione, e questi spesso possono essere di altrettanta gravità se non ancora più pesanti.
Ricordiamo infatti che proprio il caso Norsk Hydro, ha riempito pagine di giornali ed è stato menzionato anche nei telegiornali, in quanto l’Azienda è uno dei maggiori produttori di Alluminio a livello globale, ed in seguito all’incidente, il prezzo di questo materiale (utilizzato in modo diffuso in moltissimi prodotti ed attività industriali) ha subito nell’immediato considerevoli fluttuazioni sui mercati internazionali.
Incidente cyber e danni di immagine/reputazione
Nel caso Norsk Hydro, sono stati bravi a gestire l’emergenza sia per quanto riguarda l’aspetto tecnico che, e soprattutto, nella gestione dell’immagine dell’Azienda: in un articolo Heather MacKenzie di Nozomi Networks e Mihaela Grad, Standing Partnership ci spiegano come e cosa hanno fatto di buono nel gestire la crisi. (https://www.nozominetworks.com/blog/3-ways-norsk-hydro-kept-its-reputation-during-lockergoga-cyberattack)
Quando un attacco informatico viene portato su un impianto industriale, il più alto livello di preoccupazione è normalmente per la Safety.
Garantire che i processi o i sistemi di produzione non mettano in pericolo vite umane o l’ambiente, è fondamentale.
Il livello successivo di preoccupazione è la continuità aziendale o Business Continuity: fare in modo che la produzione venga mantenuta o riavviata, ovvero che i clienti possano essere serviti e le perdite finanziarie ridotte al minimo.
In parallelo a queste sfide operative, i manager devono lavorare sodo per proteggere la reputazione dell’Azienda.
Quelli di Nozomi Networks menzionano il tema “non vogliamo andare sui giornali” come uno dei fattori chiave per investire in sistemi di sicurezza informatica industriale OT/ICS.
Spesso le violazioni mal gestite ai sistemi informativi dalle aziende catturano i titoli dei giornali, ed è confortante notare come la reazione al cyber-attacco industriale, ovvero l’attacco ransomware LockerGoga su Norsk Hydro sia stata applaudita dagli esperti di comunicazione.
Mihaela Grad, vicepresidente della società di gestione della reputazione aziendale Standing Partnership, ha identificato ciò che spicca nella risposta di Norsk Hydro e quali insegnamenti si possono trarre, se sei preoccupato per il potenziale danno che un attacco informatico potrebbe avere sulla reputazione della tua Azienda.
Ecco un estratto dai suoi consigli.
I passaggi chiave per proteggere la tua reputazione durante un attacco informatico
Gli attacchi informatici alle Aziende Industriali spesso interrompono la produzione, causano perdite finanziarie e possono anche rovinare la reputazione aziendale se determinano uno stress per le reazioni del CEO e del Board e delle decisioni prese sotto pressione, minacciando di frantumare la fiducia degli azionisti e dei clienti in poche ore.
Queste alcune domande da porsi:
- Il Management dell’Azienda ha fatto di tutto per ridurre al minimo le vulnerabilità IT e OT?
- Quali passi hanno preso per contenere il danno?
- Come stanno gestendo l’interruzione delle attività e le relazioni coi loro clienti?
Corrette risposte a queste domande possono superare l’impatto immediato di un attacco informatico.
Quindi, che cosa dovrebbero fare le Aziende per prepararsi e come dovrebbero rispondere se fossero colpite?
La preparazione alla crisi dovrebbe prevedere alcuni elementi fondamentali: un Piano di risposta immediata alle crisi un Team di risposta interfunzionale
Piani di ripartenza per gli scenari più probabili
Considerando la crescente sofisticazione dei malware che possono colpire le aziende industriali, gli attacchi informatici con effetti sulla produzione dovrebbero essere uno degli scenari più probabili da prevedere.
La risposta di Norsk Hydro ha fornito un esempio da manuale di come comportarsi dopo il recente attacco del ransomware LockerGaga: la risposta deve essere immediata e, se gestita correttamente, non solo affronta il qui e ora, ma si concentra anche sul ripristino della fiducia a medio e lungo termine e sulla riduzione al minimo del danno alla reputazione.
I tre passi chiave da inserire nella strategia di gestione della crisi
Passo 1: essere trasparenti
La trasparenza favorisce la fiducia. Quando i tuoi stakeholder apprendono tutti gli sforzi fatti per prevenire un attacco e ripristinare le operazioni all’indomani di un incidente, sono più propensi a darti il beneficio del dubbio e continuare a fare affari con te.
