Blog

Il processo di gestione delle patch in ambito OT

La produzione intelligente ci ha permesso di ottenere una straordinaria produttività, ma la sicurezza informatica dei sistemi di controllo industriali è spesso rimasta in secondo piano. Scopriamo come l'industria del Food & Beverage sta recuperando terreno.

Questo settore ha visto un grande dinamismo relativamente alle pratiche di cyber-igiene – il punto di partenza per la cybersecurity dei sistemi di controllo industriale (ICS). Mentre prima si parlava molto di infrastrutture di rete, adesso le tecniche e la strategia per la sicurezza informatica sono al centro dell'attenzione. Ma come ci siamo arrivati?

Il problema risale a 20-30 anni fa, quando l'industria alimentare e delle bevande stava rapidamente adottando una tecnologia avanzata e proprietaria in produzione. A causa della natura chiusa e isolata di quei sistemi, la sicurezza informatica non era una vera preoccupazione.

Negli ultimi 10 anni, la proliferazione dei sistemi di controllo industriali e di apparecchiature collegate tramite Ethernet, ha rivoluzionato la produttività, la qualità, la conformità e la velocità di accesso al mercato. Ha anche semplificato il collegamento di questi sistemi tradizionali tra di loro e con quelli nuovi. Queste comunicazioni su rete Ethernet aperta e non modificata, ha portato ad un aumento del rischio informatico e ad una nuova preoccupazione: la gestione delle patch dei sistemi legacy.

<strong>WEBINAR</strong>: Tutto ciò che ogni produttore Food & Beverage deve sapere sulla sicurezza informatica. Iscrivetevi al primo di una serie in 4 parti sulle best practice della sicurezza informatica.

Non si può gestire ciò che non si vede

L'idea di un inventario degli asset non è nuova, e potreste aver già sperimentato questa attività internamente, o anche aver chiesto aiuto esterno. Ma riuscire a registrare tutto non è un compito facile, e molti stanno ancora lavorando per riuscirci.

Ci sono due modi per fare un inventario e per porre le giuste basi per il vostro programma di sicurezza informatica dei sistemi ICS, avete bisogno di entrambi.

Gli strumenti elettronici possono scansionare la rete e identificare automaticamente le risorse presenti, facendovi risparmiare molto tempo.
L’identificazione manuale rileverà il resto, ma richiede che qualcuno faccia un'indagine fisica di ciò che esiste.

Ricordate che è importante implementare entrambi gli approcci in tutte le vostre sedi. Se li attuate solo in nove dei vostri dieci siti, potete essere certi la “falla” alla sicurezza si verificherà proprio in quello che è stato omesso.

Definire una strategia di gestione patch completa

Dopo aver fatto l'inventario, potreste ritrovarvi con un elenco di migliaia di asset su cui concentrarvi. Per fortuna, non tutti gli asset sono creati allo stesso modo. Il passo successivo consiste nell'effettuare un'analisi del rischio per identificare gli asset che richiedono una patch con priorità in base alla loro criticità, all'esposizione, all'età, al rischio previsto, ecc. Alcuni asset non sono nemmeno in rete, quindi costituiscono davvero un rischio?

Ci sono due tipi di patch che dovrete considerare:

Le patch per il sistema operativo (OS) sono qualcosa di ben noto in ambito IT, tanto che Microsoft Patch Tuesday esiste da più di 15 anni. Dovrete pianificare l’applicazione delle patch per il sistema operativo dell’impianto con tempi di fermo macchina programmati per un'interruzione minima. In molti casi una collaborazione IT/OT proattiva può essere la soluzione.
Le patch a livello delle applicazioni sono invece una storia a parte. Potrebbero esserci letteralmente centinaia di applicazioni di diversi fornitori che richiedono patch diverse. Quindi il vostro compito è di andare a cercare le patch sui siti web dei fornitori, capire le vulnerabilità da cui proteggono e se sono necessarie o meno.

Poiché ogni applicazione è configurata in modo diverso, le patch a livello di applicazione garantiscono uno standard di test molto preciso e coerente essendo state verificate in un ambiente di laboratorio prima dell'implementazione nell'impianto, dove si potrebbe correre il rischio di interrompere involontariamente la produzione.

<strong>EBOOK</strong>: Esplorate vantaggi e svantaggi della protezione di reti e strutture contro la rapida evoluzione delle minacce informatiche (pdf).

Un approccio sistematico alla gestione delle patch

L'approccio "speriamo vada tutto bene" è comune in tutta l'industria del Food and Beverage. Non per mancanza di impegno, ma per mancanza delle giuste risorse e delle competenze specialistiche. In genere ciò che vedo oggi sul campo è un comportamento reattivo: vale a dire installare una patch ad alta priorità interrompendo la produzione solo durante il fine settimana, secondo necessità.

E la sequenza tipica è la seguente:

Il reparto operativo si rivolge all'IT per aiutare a gestire le patch OT.
L'IT risponde, ma non ha le competenze per i sistemi ICS o le risorse per gestire gli specifici requisiti del sistema
A quel punto si affidano ad una risorsa ibrida IT/OT o, più spesso, si rivolgono ad un'azienda come Rockwell Automation o altre.

Se si sceglie di affidarsi a terzi, cercate un partner che abbia una profonda conoscenza delle operazioni. Un segnale rivelatore è il tempo di risposta indicato nel Service Level Agreement (SLA). I fornitori IT tradizionali misurano la risposta in ore. Ma questi tempi di fermo nella produzione di beni di consumo possono significare milioni di dollari persi. SLA che misurano la risposta in minuti rappresentano una soluzione decisamente migliore.

Una soluzione di cybersecurity per ICS completa

La gestione delle patch costituisce un passo avanti verso la realizzazione di un centro operativo di sicurezza (SOC). Un SOC può fornire una visione olistica della vostra postura di sicurezza, includere una strategia di disaster recovery e garantire il funzionamento ottimale della vostra fabbrica connessa.

Inoltre, oggi sono disponibili soluzioni progettate per la protezione degli endpoint o "whitelist". Anche se queste soluzioni non eliminano del tutto la necessità delle patch, costituiscono un metodo efficace per proteggersi e guadagnare tempo mentre si sviluppa una propria strategia di gestione patch.

La verità è che non esiste una soluzione semplice per un'efficace sicurezza informatica. Questo è il valore della defense-in-depth. A rischio non c’è solo il fatturato, bensì la sicurezza dei lavoratori e dei prodotti; confidare in un approccio di tipo reattivo e in un po’ di fortuna non è ammissibile. Se siete alla ricerca di supporto per avviare il vostro programma, o per portarlo al livello successivo, contattateci.

Pubblicato 11 maggio 2020

Mark Cristiano

Global Commercial Director, Lifecycle Services, Rockwell Automation

Mark Cristiano is an expert in the field of critical infrastructure. With over 30 years of experience in IT, Mark has spent the past 15 years leading manufacturing systems on the front lines of IT/OT. Currently, Mark is a trusted advisor to manufacturers in securing their OT infrastructure.

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Iscrivetevi

Consigliato