Ricerche di mercato sulla sicurezza informatica nel 21° secolo

Proteggere la nostra infrastruttura

Con la crescente importanza globale e l’integrazione dei computer in tutti gli aspetti dell’attività umana, la criminalità informatica è proliferata e ora presenta un serio rischio per popolazioni, nazioni, governi, imprese e infrastrutture critiche.  È stato stimato che le attività criminali generate da Internet costano all’economia mondiale oltre $400 miliardi all’anno. ₁ Il prezzo monetario e i potenziali pericoli di La criminalità informatica continuerà sicuramente a crescere se lasciata incontrollata.

Gli attacchi alle nostre infrastrutture energetiche sono forse quelli potenzialmente più disastrosi. Iniziato da hacktivisti, governi avversari, stati canaglia, fazioni quasi religiose, da soli o in tandem, gli attacchi informatici sono in aumento e in alcuni casi riescono a permeare i perimetri di baluardi infrastrutturali spesso obsoleti o inadeguati.  Le implicazioni di tali sforzi criminali sono inquietanti. Immaginate che gli impianti di trattamento dell’acqua, le condutture energetiche, le telecomunicazioni, i sistemi satellitari, gli istituti bancari e le centrali elettriche vengano disattivati o addirittura distrutti da attacchi informatici. Le conseguenze di tali incursioni potrebbero generare ansia e persino caos tra le popolazioni colpite, mentre le economie risultano gravemente indebolite e danneggiate.

In ogni momento, coloro che stanno dietro questa fiorente criminalità informatica stanno diventando tecnologicamente più avanzati e sono alla ricerca di modi per interrompere, sabotare e compromettere i sistemi infrastrutturali critici in atti di spionaggio, manovre politiche, terrorismo e guerra vera e propria. Solo nel 2013, i funzionari della Homeland Security negli Stati Uniti hanno segnalato 256 episodi di tentativi di criminalità informatica contro infrastrutture critiche, la maggior parte dei quali concentrati nel settore energetico. ₂ L’ex segretario alla Difesa Leon Panetta è arrivato al punto di affermare che gli Stati Uniti stavano affrontando una minaccia che ha definito “cyber Pearl Harbor” e un “momento pre-11 settembre”.  Ha dipinto un quadro terribile di riserve idriche potenzialmente contaminate, di vasti blackout e di treni deragliati con la forza.₃

Esistono una miriade di modi per eseguire attacchi informatici, tra cui malware, virus, worm, spyware, attacchi con password, intrusioni di forza bruta e attacchi DoS (Denial of Service). Questi metodi di attacco informatico possono sovraccaricare o infettare i sistemi di protezione delle infrastrutture critiche, rendendole più facili da penetrare. I sistemi di difesa e le infrastrutture mirate possono essere disabilitati o addirittura distrutti se le metodologie di attacco e gli autori dei crimini informatici non vengono adeguatamente identificati e contrastati.

Il 12 febbraio^th, 2013, il presidente degli Stati Uniti Barack Obama ha pubblicato Ordine esecutivo 13636, "Migliorare la sicurezza informatica delle infrastrutture critiche" che stabilisce che "la politica degli Stati Uniti è quella di aumentare la sicurezza e la resilienza delle infrastrutture critiche della nazione e di mantenere un ambiente informatico che incoraggi l'efficienza, l'innovazione e la prosperità economica, promuovendo al tempo stesso la sicurezza, la protezione e la sicurezza informatica". riservatezza aziendale, privacy e libertà civili”.₄

Questo ordine ha portato alla creazione di un quadro di sicurezza informatica progettato per assistere le organizzazioni nell’affrontare i problemi della criminalità informatica. Questo sforzo congiunto tra il settore privato e il governo si è concentrato sulla creazione di un linguaggio uniforme per la comunicazione e su modi attenti ai costi per implementare misure efficaci di sicurezza informatica. Non sono stati emanati regolamenti diretti relativi all'ordine esecutivo 13636.