Norsk Hydro è andata oltre nell’essere trasparente: il team esecutivo ha incontrato i media e gli analisti del settore ogni giorno per circa una settimana dopo l’attacco, fornendo aggiornamenti sui loro sforzi per ripristinare le operazioni e rispondere alle domande della stampa.
Hanno pubblicato aggiornamenti quotidiani sul loro sito Web e canali social e hanno offerto accesso diretto ai loro rappresentanti di media e investitori.
Nessuna domanda era off-limits, dalla complessità del ripristino delle operazioni all’impatto finanziario e alla loro collaborazione con i funzionari delle forze dell’ordine.
Passo 2: interagire con le parti interessate attraverso i canali normali
Anche durante una crisi, è importante ricordare che i tuoi stakeholder sono abituati ad avere notizie dalla tua azienda in modi diversi: può non essere sufficiente pubblicare informazioni sul sito web, anche i canali social devono essere tenuti aggiornati.
Conferenze stampa e/o webcast, anche on-demand, sono un buon modo per informare le parti interessate, anche in paesi e fusi orari diversi, se l’Azienda è globale.
Rappresentanti legislativi, funzionari locali, sindacati e associazioni di categoria si aspettano un contatto diretto, anche telefonico
Passo 3: comunicare frequentemente
Un singolo aggiornamento può non essere sufficiente.
Per quanto scoraggiante possa sembrare, è fondamentale fornire più aggiornamenti tempestivi sull’impatto del cyber-attacco e sui passi compiuti per contenerlo.
Ciò dimostra agilità, integrità e trasparenza per le parti interessate esterne e interne.
Si può dedicare parte della home page del sito web dell’Azienda agli aggiornamenti sulla gestione delle crisi, archiviandoli in ordine cronologico per mostrare la progressione e continuare a condividere gli sviluppi fino a quando le conseguenze dell’incidente cyber non siano state superate.
La rilevazione proattiva dei rischi informatici e risposta efficace agli incidenti OT/ICS
Le soluzioni di Nozomi Networks, distribuite e supportate da ServiTecno, semplificano la comprensione e l’adozione delle migliori pratiche di cyber security, come ad esempio quelle delineate dal Cyber security Framework for Manufacturing dl NIST, ISA99/IEC62443, ISO 2700x, ecc.
Ad esempio, il Cybersecurity Framework NIST delinea cinque attività/funzioni per la sicurezza cyber: identificazione, protezione, rilevamento, risposta e ripartenza (identify, protect, detect, respond and recover), che dovrebbero essere incorporate in tutti i processi operativi per affrontare il rischio informatico, anche e soprattutto in fabbrica.
L’identificazione comprende la scoperta e gestione di assett collegati in rete e la valutazione del rischio, mentre l’individuazione include, tra le altre funzioni, la rilevazione di vulnerabilità, il monitoraggio in continuo e la comprensione delle anomalie e degli eventi.
La soluzione Nozomi Networks semplifica l’applicazione delle migliori pratiche relative in più funzioni del framework NIST.
Ad esempio, automatizza la creazione di un inventario di tutti i dispositivi connessi in rete (PC, Server, Switch, PLC, DSC, robot, firewall, CNC/DNC, ecc.), monitora continuamente la rete OT/ICS e identifica rapidamente le vulnerabilità.
L’adozione di un framework di sicurezza affidabile come quello del NIST e l’utilizzo delle funzionalità avanzate di monitoraggio in continuo, rilevazione di minacce e vulnerabilità, anomaly detection e identificazione dei rischi con SCADAguardian di Nozomi Networks, consente di integrare la sicurezza nei processi organizzativi e migliorare la propria postura per affrontare rischi cyber e proteggere in modo adeguato reti e sistemi OT/ICS sia nell’industria che nelle utility.
Alcuni Link
Standingpartnership.com: The Complete Guide to Crisis Communications Planning
Webinar: Detect LockerGoga Ransomware with the Nozomi Networks Solution
Blog: Breaking Research: LockerGoga Ransomware Impacts Norsk Hydro
Blog: Managing OT Risk While Protecting Your Organization’s Reputation Executive
Brief: Integrating OT into IT/OT SOCs Solution
ServiTecno: https://www.servitecno.it/soluzione/cyber-security/