Indice dei contenuti
Per contrastare l’incremento di attacchi informatici e le relative conseguenze sulle attività aziendali, molte organizzazioni stanno adattando le proprie procedure di ripristino di emergenza con misure per rispondere a questo tipo di eventi imprevisti. Queste procedure sono rimaste pressoché invariate per anni e anni, a volte anche più di dieci, dimostrandosi inadatte contro le moderne minacce. Il dato chiave è che, a livello aziendale, il ripristino di emergenza è solo un aspetto di un ambito più vasto: la resilienza operativa.
Simon Hodgkinson, ex Chief Information Security Officer di bp e oggi Strategic Advisor di Semperis, insiste sulla necessità di considerare il ripristino di emergenza nell’ottica dell’operatività generale delle aziende e di dotarsi di strumenti per agire prima, durante e dopo un attacco.
“Il ripristino di emergenza è un’azione ben precisa e riferita a un periodo di tempo limitato”, spiega Hodgkinson. “La resilienza operativa è un concetto molto più esteso che spazia dalla governance alla gestione dei rischi operativi, passando per i piani di business continuity e la gestione dei rischi derivati da attacchi informatici, protezione dei dati e fornitori di terze parti.”
In altre parole, i piani di ripristino di emergenza riguardano soprattutto il ripristino stesso. Mentre la resilienza operativa implica una prospettiva più ampia, che copre l’intero ecosistema e ogni misura possibile per garantire la continuità operativa durante gli attacchi o altri tipi di eventi avversi.
Rinforzare gli anelli deboli della catena
La resilienza operativa ha un raggio di azione che richiede la partecipazione di tutti i reparti e i membri di un’organizzazione. Non può essere appannaggio esclusivo di un team, ma deve coinvolgere tutti, dal management al Cda, fino al personale.
“Chi ha ruoli direttivi deve sapere quali sono i rischi e quanto l’azienda sia esposta o in grado di sopportarli”, sottolinea Hodgkinson. “Per questo bisogna predisporre funzioni e accordi di approvvigionamento con fornitori di terze parti. La resilienza deve ruotare intorno ai flussi di lavoro quotidiani, e se un fornitore non basta per gestire i rischi, allora bisogna diversificare i provider.”
Hodgkinson si riferisce in particolare a un dato di fatto che molti sembrano ignorare. Nel panorama odierno, siamo tutti nel mirino: aziende, fornitori, partner e provider. Se una minaccia dovesse compromettere o bloccare i sistemi di un fornitore, anche le aziende che ne dipendono potrebbero riscontrare dei problemi.
“Ho assistito a diversi casi in cui un attacco informatico o un altro tipo di evento riguardante il fornitore ha avuto un effetto domino sui suoi clienti”, ricorda Hodgkinson. “Pensiamo al settore retail: se si verifica un problema di esaurimento scorte, l’intera supply chain va in crisi. Per evitare questi scenari serve una prospettiva più ampia. Nel contesto della resilienza operativa, ogni scenario e processo di gestione dei rischi deve tener conto della supply chain.”
Incentrare la resilienza sulle operazioni
L’U.S. Department of Transportation, ovvero il ministero statunitense per i trasporti, ha proposto una sanzione da 1 milione di dollari contro Colonial Pipeline per “gli errori di gestione della sala di controllo” durante l’attacco informatico che nel 2021 ha causato l’interruzione della fornitura di gas sulla costa est degli Stati Uniti. La sanzione si aggiunge alle perdite di ricavi derivate dallo stesso attacco. Secondo il governo statunitense, l’azienda non ha agito in un’ottica di resilienza operativa: invece di pianificare come gestire e limitare la portata di un incidente, ha semplicemente bloccato le reti di controllo dei processi non appena il malware è entrato in azione.
“È un caso emblematico”, commenta Hodgkinson. “E purtroppo nemmeno isolato, a mio avviso. Molte aziende non si rendono conto del ruolo che giocano le tecnologie operative quando si verifica un incidente informatico.”
“Le società che amministrano infrastrutture nazionali o catene di approvvigionamento critiche dovrebbero pensare di più alla gestione della continuità operativa e ai controlli per limitare i rischi”, afferma. “Tutto deve partire dalla consapevolezza del profilo di rischio e dalla pianificazione di misure adeguate per gestirlo. In seguito, bisogna eseguire dei test per verificare cosa succede quando si disattivano le reti aziendali, per assicurarsi di poter scollegare le risorse informatiche da quelle operative ed evitare la propagazione del malware.”
Avvicinare l’IT all’OT
Le tecnologie utilizzate per infrastrutture come gasdotti e raffinerie sono molto diverse da quelle di un ufficio. Hanno protocolli di rete e sistemi di sicurezza specifici e sono progettate in modo da bloccarsi in caso di pericolo. Secondo Hodgkinson, una delle principali cause di conflitto nel settore industriale – e il motivo per cui le iniziative di resilienza operativa non hanno successo – è dovuta alla mancanza di interazione tra le tecnologie informatiche (IT) e quelle operative (OT).
I rispettivi reparti non hanno una visione chiara delle sfide e dei flussi di lavoro l’uno dell’altro. Questa situazione deve cambiare a partire dall’adozione di una prospettiva nuova.
“Il problema dipende in parte dal fatto che le minacce informatiche sono viste come qualcosa a sé. Sono un rischio che spetta al team per la sicurezza o al reparto IT e quindi gli altri possono lavarsene le mani”, dichiara Hodgkinson. “Dobbiamo sfatare questo mito. Solo con la giusta comprensione dei flussi dei vari team aziendali e con un’assunzione condivisa dei rischi si possono mettere in atto misure di resilienza adeguate. Quando lavoravo da bp, abbiamo fatto in modo che il team di engineering si mettesse nei panni del team per la sicurezza informatica e viceversa. Grazie a questo scambio tutti hanno acquisito più esperienza e nuovi punti di vista.”
La verità è che ogni team ha le sue priorità. La sicurezza informatica può essere importante per il team di engineering, ma lo è di più la sicurezza degli impianti, che devono essere progettati in modo da fermarsi in caso di pericolo. Una maggiore collaborazione tra i reparti può migliorare l’esecuzione dei controlli e delle strategie nei vari ambienti.
“In fondo dipende tutto dal contesto. Cosa vuole ottenere l’azienda? Quali risultati intende raggiungere? In che modo? Con quali tecnologie? Cosa è importante in termini di riservatezza, integrità e disponibilità?”, conclude Hodgkinson.
Active Directory in un’ottica di resilienza operativa
Active Directory, e Azure AD negli ambienti di identità ibridi, hanno un ruolo centrale nell’attuazione della resilienza operativa.
“Anche se ora è disponibile uno strumento per gestire le priorità tra i reparti, credo che spesso ci si dimentichi di quanto sia importante Active Directory”, fa notare Hodgkinson. “Senza Active Directory non è possibile fare nulla, è il cuore delle attività aziendali, perciò non va considerato come un programma a parte, ma deve essere integrato nella strategia di resilienza operativa.”
Un ruolo attivo nella resilienza operativa
I piani di ripristino di emergenza incentrati sui disastri naturali non sono adatti per affrontare le moderne minacce alla resilienza operativa. Visto che il sistema di identità è cruciale per la business continuity e rappresenta l’obiettivo primario degli autori di attacchi informatici, è essenziale proteggerlo. Per impedire che venga compromessa la resilienza operativa, le organizzazioni devono mettere al primo posto la difesa del sistema di identità.