Lo ha dato il presidente Obama NIST, il National Institute of Standards and Technology collaborerà con le istituzioni e le imprese direttamente interessate dall'ordine esecutivo allo scopo di creare un piano volontario progettato per ridurre al minimo i rischi di criminalità informatica sulle infrastrutture critiche della nazione.  Tutti questi sforzi sono stati intrapresi al fine di unificare standard e procedure in diversi settori e creare linee guida che potessero essere implementate rapidamente. A tal fine sono state incoraggiate anche la comunicazione e la collaborazione intersettoriale. Il NIST ha presentato una prima bozza del Quadro nel febbraio del 2014 insieme ad una tabella di marcia di accompagnamento che rivelava la direzione futura prevista dall'Istituto per il Quadro.

Com’era prevedibile, gli sforzi per limitare la criminalità informatica, l’hacktivismo, l’attività di terrorismo informatico e la guerra informatica coinvolgono una rete in espansione di agenzie governative e interessi del settore privato. Tra questi c'è NERC, la società nordamericana per l'affidabilità elettrica.  NERC è “un’autorità di regolamentazione internazionale senza fini di lucro la cui missione è garantire l’affidabilità del sistema energetico di massa nel Nord America”. ₅ Responsabile per gli Stati Uniti, il Canada e parte della Bassa California, in Messico, il NERC crea standard di affidabilità e li applica. Si occupa inoltre della formazione e certificazione del personale del settore.

IL CIPC (Comitato per la Protezione delle Infrastrutture Critiche) opera sotto l’egida del NERC. È composto da esperti di sicurezza informatica, operativa e fisica del settore. Comprende anche il Consiglio di coordinamento del sottosettore dell'elettricità (ESCC) che lavora in tandem con il governo federale per sviluppare concetti e risorse progettati per proteggere le infrastrutture critiche e accelerare lo scambio di informazioni vitali riguardanti le debolezze sistematiche identificate.

Il NERC è supervisionato da FERC, la Commissione federale di regolamentazione dell'energia. FERC “è un’agenzia indipendente che regola la trasmissione interstatale di elettricità, gas naturale e petrolio. Il FERC esamina anche le proposte per costruire terminali di gas naturale liquefatto (GNL) e gasdotti interstatali, nonché la concessione di licenze per progetti idroelettrici. “₆   Nel 2005, l’Energy Policy Act ha conferito ancora più responsabilità al FERC, inclusa la promozione della sicurezza, dell’affidabilità e della protezione delle infrastrutture.

Il presidente Obama, parlando alla Stanford University nel febbraio del 2015, ha chiesto che il governo americano e il settore tecnico collaborino per combattere la criminalità informatica. Cercando di ristabilire un senso di fiducia in seguito alle fughe di notizie di Edward Snowden relative alla National Security Administration (NSA), Il presidente Obama ha riconosciuto che gran parte delle infrastrutture critiche e delle reti informatiche del paese si trovano nel settore privato, rendendo necessario lo sforzo congiunto proposto. Ha inoltre sottolineato il fatto che il governo è spesso il primo a ricevere informazioni relative alle minacce alla sicurezza informatica, rafforzando ulteriormente i vantaggi di uno sforzo unificato di lotta alle minacce. Le parole del Presidente potrebbero essere state motivate dai recenti attacchi che si pensava fossero stati perpetrati dalla Corea del Nord. Inoltre, a gennaio si sono verificate attività di hacking che hanno coinvolto il Comando Centrale degli Stati Uniti, Twitter e YouTube commesse da simpatizzanti dello Stato Islamico nella rete jihadista. ₇ Anche Home Depot, JP Morgan Chase e Anthem sono stati oggetto di recenti episodi di hacking. 

I principali consulenti del Presidente hanno rivelato che sono stati creati tre nuovi gruppi di sicurezza informatica. Ciò fa seguito a un nuovo ordine esecutivo che rafforza la capacità della Fed di raccogliere informazioni tra il settore privato e il governo. Le entità inaugurali includono il Cyber Response Group, il Cyber Threat Intelligence Integration Center e il National Cybersecurity and Communications Integration Center. Il futuro vedrà anche il continuo sviluppo di dell'ISAO (Information and Analysis Sharing Organizations) che dovrebbe facilitare notevolmente l’aggregazione di informazioni critiche sulla sicurezza informatica.

