Mi sono imbattuto in un interessante articolo sul tema della continuità operativa scritto da Zac Amos, Features Editor di ReHack per il blog di ISA/GCA su quanto possa essere utile dotarsi in Azienda di un “Piano di Emergenza Informatica” (IT/OT Contingency Plan).
Da tempo parliamo di Continuità Operativa, ovvero di come aumentare la resilienza nei reparti di produzione, sia nell’industria come nelle utility, al fine di evitare fermate non pianificate e mitigare rischi e danni dovuti ad incidenti o attacchi informatici che possano avere impatti sulla continuità e qualità della produzione industriale o nell’erogazione di un servizio al pubblico.
Ecco allora alcune considerazioni relative alla necessità di dotare l’Azienda di un piano di emergenza e quali i passi di avvicinamento ed i tool che ci possano risultare utili per la sua messa in pratica.
Contingency Plan, Business Continuity Plan e Disaster Recovery Plan
Chiariamo le differenze tra Contingency Plan, Business Continuity Plan e Disaster Recovery Plan:
- La pianificazione di emergenza (Contingency Plan) avviene in anticipo per prepararsi a futuri incidenti, quindi prima.
- Business Continuity Plan, ovvero il piano per la continuità aziendale fornisce una soluzione temporanea, durante un incidente.
- Disaster Recovery Il ripristino di emergenza che si concentra sul ripristino della normalità delle operazioni, dopo che si è verificato un incidente
Cos’è un piano di emergenza per la sicurezza informatica e perchè è importante averlo
Un piano di emergenza per la sicurezza informatica è un insieme di procedure che un’Azienda avvia in caso di incidenti ed attacchi informatici: utilizzando la gestione del rischio mediante un’attenta analisi delle minacce, serve a guidare i dipendenti e i team di security ad affrontare una crisi digitale, con meditate risposte agli incidenti, compreso il recupero di dati che possono andare perduti.
Un’Azienda con un solido piano di emergenza per la sicurezza informatica ha maggiori possibilità di contrastare incidenti ed attacchi informatici e proteggere sistemi, impianti e macchinari in produzione.
Incidenti con violazioni dei dati, attacchi D-DOS, data-breach e altri attacchi informatici sono solo alcuni dei rischi che ogni Azienda, piccola o grande, deve prepararsi ad affrontare. L’elenco potrebbe continuare ed un piano di emergenza per la sicurezza informatica può aiutare a mitigare questi ed altri rischi. Ecco perché è importante avere un piano di emergenza per la sicurezza informatica scritto e proceduralizzato.
Con un piano di emergenza per la sicurezza informatica, l’Azienda:
- Risparmia tempo e risorse: gravi violazioni dei sistemi e dei dati possono essere costose per qualsiasi azienda. Criminali chiedono un riscatto in cambio del ripristino dei servizi o della restituzione dei dati rubati. Enti di regolamentazione possono anche emettere multe e penalizzare le Aziende per non aver adeguatamente protetto le informazioni relative ai propri Clienti e Fornitori (vedi GDPR, NIS2 ecc.). A ben vedere, al posto di essere costretti a pagare un riscatto e ingaggiare consulenti per verificare i danni, potrebbe essere meglio investire le risorse per sviluppare strategie aziendali per una migliore protezione dei propri asset.
- Riduce al minimo i danni: un piano di emergenza per la sicurezza informatica riduce le possibilità che malintenzionati si infiltrino nei sistemi, provochino fermate, danni e rubino i dati preziosi. E quando poi, nel caso, compromettano i sistemi, piani di risposta agli incidenti possono ridurre al minimo i danni. Tra le misure di difesa e protezione per la sicurezza informatica ci sono sicuramente un inventario preciso ed aggiornato di tutti i dispositivi, il backup dei software utilizzati e dei dati e l’isolamento di reti per rendere innocui eventuali dispositivi infetti.
- Mantiene gli impianti operativi: fermate dovute a incidenti ed attacchi informatici possono essere molto dannose ed avere impatti pesanti in qualsiasi Azienda con impatti sulla produttività che diminuisce e talvolta interi reparti si bloccano. La creazione di un piano di emergenza per la sicurezza informatica può aiutare ad essere prepararti a tali interruzioni e a mantenere attivi macchine ed impianti per evitare ulteriori battute d’arresto e perdita di fiducia da parte di collaboratori, Clienti, investitori e tutti gli stakeholders coinvolti.
- Migliora la preparazione e la resilienza dell’azienda: sensibilizzare, preparare e formare i Team per affrontare incidenti ed attacchi informatici aiuta a mantenere la calma durante questi eventi ad alto stress. Un piano di emergenza per la sicurezza informatica ben fatto delinea tutti i possibili scenari e le relative soluzioni. Le Aziende dotate di tali piani di emergenza sono più resilienti e possono resistere agli attacchi in modo più efficace rispetto ad altre che non ne siano dotate.
- Da una risposta rapida agli incidenti: la tempestività è uno dei punti più importanti quando si è coinvolti un incidente o attacco informatico. Più a lungo i criminali rimangono all’interno dei sistemi, maggiori sono danni e caos che possono provocare. I piani di emergenza consentono di rispondere alle minacce in modo rapido ed efficiente. Il Team di security può individuare i modelli di attacco e utilizzare appropriate azioni correttive per contrastare gli attacchi informatici nel momento in cui si verificano.
Alcuni passi propedeutici alla stesura di un Piano di Emergenza
- Identificare un responsabile e dare ufficialità alla sua nomina: è questo il primo passo per rendere efficace quanto poi verrà deciso da lui e verrà poi divulgato all’interno dell’Azienda. A seconda dell’impegno richiesto, adeguare il suo team (ed il suo budget).
