Aggiungere sofisticate tecnologie di sicurezza a una rete industriale non gestita è sperpero. Si deve partire dalle basi.

L’industria manifatturiera italiana ha da sempre avuto una grande attenzione per l’ottimizzazione della produzione. Abbiamo sempre spinto sull’innovazione, cercando l’efficienza degli impianti che oggi, complice anche Industria 4.0, sono sempre più intelligenti.

L’informatica è entrata in produzione, la fabbrica si è digitalizzata e di conseguenza la superficie d’attacco si è dilatata.

Tuttavia, la rete di fabbrica (OT) non è la rete d’ufficio (IT). L’aggiornamento dei sistemi operativi segue i ritmi di macchine che vivono a lungo, protocolli di comunicazione proprietari, accessi di terze parti, impossibilità tecnica di installare agenti di sicurezza. Non possiamo comportarci come abbiamo imparato a fare sugli endpoint IT.

Proprio in questo scenario, i fondamentali della sicurezza diventano legge. Sicurezza intrinseca e separazione fisica, concetti spesso trascurati, qui rappresentano il vero punto di svolta.

Il timore del fermo produttivo, costo tangibile e molto più chiaro all’imprenditore rispetto ad altri costi, ha risvegliato il mercato. Dove c’è paura, c’è offerta. Dove c’è produzione c’è budget. Ed ecco esplodere la moda delle soluzioni OT.

Prodotti luccicanti e promesse di visibilità e remediation miracolose. Soluzioni che promettono di sanare architetture traballanti con un rivestimento digitale ad alto costo.

I vendor spingono tecnologie all’ultimo grido, le reti OT sono un far west. Apparati di terze parti, accessi di manutentori esterni, dispositivi installati all’insaputa di tutti.

Occorre fermarsi. Esiste un principio di realtà che nessun software aggira.

La tecnologia non corregge gli errori di architettura.

Installare sistemi avanzati su una rete piatta, non gestita e priva di segregazione è un esercizio di vanità. Equivale a installare un sofisticato sistema di sorveglianza in una casa priva di porte. Vedrete i ladri in alta definizione mentre entrano, ma qualsiasi mezzo per fermarli non potrà che limitare i danni e non più evitarli.

Molti propongono l’acquisto di oggetti che promettono sicurezza evitando il lavoro “sporco”. Invece la chiave è proprio in questo lavoro a basso valore economico ma ad alto valore intellettuale.

Riportare la rete ai livelli base di sicurezza significa tornare al Layer 2, alle fondamenta dell’edificio.

Prima di cedere alle sirene del mercato, consolidate i fondamentali della network security by design:

• Segmentazione e segregazione della rete: L’ambiente è diviso in compartimenti stagni? Una minaccia può muoversi lateralmente compromettendo l’intero impianto produttivo o si ferma ad un singolo macchinario / una singola zona della rete?

• Network Access Control (NAC): Autenticazione all’Edge e profili assegnati dinamicamente. Sappiamo davvero chi entra e dove può andare, o ci affidiamo alla speranza?

• Sicurezza Intrinseca: La rete è costruita per essere sicura o la sicurezza è un ripensamento?

• Principi di Least Privilege e Need to Know: Limitiamo l’accesso di utenti e dispositivi ai soli protocolli necessari? Tutti possono avere accesso indiscriminato oppure gli accessi sono basati sull’identità aziendale e sul ruolo?

Molti System Integrator ignorano questo approccio per forma mentis, non voglio dire per convenienza economica. Chi vende prodotti cerca problemi adatti alle sue soluzioni. Chi proviene dalla cultura della sicurezza di rete, come noi, osserva l’infrastruttura e parte da lì.

L’approccio corretto spesso è per sottrazione, non per addizione. Prima si riduce la superficie d’attacco lavorando sull’architettura esistente: pulire il segnale, definire i perimetri, blindare l’accesso.

Solo successivamente, caso per caso, si integra la tecnologia puntuale per i rischi residui.

Non fatevi spillare budget per strumenti che non siete pronti a governare. La sicurezza reale è silenziosa, invisibile e risiede nelle fondamenta.

Tutto il resto sono le luci del centro commerciale.

Ale

Alcune cose che, se ti va, possiamo fare insieme:

Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.

Prenota una chiamata »

Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.

Colleghiamoci »