Fattori chiave per la conformità NERC

Gli standard di affidabilità del NERC hanno avuto un impatto indelebile sulle società elettriche. Mentre le entità del settore energetico affrontano l’implementazione obbligatoria di questi nuovi standard, i fattori chiave della conformità e dell’attuazione variano a seconda delle dimensioni delle aziende interessate, degli atteggiamenti dei vertici aziendali, della pressione degli azionisti e dell’influenza esterna dei fornitori. Il NERC continua a facilitare la formazione e la certificazione dei professionisti critici della sicurezza, nel tentativo di migliorare le competenze sulla banda larga su tutta la piattaforma e affermare l’impronta della sicurezza informatica all’interno del sistema energetico di massa. Man mano che le capacità tecniche dei criminali informatici crescono, coloro che hanno il compito di proteggere la nostra vulnerabile infrastruttura energetica devono rimanere un passo avanti attraverso la comunicazione intersettoriale e cooperando con il NERC e le relative agenzie governative.

CIP NERC 

La conformità ai CIP NERC aiuta le utility a sviluppare programmi e protocolli di sicurezza per difendere importanti risorse infrastrutturali da attacchi informatici e interruzioni del servizio. Protezione delle infrastrutture critiche (CIP) Le norme definiscono i requisiti essenziali per la conformità e garantiscono che i sistemi di alimentazione di massa mantengano l'affidabilità. I rapidi progressi tecnologici e le crescenti capacità degli aggressori informatici rendono la conformità sempre più difficile e importante. Giunti alla quinta integrazione (Versione 5), gli standard CIP aiutano nell'identificazione delle risorse critiche di un'azienda e aiutano a identificare chi è connesso a tali risorse e quali entità vi hanno accesso. I CIP NERC comprendono protezione logica, sicurezza fisica e controllo di gestione della sicurezza. Le fasi 8 e 9 riguardano una risposta efficace in termini di sicurezza informatica e ripristino di emergenza.

Nonostante questi standard e regolamenti, alcuni ritengono che non si stia facendo abbastanza. Sorgono domande; è sufficiente la semplice conformità? Fornisce davvero la sicurezza e la protezione necessarie che la nostra infrastruttura energetica essenziale richiede nel 21^st secolo? Questo documento continuerà ad affrontare tale questione. 

Il quadro del NIST

Il quadro di sicurezza informatica del NIST ha il potenziale per guidare il comportamento futuro in tutti i settori.  Il Framework è agnostico nel senso che facilita la normalizzazione del dialogo tra le persone che parlano di sicurezza informatica, consentendo la coalescenza attorno a un insieme di idee, concetti e principi.

La Pubblicazione Speciale NIST 800-53 Revisione 4 è un aggiornamento del Framework “motivato principalmente dall’espansione dello spazio delle minacce, caratterizzato dalla crescente sofisticazione degli attacchi informatici e dal ritmo delle operazioni degli avversari (ovvero, la frequenza di tali attacchi, la professionalità degli aggressori e la persistenza del targeting da parte degli aggressori).”₈ 800-53 sta accelerando lo sviluppo di controlli di sicurezza direttamente correlati alla sicurezza delle applicazioni, al mobile/cloud computing e alla difesa della catena di fornitura.

Il quadro NIST è una componente chiave per migliorare la sicurezza informatica delle nostre infrastrutture energetiche critiche. Ha il potenziale per generare il tipo di dialogo necessario per comprendere meglio le minacce di base e il modo in cui i professionisti del settore possono rispondere al meglio a tali minacce informatiche, siano esse minacce avanzate e persistenti o se siano opera di hacker di tutti i giorni.

Spinto a conformarsi

Mentre il settore energetico e altri settori avanzano, la conformità stessa è stata una motivazione principale e un motore del cambiamento per quanto riguarda l’implementazione di misure di sicurezza informatica evolute. Solo le più grandi organizzazioni nel settore del petrolio e del gas, che spesso fanno parte di imprese multinazionali di oleodotti, sono viste come obiettivi attraenti per attacchi informatici su scala globale. Queste sono le aziende che stanno volontariamente andando avanti nel rispetto degli standard di sicurezza informatica. Questo targeting percepito è davvero un fattore trainante. Le aziende più piccole sono meno propense a sentirsi prese di mira e sono quindi motivate principalmente dagli stessi requisiti di conformità.

