Cyber security in ambito OT: mitigazione del rischio informatico

Cyber security in ambito OT: Un'occasione per poter dire lesson learned

Davide Pala

Segui

Contatta l'autore
Cyber Saiyan

Segui

Indice

Sommario
Gestione del rischio, un modello fallimentare?
Video Webinar
PDF Scaricabile
Parole chiave
Conclusioni

Sommario

L'Associazione Cyber Saiyan nasce con lo scopo di promuovere iniziative sociali volte a divulgare cyber security ed ethical hacking.

Gestione del rischio: Alcune basi.

Analisi del rischio per l'organizzazione

- Identificazione: Il rischio viene individuato e riconosciuto come tale;
- Analisi: Il rischio viene analizzato e vengono definiti gli effort e le probabilità che un determinato evento si verifichi;
- Valutazione: si decide come e quale rischio gestire;
- Mitigazione: Si implementano le misure di sicurezza necessarie a mitigare il rischio;
- Monitoraggio: Il ciclo viene ripetuto con lo scopo di analizzare l'esposizione dell'organizzazione.

Gestione del rischio, una questione di statistica.
Semplificando molto il discorso il tutto si riduce ad un rapporto tra impatto e probabilità.
Un rischio altamente probabile e di grande impatto rappresenta di certo un problema importante per l'organizzazione, la sua
mitigazione è una priorità.
Al contrario, un rischio mitigato e improbabile, è da considerarsi un rischio la cui mitigazione non è prioritaria o addirittura è accettabile lasciare la situazione allo stato corrente, sono i così detti rischi residui accettabili.

Quattro motivi per i quali OT sarà il nuovo eldorado dei cybercriminali.
- Il mercato del ransomware è all'apice, le aziende stanno imparando a difendersi e, seppur lentamente, si stanno strutturando per rispondere a questo tipo di minaccia. I ciminali dovranno cercare altrove;
- Il personale di impianto è ancora molto distante da queste tematiche e concentra i propri sforzi nell'innovazione, inconsapevole del fatto che sta aumentando la superfice di attacco dell'organizzazione;
- Il personale IT, sensibile alle tematiche di security, vede l'OT come una black box e entra con difficoltà nelle dinamiche che la governano;
- Il mercato offre poche soluzioni e poche competenze in questo ambito specifico: Un mondo frammentato e chiuso dove è difficile anche solo mettersi d'accordo sulla terminologia.

Video Webinar

Cyber security in ambito OT

Gestione del rischio, un modello fallimentare?

Eventi di varia natura impattano le organizzazioni e, più in generale, i sistemi organizzati per adempiere ad un determinato
scopo. Analizzando i ricorsi storici possiamo osservare come determinati evento abbiano avuto un impatto più che significativo,
colpa di un modello di gestione del rischio fallimentare?

Caso numero uno: Interruzione di alimentazione elettrica

Impatto:
- Interruzione momentanea della produzione;
- Se non correttamente gestito può provocare guasti.

Probabilità: sempre più bassa

Mitigazione:
- Comunicazione con il fornitore di energia;
- Installazione di gruppi di continuità e/o generatori;
- Procedure di gestione dell'outage.

Caso numero due: Dipendente in malattia

Impatto:
- Interruzione momentanea dell'attività legata alla funzione del dipendente;
- Se non correttamente gestito può provocare rallentamenti nell'operatività dell'azienda.

Probabilità: sempre più alta

Mitigazione:
- Ridondanza dei ruoli;
- Redazione di procedure scritte;
- Flessibilità dell'organico aziendale.

Caso numero tre: Pandemia mondiale

Impatto:
- Sostanziale su tutte le aree operative dell'organizzazione.

Probabilità: Statisticamente bassa

Mitigazione:
- Sviluppare una capacità di adattamento a contesti operativi dinamici.

COVID 19: Sfortuna o negligenza?
Eravamo nella condizione di prevedere?
Storicamente l'umanità ha affrontato molteplici pandemia, il problema più grande quando si parla di tali eventi è l'imprevedibilità. Sappiamo che un nuovo virus può nascere, ciò che non sappiamo è se e comeil corpo umano reagisce. Non sappiamo se il sistema umanitario sarà in grado di debellarlo così come non sappiamo se il virus sarà in grado di attecchire sui tessuti che compongono il nostro corpo, in poche parole non possiamo sapere gli effetti di un virus a priori.
Siamo tuttavia in grado di definire scenari possibili.