- Identificare il perimetro e la composizione dei sistemi sui quali il piano dovrà essere operativo: anche questo è un passo importante e può essere fatto manualmente se si tratta di pochi sistemi in produzione, ma può anche essere molto impegnativo e dispendioso in termini di risorse e tempo se si tratta di impianti vasti e complessi. Potrà essere necessario dotarsi di tool per Asset Inventory e procedere ad un Assessment delle risorse informatiche e dispositivi da includere nel piano per essere sicuri che nulla sia sfuggito.
- Il piano di emergenza tende a ridurre gli impatti di eventuali fermate e dare la possibilità di ripartenze in tempi brevi. Istruire adeguatamente le persone e dotarsi di strumenti adeguati è un prerequisito. Vedremo qui di seguito che uno dei punti essenziali è avere i back-up aggiornati e controllati per garantirsi le ripartenze. Valutiamo quindi l’importanza di avere un tool per la gestione delle configurazioni di tutti i dispositivi di campo che possa al tempo stesso raccogliere gestire i backup e tutte le versioni dei software utilizzati da PLC, PC, robot, CNC, Switch, Firewall, DCS, HMI, SCADA, ecc. utilizzati in produzione.
Come creare un piano di emergenza per la sicurezza informatica in 6 step
La creazione di un piano di emergenza per gli attacchi informatici è fondamentale per la crescita della tua organizzazione. Ecco alcuni punti da includere nei piani di emergenza per la sicurezza informatica.
- 1. Identificare e mantenere i sistemi aggiornati
Sistemi legacy, firewall e contromisure obsoleti con piani di sicurezza non aggiornati rendono più semplice l’infiltrazione di malintenzionati nei sistemi digitali dell’Azienda. Per quanto possibile è meglio avere un inventario dei dispositivi collegati in rete allineato con le più recenti variazioni e che tutte le contromisure di sicurezza siano tenute aggiornate: controllare e rinforzare le difese primarie aumenta le possibilità di contrastare con efficacia incidenti ed attacchi. Qui un tool per la gestione automatizzata di Asset Inventory e delle vulnerabilità può risultare utile.
- 2. Stabilire una solida catena di comando
Ogni persona coinvolta nell’Azienda deve sapere a chi riferire in caso di incidenti ed attacchi informatici. Deve essere nominato un responsabile per la gestione delle emergenze, come un capo reparto o il capo dei team IT e di sicurezza. È essenziale mantenere aperti i canali di comunicazione e istruire i dipendenti su come segnalare rapidamente qualsiasi incidente.
- 3. Formare i dipendenti sulle migliori pratiche di sicurezza informatica
Le persone, i collaboratori, rappresentano spesso l’anello più debole delle misure di sicurezza informatica di qualsiasi organizzazione. La via più indicata è quella di creare una cultura della sicurezza informatica in Azienda formando i dipendenti per salvaguardare tutte le risorse (e le credenziali aziendali). Ad esempio, ogni membro dell’organizzazione dovrebbe sapere come riconoscere e-mail di phishing e altri payload sospetti.
- 4. Rimanere aggiornati con le ultime informazioni sulle minacce
I malintenzionati di solito utilizzano diversi vettori di attacco per infiltrarsi nelle reti sicure. Assicuriamoci che i Team di sicurezza siano al corrente delle minacce più recenti, con report recenti di intelligence sulle minacce in modo che possano identificare i modelli di attacco e le attività sospette il più rapidamente possibile. Anche in questo caso può risultare decisivo un tool per la gestione delle vulnerabilità e minacce con funzioni di Anomaly Detection.
- 5. Eseguiamo e manteniamo aggiornati i backup di tutti i dispositivi
Rendiamo il ripristino dell’operatività e dei dati una priorità eseguendo regolarmente il backup di tutte le risorse critiche che abbiamo in produzione. La perdita di controllo di sistemi e la violazione dei dati sono possibilità sempre presenti nel panorama aziendale odierno. Mantenere le risorse al sicuro aumenterà le possibilità di evitare di fermate, di pesanti perdite (e multe salate). Come già indicato, può risultare vincente adottare una soluzione per la gestione delle configurazioni di tutti i dispositivi di campo che possa al tempo stesso raccogliere gestire i backup e tutte le versioni dei software utilizzati da PLC, PC, robot, CNC, Switch, Firewall, DCS, HMI, SCADA, ecc. utilizzati in produzione.
- 6. Identifica e metti in quarantena i dispositivi infetti
Gli hacker sfruttano ogni punto debole della rete e della struttura organizzativa del loro obiettivo. Le vulnerabilità in dispositivi non protetti rendono più facile per i malintenzionati compromettere un sistema. È necessario quindi identificare e mettere in quarantena i dispositivi infetti e praticare la segmentazione della rete per ridurre al minimo il movimento laterale di terze parti malintenzionate una volta che sono all’interno della rete. Utili a questo scopo i dispositivi di Vulnerability Assessment ed Anomaly Detection in grado di segmentare in modo attivo la rete e segregare dispositivi critici, isolando quindi quelli “sospetti” per ulteriori approfondite indagini.
In conclusione
Il piano di emergenza per la sicurezza informatica è una necessità per qualsiasi Azienda di produzione.
Per proteggere l’Azienda dalle minacce digitali, dovremmo dotarci di un piano di emergenza per la sicurezza informatica che includa tutti gli asset, compresi quelli utilizzati da sistemi che governano macchine ed impianti in produzione: può migliorare la resilienza e dimostrare a collaboratori, Clienti e investitori l’impegno verso la continuità aziendale ed in definitiva aumentare il valore dell’Azienda stessa.