Influenza della C-Suite

Molte organizzazioni sono guidate principalmente dalle decisioni dei loro dirigenti quando si tratta di conformità al NERC. Ci sono molte lotte di potere all’interno delle organizzazioni interessate su chi controlla cosa e chi ha l’autorità e la spinta per far accadere le cose all’interno di una determinata azienda. Spesso si verifica una disconnessione tra il personale IT e OT, che porta a una mancanza di collaborazione utile. Le normative non possono essere ignorate e forniscono un incentivo alle organizzazioni affinché operino secondo modalità obbligatorie, ma la conformità è diversa dalla sicurezza. Esiste una grande variabilità da azienda ad azienda per quanto riguarda ciò che costituisce la vera sicurezza o se la conformità di per sé sia sufficiente. Coloro che si accontentano della mera conformità possono rendersi vulnerabili agli attacchi hacker e informatici.

Soddisfare stakeholder e azionisti

Il governo e l’industria privata hanno altri da considerare nell’attuazione degli standard NERC. I lobbisti e coloro che rappresentano hanno molta posta in gioco quando si tratta di sforzi di sicurezza informatica, così come gli azionisti delle industrie del settore privato. Entrambi devono essere soddisfatti e riuscirci non è cosa da poco. Il governo è sotto pressione per mantenere bassa la soglia di conformità, il che rende difficile per il settore energetico raggiungerla veramente vero sicurezza contro gli attacchi informatici. Nel settore dei servizi di pubblica utilità, qualsiasi controllo normativo costa denaro, che rappresenta il risultato finale, che a sua volta si ripercuote sull'azionista. Qualsiasi scambio significativo di informazioni richiederà uno sforzo parallelo. Come ha affermato il presidente Obama al recente vertice sulla sicurezza informatica, “Il governo non può farlo da solo. Ma il fatto è che neanche il settore privato può farcela da solo perché è il governo che spesso dispone delle informazioni più recenti sulle nuove minacce”.₉

L'influenza dei venditori

I fornitori stanno tentando di imporre la propria influenza nell’implementazione in corso delle misure di sicurezza informatica nel settore energetico. La maggior parte delle aziende dotate di sistemi di controllo internazionali utilizzano apparecchiature di diversi fornitori.  Questi fornitori incorporano la propria sicurezza e visibilità nei loro prodotti. "Sembra che non esista un'unica entità che stia creando un HDB (sistema di database eterogeneo) per integrare tutti i diversi sistemi di gestione di database e presentare agli utenti un'unica interfaccia di query unificata." ₁₀ Ciò richiede che non solo gli organismi di normazione comunichino con i produttori; coinvolge anche i produttori che dialogano tra loro per creare un consorzio. Tutto considerato, nessuna entità sarà il fattore chiave per la conformità al NERC. Gli utenti finali, gli organismi di normalizzazione e i fornitori di sistemi di controllo internazionali devono unire gli sforzi per ottenere un'implementazione di successo.

Principali influenzatori nella sicurezza del settore energetico

Sebbene il NERC abbia probabilmente la maggiore influenza, anche altre società esterne, organismi di conformità e forum supportano e migliorano le operazioni di sicurezza nel settore energetico. Il NERC è il più forte perché è un’autorità delegata per la Federal Energy Regulatory Commission (FERC). Hanno una supervisione normativa per imporre quali standard di sicurezza dovrebbero essere seguiti e possiedono la capacità di imporre multe che hanno un impatto finanziario significativo. Il NERC ha la capacità di influenzare le aziende elettriche sui social media, di influenzare la cultura aziendale e di influenzare la loro reputazione.  Nonostante la loro evidente influenza, c’è qualche dubbio che il NERC abbia la capacità tecnica per fare ciò che deve essere fatto.

I CIP NERC devono essere rispettati a meno che non esista un'entità nello spazio federale. Alcune centrali elettriche federali, come la TVA e la Bonneville Power, hanno ancora del lavoro da fare. Devono soddisfare gli standard di conformità NERC CIP e soddisfare anche i requisiti e le linee guida FISMA (Federal Information Security Management Act) e NIST (National Institutes of Standards and Technology). Vogliono garantire il raggiungimento degli obiettivi CIP e di controllo del NIST ed evitare di duplicare il processo e di impegnarsi in lavoro non necessario. 