Caso numero quattro: Ransomware

Impatto:
- Potenziale interruzione delle attività produttive e di back office a tempo indeterminato.

Probabilità: Alta

Mitigazione:
- Implementazione di misure di sicurezza efficaci;
- Implementazione di piani di disaster recovery e test degli stessi;
- Formazione del personale;
- Ecc.

Cyber security in ambito OT: mitigazione del rischio informatico

PDF

Conclusioni

I rischi concreti per le organizzazioni in ambito OT
- Accesso remoto agli impianti;
- Mancanza di segmentazione;
- Cloud e servitizzazione;
- Mancanza di segmentazione.

Soluzioni implementabili per poter dire << Lesson learned >>
- Accesso remoto agli impianti: autenticazione forte e analisi del traffico a livello di rete;
-Mancanza di segmentazione: apparati di rete stealth idonei all'uso industriale;
- Cloud e servitizzazione: implementazione di vpn con DPI su protocolli industriali;
- Apparati legacy non patchati: hardening delle workstation e definizione di aree di rete con ACL stringenti.

Articoli tecnico scientifici o articoli contenenti case history

Fonte: mcT Cyber Security novembre 2021 CyberSecurity: l’importanza delle difese informatiche nel post-pandemia

Aggiungi ai preferiti

Settori: Industria 4.0, Sicurezza industriale

Parole chiave: Cyber security, Informatica, OT

In evidenza

Smart Heating

Dalla stessa fonte

EIOM S.r.l. garantisce la tutela della privacy e si impegna a proteggere le informazioni personali in conformità alle pratiche di gestione corretta delle informazioni e alle leggi vigenti in materia di riservatezza dei dati.

Ambito di applicazione:

La presente informativa sulla privacy spiega in che modo raccogliamo e utilizziamo i dati personali. Un “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Raccogliamo dati personali con vari metodi nel corso delle nostre normali attività aziendali, sia online che offline. Questo avviene, ad esempio, nei casi in cui i clienti effettuano un ordine o acquistano prodotti o servizi, stipulano contratti o comunicano con noi, oppure visitano e utilizzano i nostri siti e servizi web. Inoltre, riceviamo dati personali dai nostri clienti per fornire servizi per loro conto.

Identità del titolare del trattamento dei dati:

Titolare del trattamento è EIOM SRL Strada 1 Palazzo F1 Milanofiori 20090 Assago (MI).

Categorie di dati personali:

I dati personali che potremmo raccogliere e trattare comprendono:

Dati di contatto che ci permettono di comunicare con voi, come nome e cognome, professione, prefisso, nome utente, indirizzo, numeri di telefono, indirizzo e-mail o altri indirizzi a cui possiamo inviare messaggi, informazioni sulla società e dati di registrazione da voi inseriti sul nostro sito web.

Dati inerenti alle nostre relazioni commerciali con voi, ad esempio i tipi di prodotti e servizi che vi possono interessare, le preferenze sui prodotti e le modalità di contatto, le lingue, la solvibilità, le preferenze di marketing e i dati demografici.

Dati transazionali relativi al vostro modo di interagire con noi, riguardanti ad esempio acquisti, richieste di informazioni, dati sugli account dei clienti, informazioni su ordini e contratti, dati per le consegne, dati di fatturazione e coordinate bancarie, informazioni fiscali, cronologia delle transazioni e della corrispondenza, e informazioni sul vostro modo di utilizzare e interagire con i nostri siti web.

Dati in materia di sicurezza e compliance che ci permettono di tutelare i nostri interessi, incluse le informazioni necessarie per il controllo dei conflitti, la prevenzione antifrode e le verifiche interne, così come le informazioni necessarie per la sicurezza delle nostre sedi, ad esempio le registrazioni video.

