A ottobre 2018, Daniel Ehrenreich, esperto di sicurezza della “tecnologia operativa” (OT), ha pubblicato un breve articolo su LinkedIn con l’immagine che accompagna questo articolo.
In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti legati alla sicurezza della tecnologia “operativa”.
Il termine OT (Operational technology) è definito, dal sito Gartner, come “l’insieme di hardware e software che rileva o causa cambiamenti attraverso il monitoraggio o il controllo diretto di dispositivi fisici, processi ed eventi di un’impresa”. È usato per elencare un vasto insieme di strumenti, inclusi quelli ICS (Industrial Control Systems) e SCADA.
Daniel Ehrenreich asserisce che la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity), parametri evidentemente diversi da quelli della sicurezza informatica. Per questo la “convergenza di sicurezza IT e OT” non è realizzabile e la promuovono solo consulenti di sicurezza IT che cercano di estendere il proprio mercato senza averne le competenze.
È necessario ricordare che la sicurezza OT deve includere elementi ignorati da chi si occupa dei sistemi informatici “di ufficio”.
Per esempio, quando si tratta di sistemi OT è necessario considerare elementi come:
Al di là della complessità tecnica, è importante riconoscere la differenza di sensibilità necessaria per affrontare le due materie.
Un classico esempio, forse una leggenda metropolitana, è fornito da un esperto di “sicurezza informatica” che voleva fosse impostata una password nel sistema di blocco in emergenza di un macchinario. Inutile specificare perché avesse torto.
Più complesso è comprendere che le tecnologie usate possono essere molto diverse rispetto a quelle IT e così le architetture da realizzare per assicurare la sicurezza ed efficienza dei sistemi OT.
Il post su LinkedIn esprime forse concetti troppo estremi. Infatti, anche la sicurezza OT deve considerare la riservatezza, per esempio delle ricette e dei progetti, che possono essere recuperati dalle macchine.
È innegabile, però, che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo vale, per esempio, quando si tratta di sicurezza delle informazioni (orientata alla protezione di un’organizzazione), di sicurezza dei dati personali (orientata alla protezione degli interessati) o di qualità del servizio informatico (orientata alle aspettative del cliente). Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle “convergere”.
L’articolo di Daniel Ehrenreich si trova all’URL https://www.linkedin.com/pulse/itot-cyber-security-experts-daniel-ehrenreich.
L’immagine di copertina è di SCCE – Daniel Ehrenreich.
Articolo a cura di Cesare Gallotti
Al pari delle altre prove scientifiche, la digital evidence esige di essere trattata con estrema…
“La sicurezza è un processo, non un prodotto. I prodotti offrono una certa protezione, ma…
Per comprendere come difendersi da potenziali attacchi malevoli è necessario studiare come questi avvengano. Per…
Il Cybersecurity Lab di ZTE Italia, inaugurato nel 2019, è un pilastro fondamentale nella strategia…
Il mondo funziona grazie ai dati. Indipendentemente dal settore (sanità, finanza, PA, istruzione, ecc.) tutte…
Se da un lato la potenzialità investigativa offerta dalle nuove tecniche dell’informatica forense comporta un…