SPIC (la Società per la Promozione della Tecnologia dell’Informazione) a Chandigarh, in India, ha avuto un ruolo importante nello sviluppo di una rete intelligente per la standardizzazione del settore. In Europa, la Commissione Elettrotecnica Internazionale (IEC)”fornisce una piattaforma ad aziende, industrie e governi per incontrare, discutere e sviluppare gli standard internazionali di cui hanno bisogno. Oltre 10.000 esperti provenienti dall’industria, dal commercio, dal governo, da laboratori di test e ricerca, dal mondo accademico e da gruppi di consumatori partecipano al lavoro di standardizzazione IEC”.₁₁ L'IEC lavora in collaborazione con l'Organizzazione internazionale per la standardizzazione (ISO) e l'Unione internazionale delle telecomunicazioni (ITU) integrare e unificare gli standard globali e amalgamare le conoscenze degli esperti del settore di tutto il mondo. 

Che impatto avrà il futuro sugli standard NERC?

La minaccia sempre presente di attacchi informatici, pirateria informatica e spionaggio continuerà a modellare e dettare la futura evoluzione degli standard NERC e delle relative misure di settore progettate per proteggere le infrastrutture energetiche. Altri paesi, governi e fazioni politiche/religiose ostili possono potenzialmente prendere di mira il Nord America e il nostro sistema di potere globale. Questo è certamente un fattore dinamico quando si guarda al futuro della sicurezza informatica negli Stati Uniti e all’estero. I prossimi anni vedranno sicuramente l’avvento di maggiori capacità di rilevamento in tempo reale rispetto all’attuale affidamento su previsioni attendibili e analisi delle tendenze.

Nonostante i recenti sforzi a livello di settore per rafforzare la sicurezza delle infrastrutture energetiche, alcuni ritengono che i sistemi costruiti e implementati oggi non possano resistere agli attacchi informatici di fascia alta. A tal fine, la pubblicazione speciale 800-160 del NIST tenta di definire “processi di ingegneria della sicurezza dei sistemi che sono strettamente collegati e completamente integrati in sistemi consolidati e basati su standard internazionali e processi di ingegneria del software”.₁₂ Operando con il motto "Costruiscilo nel modo giusto, monitorandolo continuamente", hanno avviato un progetto in quattro fasi che consente agli sviluppatori e agli integratori di sistemi di incorporare le pratiche di sicurezza NIST nei loro software e sistemi. Si spera inoltre che 800-160 faciliti un migliore dialogo tra ingegneri di sistema e ingegneri della sicurezza di sistema nell'interesse di ridurre la minaccia di attacchi informatici.

Cambiamento guidato dalla tecnologia

Il tempo non sembra essere dalla parte degli sforzi di sicurezza informatica del settore energetico in Nord America. Gli organismi di regolamentazione stanno cercando di stimolare un cambiamento progressivo, ma i fornitori internazionali di sistemi di controllo sono spesso lenti e le grandi aziende spesso non sono disposte a investire in qualcosa che vada oltre i propri sistemi. Le tecnologie emergenti potrebbero essere gli agenti di cambiamento necessari per risvegliare il mercato e consentire al personale OT di installare prodotti innovativi che non interrompano le loro operazioni. Queste tecnologie consentirebbero inoltre ai professionisti IT di fornire misure di sicurezza adeguate.

Il cambiamento stesso rappresenta un ostacolo per la maggior parte delle grandi imprese del settore energetico privato. Spesso la tecnologia attualmente in loro possesso è operativa da molti anni. Non è progettato per essere integrato con prodotti di sicurezza più nuovi e più sicuri. I nuovi approcci presentati dai fornitori di sicurezza aziendale incontrano spesso resistenza e i nuovi prodotti utilizzati sono un miscuglio di diverse soluzioni aziendali che devono essere adattate per l'integrazione con un sistema esistente.

Idealmente, sarebbe necessario un tessuto tecnologico protettivo che copra l’intera industria energetica, ma ciò richiede un investimento iniziale che pochi sono disposti a fare. Nessuno sta promuovendo l’agenda del consolidamento di questi gruppi IT e OT in modo che possano effettivamente lavorare insieme nell’installazione di nuove tecnologie. Anche un processo rudimentale come l'installazione di patch sugli HMI o su qualsiasi macchina correlata alle operazioni rappresenta una sfida formidabile. NERC versione 5 ha istituito regolamenti sulle patch, ma anche quando il processo è automatizzato, spesso ci vogliono mesi prima che i fornitori approvino le patch e, nel frattempo, le centrali elettriche non sono protette.