I nostri prodotti possono raccogliere informazioni riguardanti la configurazione, le impostazioni e il funzionamento dei sistemi, informazioni sugli eventi o altri dati acquisiti nell’ambito del normale funzionamento dei nostri prodotti. In alcune circostanze, queste informazioni possono costituire dati personali. La natura e la portata dei dati raccolti dai nostri prodotti varierà in base al tipo e alla funzione dei prodotti e al tipo di servizi per cui essi vengono utilizzati, entro i limiti previsti dalle leggi vigenti.

Finalità del trattamento:

L’esecuzione degli ordini di prodotti o servizi e delle attività correlate, come la consegna dei prodotti e servizi anche online o via email, l’assistenza clienti, la gestione dei registri contabili e delle fatture, le attività di formazione e supporto, l’aggiornamento dei prodotti e l’invio di avvertenze relative alla sicurezza, così come la fornitura di altri servizi collegati agli acquisti.

La gestione dei nostri obblighi contrattuali e delle relazioni con i clienti, in particolare la gestione delle interazioni con i clienti, l’analisi e il miglioramento dei prodotti e dei servizi che offriamo, la comunicazione di informazioni sui nostri prodotti o servizi e la comunicazione di offerte e promozioni speciali.

La protezione dei siti web, delle reti, dei sistemi e delle sedi della nostra azienda, e la protezione contro le frodi.

La gestione delle nostre esigenze aziendali ordinarie, come l’elaborazione dei pagamenti, la gestione contabile e finanziaria, lo sviluppo dei prodotti, la gestione dei contratti, l’amministrazione dei siti web, l’adempimento degli obblighi, la corporate governance, le revisioni contabili, la reportistica e la compliance.

Per quanto riguarda la registrazione e la visita gratuita ad un nostro evento di una o due giornate, l’accettazione permette di usufruire dei seguenti servizi omaggio:

L’accesso all’evento
La stampa eventuale del biglietto di entrata in loco, il cordino ed il portabadge
Il programma dell’evento cartaceo
Guida del settore merceologico dell’evento in formato digitale e cartaceo (disponibile all’evento)
Il coffee break (se disponibile)
Il business lunch
La possibilità, per questioni organizzative, di essere contattato prima dell’evento dai relatori per informative sui convegni e workshop e/o su domande e quesiti a cui risponderanno in aula
La possibilità di essere contattato dopo l'evento, per l’invio degli atti dei convegni, dei workshop, di informative e presentazioni esclusivamente sui prodotti e servizi esposti all’evento, unicamente per tale servizio e finalità potremmo rendere disponibili i suoi dati alle aziende espositrici
L’accesso ai Convegni
L’accesso ai Workshop
La possibilità, se Ingegnere o Perito, se il servizio è disponibile di ottenere CFP (Crediti Formativi)
Nella giornata dell’evento verranno scattate foto ed effettuate riprese video che saranno diffuse via Web.
Se non volete che la vostra immagine e/o audio venga diffusa può comunicarlo allo staff presente al Desk Preregistrazioni

Per quanto riguarda la registrazione ai nostri siti e newsletter online l’accettazione permette di usufruire dei seguenti servizi omaggio:

L’accesso ai contenuti esclusivi del sito
La possibilità di iscriversi a Newsletter tematiche e/o personalizzate
La possibilità di contattare gli autori dei contentuti
La possibilità di seguire un autore/azienda ed essere avvertito via email/area riservata al momento dell’inserimento di un contenuto di interesse
La possibilità di customizzare il sito in modo che i contenuti proposti siano quelli di interesse
La possibilità di scaricare Guide di settore in esclusiva e in formato digitale
La possibilità di scaricare o accedere a dossier merceologici/white paper in esclusiva e in formato digitale
La possibilità di ricevere email per registrarsi accedere gratuitamente ad eventi di vostro interesse
La possibilità di essere contattato eventualmente solo ed unicamente per l’invio di informazioni via email o telefono, sulla tematica trattata negli atti e articoli dei convegni, dei workshop, degli articoli tecnici e delle informative/presentazioni da voi visionate o scaricate dai nostri siti, unicamente per tale servizio e finalità potremmo rendere disponibili i suoi dati agli autori dei lavori
La possibilità di ricevere email con contenuti tecnici di pregio (articoli tecnici, novità di rilievo e/o atti di convegni)
Destinatari dei dati personali:

Terze parti: potremmo utilizzare terze parti che forniscano o prestino servizi e funzioni per nostro conto. Potremmo rendere i dati personali disponibili a queste terze parti ai fini dell'esecuzione dei suddetti servizi e funzioni. Qualsiasi trattamento dei suddetti dati personali sarà soggetto alle nostre istruzioni e compatibile con le finalità originali.

