La risposta agli incidenti nell’Information Technology (IT) e Operational Technology (OT) o nei Sistemi di Controllo Industriale (ICS) può sembrare molto simile, ma ha diverse considerazioni e priorità.

Molte organizzazioni sfruttano le loro capacità di risposta agli incidenti IT esistenti in un ambiente OT, che potrebbe non essere ideale per una risposta agli incidenti di successo e operazioni sicure e affidabili. Comprendere queste lacune e colmarle prima dell’incidente è la chiave per una risposta positiva all’incidente ICS.

Anche le competenze necessarie in un ambiente OT e ICS sono diverse, ma possono essere ottenute attraverso la formazione: la difesa attiva e risposta agli incidenti e facendo leva su esperti del settore.

Preparazione e pianificazione

Ruoli, responsabilità e processi decisionali devono essere incredibilmente chiari quando si risponde a incidenti di Cyber-Physical Security OT.

Gli incidenti ICS devono prendere in considerazione potenziali conseguenze sulla vita, sulla sicurezza e sulla proprietà che possono derivare sia dall’incidente che dalle azioni di risposta intraprese.

I piani di risposta di successo definiscono un chiaro processo decisionale che include la leadership di business, la sicurezza, la operazioni, l’ambito IT e il Team di Risposta agli Incidenti (IRT).

Quando si pianifica una Risposta agli Incidenti (IR), è anche importante assicurarsi che il piano sia stato rivisto dai responsabili della conformità e della sicurezza, poiché le azioni di sicurezza – come il blocco di alcuni sistemi o i piani di evacuazione – possono essere in conflitto con gli obiettivi di Risposta agli incidenti.

Gli standard di affidabilità normativa, i requisiti di notifica e altre imposizioni devono essere attentamente valutati per il tuo settore specifico per assicurarti di rimanere conforme alla risposta iniziale attraverso il recupero.

Prima che si verifichi un incidente, è fondamentale che le organizzazioni intraprendano uno sforzo per identificare tutte le risorse che possono interagire con l’ambiente ICS: senza questa comprensione fondamentale di quali risorse sono presenti le organizzazioni faranno fatica a rispondere rapidamente e ripristinare il sistema.

L’identificazione delle risorse non deve necessariamente essere una scansione attiva su una rete ma potrebbe essere semplice come un’indagine fisica del sito, la riconciliazione di disegni progettati con lo stato corrente o l’esame delle informazioni sul flusso di traffico sia interno alla rete di controllo e che attraverso il firewall aziendale.

Visibilità e rilevazione

Gli ambienti ICS sono in genere di natura estremamente statica, molto prescrittivi nelle comunicazioni e non hanno un gran numero di utenti umani che introducono comportamenti imprevedibili.

Questi ambienti sono maturi per l’analisi comportamentale e il rilevamento di anomalie è reso molto più facile. Al contrario, con le reti IT spesso è quasi impossibile sviluppare una base di rete consolidata.

Un esempio: dopo che è stata stabilita una linea di base, il team di monitoraggio della rete dovrebbe esaminare nuove comunicazioni per valutare se fanno effettivamente parte di una modifica approvata e di una nuova operazione ordinaria. Poiché è improbabile che i sistemi ICS comunichino con nuovi server esterni dopo l’installazione, ciò è un’ottima tecnica per rilevare le intrusioni prima che il sistema sia compromesso.

Coordinamento e comunicazione

Mentre il coordinamento con altre parti dell’azienda è importante nella risposta agli incidenti IT, è assolutamente essenziale quando si esegue la risposta agli incidenti in un ambiente ICS.

Sebbene possano verificarsi un’eccellente pianificazione e preparazione, le azioni di risposta agli incidenti ICS potrebbero avere un impatto sul funzionamento sicuro e affidabile del sistema.

Un esempio: sottrarre il laptop di un utente per creare il clone di unità può essere un inconveniente, ma la rimozione di un pannello operatore per operare su di esso può rimuovere la visibilità dei processi chiave o avere un impatto sulle procedure di risposta alle emergenze.

Questo è il motivo per cui è fondamentale che le informazioni fluiscano: gli utenti devono avere una piena comprensione delle conseguenze delle loro azioni, con il consenso del team operativo, prima di intraprendere tali azioni.

Gli incidenti negli ambienti ICS tendono inoltre a ricevere molta più “rilevanza mediatica” rispetto agli incidenti IT tipici: anche un’infezione da malware comune può trasformarsi in un grave problema se si trova in una struttura critica. Pertanto, è anche importante coinvolgere il team di pubbliche relazioni nelle prime fasi del processo per sviluppare un piano di comunicazione per le parti interessate interne ed esterne.

Copartecipazione

La comunità ICS è un piccolo e affiatato gruppo composto da operatori, ingegneri e tecnici. C’è ancora una mentalità di vergogna e occultamento quando si tratta di segnalazioni di incidenti nei nostri ambienti ICS. Culturalmente questa è una sfida che dobbiamo superare poiché le intrusioni in una struttura potrebbero contenere informazioni su tecniche e procedure saranno sfruttate in un’altra struttura.

Fondamentale è che le organizzazioni condividano le informazioni sia all’interno che all’esterno del settore durante e dopo le attività di Risposta agli Incidenti.

Solo lavorando insieme possiamo ridurre al minimo il rischio.