La convergenza tra IT e OT migliora i processi, ma bisogna saper gestire e mitigare i rischi

Fino a qualche anno fa Information Technology (IT) e Operational Technology (OT) erano mondi completamente separati e svolgevano attività molto differenti o quanto meno avevano obiettivi molto diversi: la missione principale dell’OT era (ed è) la continuità operativa delle macchine e degli impianti, mentre il focus principale dell’IT è sempre stato orientato all’efficienza e alla sicurezza della rete informatica aziendale. Diversi sono anche le tecnologie, i protocolli di comunicazione e persino i device utilizzati dall’uno e dall’altro: l’IT è sempre attento a standardizzare e uniformare per massimizzare l’efficienza della gestione, oltre che costantemente aggiornato nella lotta alle minacce cyber; mentre l’OT, ancorato alle peculiarità di ogni singolo e specifico macchinario o impianto, è rimasto a lungo avulso dalle evoluzioni informatiche.

Per esempio, nel primo i protocolli di comunicazione sono sostanzialmente standard (con TCP/IP che fa la parte del leone), mentre nel secondo ve ne sono, a oggi, più di 100 attivi e solo negli ultimi anni sono sorte iniziative volte alla standardizzazione (Open platform communication unified architecture, Opc-Ua). Inoltre, molti di quelli utilizzati nei più comuni Industrial control system (Ics) sono affetti da quella che potremmo definire “insecurity by design”, poiché progettati ed entrati in operatività prima ancora che nascessero le esigenze di cybersecurity.

È altresì importante ricordare che gli asset presenti nell’OT sono normalmente molto più longevi di quelli dell’IT: questi ultimi, costosi e spesso progettati per uno specifico processo industriale, sono anche difficili da sostituire, cosa che si rivela poco conveniente se non a fine vita (un impianto industriale ha una durata operativa media di 20 anni, a dispetto di un device IT la cui vita media attesa è inferiore ai cinque anni). Ciò rende quasi impossibile standardizzare e uniformare gli asset nell’OT: sia perché all’interno di un contesto industriale vi sono quasi sempre macchinari e impianti realizzati o acquistati in tempi diversi sia perché è quasi mai possibile (a causa delle loro peculiarità e specificità) aggiornare quelli esistenti all’ultimo modello disponibile.

A ciò aggiungiamo che, a differenza dei device dell’IT (quali server, Pc, tablet, smartphone), per gli asset dell’OT la configurazione informatica (intesa come registro delle versioni e dei build software e firmware, aggiornamenti e patch del sistema operativo e dei software applicativi) è poco o quasi mai gestita, così come sono raramente implementate le più elementari misure di protezione (antivirus, antimalware, controllo dell’accesso alle periferiche). Difatti, essi non sono stati mai oggetti di protezione verso i cyber attacchi, poiché godevano di una intrinseca protezione dovuta al loro isolamento dalla Rete internet e alle loro specificità e peculiarità, che li rendevano noti e accessibili a un ristretto numero di tecnici specializzati (security through obscurity). Tutto ciò ha fatto considerare a lungo gli asset dell’OT come fonte di Shadow IT, risultando in un loro isolamento rispetto alla rete IT.