Processi organizzativi tradizionali nel ciclo di vita della sicurezza

La mappatura tra agenzie è assolutamente necessaria per rendere i controlli di sicurezza più onnicomprensivi ed efficaci. CIP NERC, controlli ISO 27000, qualunque prodotto le aziende utilizzino per migliorare i propri sforzi di sicurezza informatica; questi si assoceranno a ciò che hanno fatto il NIST o l'ISO?  Diventa necessaria una serie di “migliori pratiche” per trascendere questi standard e controlli disparati. Per i produttori che integrano controlli di accesso, identificazione, autenticazione e crittografia dei sistemi, il processo può essere ancora più complesso. Spesso i codici sorgente e altri elementi di progettazione critici importanti per gli sviluppatori sono inaccessibili; sepolti nell'hardware, nel software e nel firmware dei sistemi a cui non hanno accesso. Per porre rimedio a questa situazione, i controlli NERC CIP, NIST e ISO devono essere integrati fin dalle prime fasi del processo di progettazione e sviluppo del ciclo di vita della sicurezza. In definitiva, la difesa della sicurezza informatica è uno sport di squadra. Le infrastrutture critiche non devono solo essere operative, ma devono funzionare 24 ore su 24, 7 giorni su 7. Ci sono molti attori chiave coinvolti nei settori pubblico e privato e, il lato positivo, è che gli sviluppatori stanno già facendo molte delle cose che devono fare.

Assicurazione per la sicurezza informatica

Progettata per ridurre al minimo le perdite subite da incidenti informatici (furto di dati, distruzione della rete e interruzione del commercio), l'assicurazione per la sicurezza informatica è nelle prime fasi di implementazione. Ciò è già evidente nel settore delle carte di credito e dei pagamenti. Le compagnie di assicurazione sono nelle prime fasi di una campagna per cercare di modellare ciò che a grosso rischio e come sarebbe l’assicurazione se i produttori di energia fossero assicurati contro i rischi informatici. Potrebbe volerci del tempo perché non vi è una proliferazione di dati relativi ai criminali informatici nel settore energetico per creare tabelle attuariali. “Le violazioni della criminalità informatica costano in media alle aziende $1 – $3 milioni di danni, che possono mandare in bancarotta le piccole imprese, incitare cause civili e causare l’imposizione di multe”.₁₃

Gli attacchi informatici potrebbero essere potenzialmente ridotti dalla presenza di un mercato assicurativo per la sicurezza informatica sano.
Gli interessi energetici che istituiscono misure preventive e “migliori pratiche” potrebbero avere una maggiore copertura. Attualmente, molte aziende rifiutano la copertura disponibile perché ritengono che i costi siano proibitivi, sono incerte su cosa verrebbe coperto e sono disposte a rischiare di non diventare il bersaglio di un attacco informatico. Il Dipartimento per la Sicurezza Nazionale (DHS) ha recentemente riunito un ampio collettivo di interessi del settore pubblico e privato “per esaminare lo stato attuale del mercato assicurativo della sicurezza informatica e come far avanzare al meglio la sua capacità di incentivare una migliore gestione del rischio informatico”..”₁₄

Principali influenzatori dell’implementazione della sicurezza informatica

Mentre gli standard di sicurezza NERC continuano ad evolversi e ad essere rivisti, FERC e le società di servizi pubblici forniscono input importanti e commenti costruttivi per promuovere miglioramenti continui.  I fornitori stanno sicuramente guidando lo sviluppo degli standard e fornendo assistenza anche con le linee guida. Quanta influenza ha ciascuna fazione è oggetto di dibattito. Operando con la premessa che ogni idea è accolta con favore ed è valida, coloro che sono disposti a lavorare con gli standard possono in definitiva influenzarli prima che vengano finalizzati. Una volta implementati, non c'è altro che si possa fare se non aspettare che emerga la versione successiva. Alcuni credono che quelli che ottengono il miglior risultato siano quelli che gridano più forte. Molte persone brillanti condividono le loro preziose opinioni in vari comitati e i più influenti tra loro possono davvero influenzare il cambiamento.

