Cybersecurity, il concetto "esteso" della resilienza operativa

Il tema delle procedure di ripristino di emergenza, messe in atto dalle aziende per rispondere a un attacco informatico, è molto sentito e Simon Hodgkinson, ex Chief Information Security Officer di bp e oggi Strategic Advisor di Semperis, invita a considerare il ripristino di emergenza nell’ottica dell’operatività generale delle aziende, sottolineando l'importanza di dotarsi di strumenti per poter agire prima, durante e a seguito di un attacco.

“Il ripristino di emergenza è un’azione ben precisa e riferita a un periodo di tempo limitato”, spiega Hodgkinson. “La resilienza operativa è un concetto molto più esteso che spazia dalla governance alla gestione dei rischi operativi, passando per i piani di business continuity e la gestione dei rischi derivati da attacchi informatici, protezione dei dati e fornitori di terze parti.”  

Gli anelli deboli della catena vanno rinforzati

Il raggio di azione della resilienza operativa è ampio e richiede il coinvolgimento di tutti i reparti e i membri di un’organizzazione, non di un solo team. Deve quindi coinvolgere tutti, dal management al Cda, fino al personale.  

“Chi ha ruoli direttivi deve sapere quali sono i rischi e quanto l’azienda sia esposta o in grado di sopportarli”, sottolinea Hodgkinson. “Per questo bisogna predisporre funzioni e accordi di approvvigionamento con fornitori di terze parti. La resilienza deve ruotare intorno ai flussi di lavoro quotidiani, e se un fornitore non basta per gestire i rischi, allora bisogna diversificare i provider.”  

Non si deve dimenticare che, nel panorama odierno, tutti sono nel mirino: aziende, fornitori, partner e provider. Se un fornitore dovesse veder compromessi o bloccati i sistemi da una minaccia, anche le aziende che ne dipendono potrebbero avere problemi. 

“Ho assistito a diversi casi in cui un attacco informatico o un altro tipo di evento riguardante il fornitore ha avuto un effetto domino sui suoi clienti”, ricorda Hodgkinson. “Pensiamo al settore retail: se si verifica un problema di esaurimento scorte, l’intera supply chain va in crisi. Per evitare questi scenari serve una prospettiva più ampia. Nel contesto della resilienza operativa, ogni scenario e processo di gestione dei rischi deve tener conto della supply chain.”  

Incentrare la resilienza sulle operazioni 

L’U.S. Department of Transportation, ovvero il ministero statunitense per i trasporti, ha proposto una sanzione da 1 milione di dollari contro Colonial Pipeline per “gli errori di gestione della sala di controllo” durante l’attacco informatico che nel 2021 ha causato l’interruzione della fornitura di gas sulla costa est degli Stati Uniti. Alla sanzione si aggiungono le perdite di ricavi, derivate dallo stesso attacco. Secondo il governo statunitense, l’azienda non ha agito in un’ottica di resilienza operativa: invece di pianificare come gestire e limitare la portata di un incidente, ha semplicemente bloccato le reti di controllo dei processi non appena il malware è entrato in azione.  

“È un caso emblematico”, commenta Hodgkinson. “E purtroppo nemmeno isolato, a mio avviso. Molte aziende non si rendono conto del ruolo che giocano le tecnologie operative quando si verifica un incidente informatico.”  

“Le società che amministrano infrastrutture nazionali o catene di approvvigionamento critiche dovrebbero pensare di più alla gestione della continuità operativa e ai controlli per limitare i rischi”, afferma. “Tutto deve partire dalla consapevolezza del profilo di rischio e dalla pianificazione di misure adeguate per gestirlo. In seguito, bisogna eseguire dei test per verificare cosa succede quando si disattivano le reti aziendali, per assicurarsi di poter scollegare le risorse informatiche da quelle operative ed evitare la propagazione del malware.”  

Avvicinare l’IT all’OT  

Rispetto a quelle utilizate in un ufficio, le tecnologie utilizzate per infrastrutture come gasdotti e raffinerie sono molto diverse. Hanno protocolli di rete e sistemi di sicurezza specifici e sono progettate in modo da bloccarsi in caso di pericolo. Secondo Hodgkinson, una delle principali cause di conflitto nel settore industriale – e la ragione per cui le iniziative di resilienza operativa non hanno successo – è dovuta alla mancanza di interazione tra le tecnologie informatiche (IT) e quelle operative (OT).  

I rispettivi reparti non hanno una visione chiara delle sfide e dei flussi di lavoro l’uno dell’altro. E' necessario pertanto che questa situazione cambi, partendo dall’adozione di una prospettiva nuova. 

“Il problema dipende in parte dal fatto che le minacce informatiche sono viste come qualcosa a sé. Sono un rischio che spetta al team per la sicurezza o al reparto IT e quindi gli altri possono lavarsene le mani”, prosegue Hodgkinson. “Dobbiamo sfatare questo mito. Solo con la giusta comprensione dei flussi dei vari team aziendali e con un’assunzione condivisa dei rischi si possono mettere in atto misure di resilienza adeguate. Quando lavoravo da bp, abbiamo fatto in modo che il team di engineering si mettesse nei panni del team per la sicurezza informatica e viceversa. Grazie a questo scambio tutti hanno acquisito più esperienza e nuovi punti di vista.”   

Una maggiore collaborazione 

Ogni team ha le sue priorità. La sicurezza informatica può essere importante per il team di engineering, ma lo è di più la sicurezza degli impianti, che devono essere progettati in modo da fermarsi in caso di pericolo. Una maggiore collaborazione tra i reparti può migliorare l’esecuzione dei controlli e delle strategie nei vari ambienti.

“In fondo dipende tutto dal contesto. Cosa vuole ottenere l’azienda? Quali risultati intende raggiungere? In che modo? Con quali tecnologie? Cosa è importante in termini di riservatezza, integrità e disponibilità?”, conclude Hodgkinson.  

Active Directory in un’ottica di resilienza operativa  

Active Directory, e Azure AD negli ambienti di identità ibridi, hanno un ruolo centrale nell’attuazione della resilienza operativa.  

“Anche se ora è disponibile uno strumento per gestire le priorità tra i reparti, credo che spesso ci si dimentichi di quanto sia importante Active Directory”, osserva ancora Hodgkinson. “Senza Active Directory non è possibile fare nulla, è il cuore delle attività aziendali, perciò non va considerato come un programma a parte, ma deve essere integrato nella strategia di resilienza operativa.”  

Un ruolo attivo nella resilienza operativa 

I piani di ripristino di emergenza incentrati sui disastri naturali non sono adatti per affrontare le moderne minacce alla resilienza operativa. Essendo il sistema di identità cruciale per la business continuity ed essendo l’obiettivo primario degli autori di attacchi informatici, è importante proteggerlo. Per impedire che venga compromessa la resilienza operativa, le organizzazioni devono mettere al primo posto la difesa del sistema di identità.