Conservazione dei dati:

I dati personali saranno conservati per la durata necessaria al conseguimento dello scopo per il quale erano stati raccolti e, successivamente, per la durata prescritta o consentita dalle leggi vigenti.

Protezione dei dati personali:

Misure di sicurezza per la protezione dei dati personali: adottiamo misure tecniche, fisiche e organizzative adeguate al fine di proteggere i dati personali contro la distruzione accidentale o illegittima, la perdita, l’alterazione, la divulgazione, l'accesso non autorizzato e qualsiasi altra forma di trattamento illegittima. L’accesso ai dati personali è limitato ai destinatari autorizzati che abbiano motivazioni fondate per venirne a conoscenza. Adottiamo un programma completo per la sicurezza delle informazioni che è proporzionato ai rischi associati al trattamento. Questo programma viene periodicamente rivisto al fine di mitigare i rischi operativi e di proteggere i dati personali in considerazione delle prassi accettate nel settore. Adottiamo inoltre misure di sicurezza rafforzate per il trattamento dei dati personali sensibili.

Come proteggiamo i dati personali che elaboriamo per conto dei nostri clienti (in qualità di responsabili del trattamento dei dati): in alcuni casi elaboriamo dati personali come servizio per conto di nostri clienti (in qualità di responsabili del trattamento dei dati). In questi casi raccogliamo ed elaboriamo i dati personali secondo le istruzioni del cliente, e non li utilizziamo né li comunichiamo per finalità nostre. Adottiamo misure di controllo sulla sicurezza delle informazioni per proteggere i dati così raccolti e ci impegniamo a comunicare o a trasferire i dati personali unicamente nel rispetto delle istruzioni del cliente o per fornire il servizio richiesto. Salvo diverse istruzioni dei clienti, i dati personali che elaboriamo per loro conto vengono trattati in linea con i nostri impegni in materia di divulgazione e trasferimento dei dati, secondo quanto riportato nella presente informativa.

I nostri siti web:

Cookie, dati di utilizzo e strumenti simili

Utilizzando questo sito, acconsenti agli utilizzi di cookies descritti nella nostra Cookies Policy

Quando si visitano i nostri siti web, possiamo acquisire determinate informazioni con mezzi automatici, usando varie tecnologie quali cookie, pixel tag, strumenti di analisi dei browser, log dei server e web beacon. In molti casi, le informazioni da noi raccolte attraverso cookie e altri strumenti vengono usate in modo non identificabile, senza alcun riferimento a dati personali.

I cookie sono piccoli file di testo che i siti web trasferiscono al vostro computer o al disco rigido di un altro dispositivo attraverso il web browser che utilizzate per visitarli. Potremmo usare i cookie per rendere più efficiente l'accesso e l’utilizzo dei nostri siti web, per adattarli alle vostre preferenze di navigazione e per migliorarne le funzionalità. I cookie possono essere usati per la gestione delle prestazioni, e per raccogliere informazioni per scopi analitici sul modo in cui viene utilizzato il nostro sito web. Possono inoltre essere usati per la gestione delle funzionalità, permettendoci di rendere più efficienti le visite degli utenti ricordando, ad esempio, le preferenze sulla lingua, le password e i dettagli di accesso. Esistono due tipi di cookie: i cookie di sessione, che vengono cancellati dal dispositivo quando si esce dal sito web; e i cookie persistenti, che rimangono sul dispositivo più a lungo o finché non vengono cancellati manualmente.

Potremmo usare cookie flash (anche noti come oggetti locali condivisi) e tecnologie simili per personalizzare e ottimizzare l’esperienza online degli utenti. Adobe Flash Player è un’applicazione che permette di sviluppare rapidamente contenuti dinamici, come videoclip e animazioni. I cookie flash vengono usati per scopi di sicurezza e per ricordare impostazioni e preferenze con un metodo simile a quello usato dai cookie dei browser, ma vengono gestiti attraverso un’interfaccia diversa da quella contenuta nel web browser dell’utente. Per gestire i cookie flash, consultate il sito web di Adobe o visitate www.adobe.com. Potremmo usare i cookie flash o tecnologie simili per finalità comportamentali mirate o come supporto alle iniziative pubblicitarie basate sull’interesse.