DOE e sicurezza nazionale

La maggior parte degli esperti del settore cita il Dipartimento dell’Energia (DOE) e il Dipartimento della Sicurezza Nazionale come i principali fornitori di influenza e supervisione nello sviluppo degli standard e dei regolamenti NERC CIP. Il DOE ha identificato vari laboratori e centri di eccellenza che hanno preso l'iniziativa e si stanno concentrando sul far lavorare persone di qualità in diverse aree del panorama della sicurezza informatica.  Altri gruppi come il NEI possono influenzare notevolmente lo sviluppo degli standard NERC. “I lobbisti della NEI hanno mostrato la loro influenza nel 2014, attirando l’attenzione sulla loro agenda con oltre $2 milioni in spese di lobbying”.₁₅ Queste agenzie e molte altre interagiscono con gli enti del sistema energetico per affrontare questioni urgenti che influiscono sull'infrastruttura energetica della nazione. Le aziende più attive nel processo, in particolare quelle di grandi dimensioni, tendono ad influenzare maggiormente il processo.

Sebbene offrano linee guida utili, l’adesione agli standard suggeriti non è la legge. I servizi pubblici e i venditori hanno suggerito alcune pratiche pratiche standard, ma non sono obbligatorie, quindi le singole aziende decidono se desiderano seguirle o meno. È importante che le società di servizi pubblici e i fornitori siano più attivi nella collaborazione per creare standard e linee guida.  Il NERC e il NIST non possono farlo da soli, sebbene il NERC possa influenzare e, in definitiva, definire i criteri predefiniti.

Influenza delle compagnie elettriche

Il team di redazione del NERC è composto da personale del settore, quindi si tratta di uno sforzo collaborativo. Queste sono le persone reali che svolgono il lavoro quotidiano e forniscono input al team di redazione degli standard. Molti appartengono al settore energetico, che è molto decentralizzato. Le aziende del settore energetico hanno strutture tariffarie diverse nei diversi stati che influiscono sulla loro redditività e su quanto possono addebitare per i servizi che forniscono.

Quando le centrali elettriche devono migliorare la propria sicurezza informatica, ciò richiede un investimento significativo e qualcuno pagherà per questo. I profitti di un'azienda devono essere considerati come parte di qualsiasi discussione sulla sicurezza informatica perché è una realtà aziendale e ci sono parti interessate da soddisfare. Considerazioni finanziarie possono dettare l’implementazione o meno dei controlli di sicurezza e questo fatto deve essere enfatizzato in qualsiasi discussione sull’adattamento di nuovi standard e regolamenti.  La nazione deve assolutamente avere potere.  È uno dei settori più importanti delle infrastrutture critiche perché, come la tecnologia dell'informazione,  trascende tutto. 

L'influenza degli istituti di ricerca

Istituti di ricerca come EPRI, il Cyber Security Center of Excellence e NSCO hanno influenza nello sviluppo degli standard di sicurezza NERC CIP grazie al loro elevato livello di competenza. Le parti interessate di molte organizzazioni diverse si riuniscono al tavolo consensuale per creare la prossima generazione di standard. Naturalmente, ogni organizzazione ha la propria agenda da promuovere e questo, in definitiva, influenza il modo in cui gli standard finiscono, nel bene e nel male. Anche il processo di valutazione pubblica e gli standard secondari svolgono un ruolo nel determinare le specificità delle nuove revisioni dei CIP NERC

La difficoltà della conformità al NERC

Una volta revisionati e concordati, i regolamenti e gli standard CIP NERC vengono implementati nel settore energetico. Sfortunatamente, i team di conformità, i team legali e i manager hanno difficoltà a capire come interpretare con precisione queste raccomandazioni e requisiti. Spesso sono incerti su quali azioni intraprendere. Mentre la maggior parte è disposta e pronta a conformarsi, alcuni trovano difficile discernere il significato ufficiale del linguaggio normativo. Ciò può creare confusione per il personale addetto alla conformità che è costretto a fare affidamento su capricci e interpretazioni vaghe degli standard e dei regolamenti NERC.