Anche i log registrati dai nostri server possono raccogliere informazioni sul modo in cui gli utenti utilizzano i siti web (dati di utilizzo). Questi dati possono includere il nome di dominio dell’utente, la lingua, il tipo di browser e di sistema operativo, il provider di servizi Internet, l’indirizzo IP (Internet Protocol), il sito o il riferimento che ha indirizzato l’utente al sito web, il sito web che l’utente stava visitando prima di arrivare al nostro sito, il sito web che ha visitato successivamente e il tempo trascorso sul sito web. Potremmo monitorare e utilizzare questi dati per misurare le prestazioni e l’attività del sito web, migliorare il suo design e le sue funzionalità o per finalità di sicurezza.

Il nostro sito web potrebbe anche utilizzare pixel tag e web beacon. Si tratta di minuscole immagini grafiche contenute nelle pagine web o nelle nostre e-mail che ci permettono di stabilire se avete eseguito o meno una determinata azione. Quando si accede a queste pagine, oppure quando si apre o si fa clic su un’e-mail, i pixel tag e i web beacon generano una notifica relativa a quell’operazione. Questi strumenti ci permettono di misurare la risposta alle nostre comunicazioni e di migliorare le pagine web e le promozioni.

E’ possibile cambiare le impostazioni del browser per bloccare i cookie, per essere informati quando si riceve un cookie, per cancellarli o per navigare sul nostro sito web usando le impostazioni di utilizzo anonimo del browser. Per sapere come regolare o modificare queste impostazioni potete consultare le istruzioni o la schermata di aiuto del browser. Se non siete d'accordo con il nostro utilizzo dei cookie o di altre tecnologie che memorizzino informazioni sul vostro dispositivo, vi invitiamo a cambiare le impostazioni del vostro browser. Facciamo osservare tuttavia che, disabilitando i cookie o le tecnologie analoghe, alcune funzionalità dei nostri siti web potrebbero non operare correttamente

Laddove richiesto per legge, vi sarà chiesto di acconsentire all’uso di determinati cookie e tecnologie simili prima che questi vengano utilizzati o installati sul vostro computer o su altri dispositivi.

Condivisione dei dati e richieste anti tracciamento dei browser: poiché non tracciamo i visitatori dei nostri siti web (né consentiamo ad altri di tracciarli), non elaboriamo i segnali antitracciamento dei web browser. Per maggiori informazioni sui segnali di tracciamento dei browser e sulle funzioni antitracciamento potete visitare www.allaboutdnt.org.

Siti collegati: i nostri siti web possono contenere link che rimandano a siti web di terze parti. I siti collegati non sono necessariamente sottoposti a procedure di revisione, controllo o esame da parte nostra. Ogni sito collegato può adottare proprie condizioni d’uso e una propria informativa sulla privacy, ed è necessario che gli utenti, accedendo a detti siti collegati, prendano in visione e accettino tali condizioni. Non assumiamo alcuna responsabilità per le politiche e le prassi adottate dai siti collegati, né per altri link in essi contenuti. Questi link non implicano la nostra approvazione riguardo ai siti collegati o riguardo a qualsiasi società o servizio, e raccomandiamo agli utenti di leggere attentamente le condizioni e le avvertenze di tali siti prima di utilizzarli.

Minorenni: i nostri siti web non sono destinati ai minorenni e non vengono utilizzati per ricavare intenzionalmente informazioni personali da minorenni o per svolgere attività di commercializzazione verso minorenni. Se venissimo a conoscenza del fatto che un minorenne ha fornito informazioni personali attraverso uno dei nostri siti web provvederemo a rimuovere quelle informazioni dai nostri sistemi.

Google Analytics e Google AD Sense: sui nostri siti web potremmo usare Google Analytics e Google AD Sense per raccogliere informazioni circa la vostra attività online sui nostri siti web, ad esempio per quanto riguarda le pagine web visitate, i link su cui fate clic o le ricerche condotte sui nostri siti web. Queste informazioni potranno essere utilizzate per scopi di reportistica e per consentirci di migliorare i siti web. I cookie raccolgono varie informazioni in forma anonima, ad esempio il numero di visitatori del sito web, la loro provenienza e le pagine che hanno visitato. Le informazioni generate da questi cookie e il vostro attuale indirizzo IP saranno trasmessi dal vostro browser a Google, la quale li memorizzerà su server situati negli Stati Uniti e in altri paesi. Google userà queste informazioni per nostro conto allo scopo di valutare l’utilizzo del nostro sito web come descritto in precedenza. Gli indirizzi IP acquisiti attraverso Google Analytics non saranno associati ad altri dati detenuti da Google. Per ulteriori informazioni sui dati raccolti tramite Google Analytics potete visitare www.google.com/intl/en/analytics/privacyoverview.html. Per impedire l’uso di questi cookie, potete selezionare le impostazioni appropriate nel vostro browser. In questo caso, è possibile che non riusciate a utilizzare pienamente le funzionalità dei nostri siti web. Potete scaricare e installare il componente aggiuntivo del browser per la disattivazione di Google Analytics da: tools.google.com/dlpage/gaoptout.

Tecnologia di remarketing di Google: i nostri siti web potrebbero utilizzare la tecnologia di remarketing di Google. Questa tecnologia permette agli utenti che hanno già visitato i nostri servizi online e dimostrato interesse per i nostri servizi di vedere pubblicità mirate sui siti web della rete di partner di Google. Queste stesse iniziative di remarketing potranno essere rivolte anche a utenti che risultino simili ai visitatori del nostro sito web. Le informazioni generate dai cookie sull’utilizzo del sito web saranno trasmesse e memorizzate sui server di Google negli Stati Uniti. In caso di trasferimento dell’indirizzo IP, questo verrà ridotto escludendo le ultime tre cifre. L’uso dei cookie permette di analizzare il comportamento degli utenti sui siti web e, successivamente, di inviare raccomandazioni sui prodotti e messaggi pubblicitari in modo mirato sulla base degli interessi degli utenti. Se preferite non ricevere comunicazioni pubblicitarie mirate, potete disattivare l’uso dei cookie per queste finalità da parte di Google accedendo al sito web: www.google.com/settings/ads. In alternativa, gli utenti possono disattivare l’uso dei cookie da parte di fornitori terzi accedendo al sito web di disattivazione della Network Advertising Initiative (www.networkadvertising.org/choices). Facciamo osservare che Google adotta una propria politica di protezione dei dati, che è indipendente dalla nostra. Non siamo perciò in alcun modo responsabili per le loro politiche e procedure. Consigliamo di leggere le norme sulla privacy di Google prima di utilizzare i nostri siti web (www.google.com/intl/en/policies/privacy).

I vostri diritti:

Avete il diritto di richiedere la cancellazione dei vostri dati personali, la limitazione del trattamento dei dati che vi riguardano, di opporvi al loro trattamento e di far valere il diritto alla portabilità dei dati.

Consenso e revoca del consenso:

Nel fornirci i vostri dati personali, prendete atto e acconsentite alla raccolta, al trattamento e all’uso dei suddetti dati secondo quanto previsto nella presente informativa sulla privacy. Laddove richiesto per legge vi sarà chiesto un consenso esplicito. Avrete sempre la possibilità di opporvi all’uso dei vostri dati personali per finalità di marketing diretto o di revocare qualsiasi consenso precedentemente espresso per una finalità specifica.

Come contattarci:

Per comunicare con noi riguardo a problematiche relative alla privacy, o per inviarci domande, commenti o reclami, potete contattarci scrivendo a privacy@eiomfiere.it

Modifiche alla nostra informativa sulla privacy:

Ci riserviamo il diritto di cambiare, modificare e aggiornare la presente informativa sulla privacy in qualsiasi momento. Raccomandiamo di controllarla periodicamente per avere la certezza di avere letto la versione più aggiornata.

Dichiaro di avere letto l'informativa e di accettarla

I campi contrassegnati con il simbolo * sono obbligatori