IL È UN (Strumentazione, Sistemi e Automazione) fornisce un riferimento esaustivo per linee guida e istruzioni su come implementare le disposizioni del NERC, per garantire che tutti stiano marciando nella stessa direzione. La conferenza sulla sicurezza informatica dell'ISA del 2014 "ha fatto luce su cosa si può fare per proteggere le reti industriali e i sistemi di controllo dai danni gravi e potenzialmente devastanti derivanti dalle minacce informatiche".₁₆

Per contrastare la natura poco chiara dei CIP NERC, molte aziende stanno documentando attivamente come intendono soddisfare, mitigare o conformarsi ai requisiti e sperano che i revisori trovino merito in questa diligente tenuta dei registri. Poiché attualmente sono in gioco così tante interpretazioni, i revisori possono solo verificare se un'azienda ha fatto o meno ciò che aveva dichiarato di voler fare in merito alla conformità al CIP NERC. Alcune centrali elettriche hanno inoltre difficoltà a conformarsi agli standard e ai regolamenti perché non dispongono di prodotti e dispositivi elettronici (come quelli fabbricati da Seimans e GE) che rendono possibile tale conformità. 

L'influenza del NIST e dell'Ir7628

Il National Institute of Standards and Technology (NIST) ha recentemente pubblicato NISTIR 7628 Revisione 1, Linee guida per la sicurezza informatica delle reti intelligenti  al fine di fornire “un quadro completo che le organizzazioni possano utilizzare per sviluppare strategie di sicurezza informatica efficaci su misura per le loro particolari combinazioni di caratteristiche, rischi e vulnerabilità legate alla rete intelligente”.₁₇ Sebbene le linee guida del NIST non impongano la supervisione normativa dei CIP NERC, hanno comunque un impatto nel settore energetico.

Sebbene il NERC sia forse preso più sul serio, gli standard NIST sono regolarmente integrati in molte piattaforme di sicurezza informatica e potrebbero indicare la direzione in cui sta andando la protezione delle infrastrutture critiche. Le opinioni variano sull'importanza del NIST. Poiché la conformità alle linee guida NIST è volontaria, non vi è alcun obbligo per le aziende di seguirle. Inoltre, il mercato dell’energia è estremamente frammentato e molte aziende non dispongono di personale adeguato o dei finanziamenti necessari per implementare molte delle azioni suggerite dal NIST relative alla sicurezza informatica.

Il denaro è probabilmente il fattore più importante nel determinare se le aziende seguiranno o meno il NIST o addirittura il NERC. Considerando le centinaia di priorità che hanno le aziende energetiche, l’impatto sul bilancio dell’implementazione della sicurezza informatica spesso passa in secondo piano rispetto a quelle che sembrano essere preoccupazioni immediate più urgenti. Al di là della sua presenza come a parola d'ordine, l'integrazione del quadro è costosa e spesso non esiste un budget per tali spese. Oltre a ciò, molti dubitano che i fornitori di sistemi di controllo industriale possano fornire soluzioni operative che operano in tandem con prodotti di altri fornitori. Sono cauti nel coinvolgere terze parti. I professionisti della sicurezza sanno cosa devono fare, ma non sanno dove trovare il budget e non sono sicuri di quale tecnologia utilizzare per implementare le buone idee suggerite dal NERC e dal NIST.

I commenti pubblici hanno davvero influenza?

“Individui e organizzazioni in tutto il Paese hanno fornito le loro opinioni sugli standard, sulle migliori pratiche e sulle linee guida che potrebbero migliorare in modo significativo la sicurezza informatica delle infrastrutture critiche”.₁₈ I commenti riguardanti la direzione del quadro di sicurezza informatica sono sempre stati accolti favorevolmente. L’obiettivo finale è fornire alle aziende, ai loro fornitori, ai loro clienti e agli enti governativi un linguaggio e una metodologia comuni per determinare come possono proteggersi al meglio. Che provengano da Microsoft, FERC o da un singolo cittadino interessato con una grande idea, sono tutti trattati con uguale rispetto. Il NIST è principalmente interessato a sapere se l'idea è tecnologicamente valida, economicamente vantaggiosa e se è implementabile.

Occasionalmente, il NIST ha contratti e riceve sostegno da centri di ricerca e sviluppo finanziati a livello federale legati al settore aerospaziale o dall'Istituto per l'analisi della difesa che li aiuta a creare una prima bozza. Una volta completata la bozza, questa viene pubblicata sul sito web dove gli interessi pubblici e privati possono prenderne visione e formulare commenti. Il NERC riassume i commenti che riceve e li pubblica in modo che le persone possano valutare da sole la reazione agli standard suggeriti. Il NIST utilizza un processo di aggiudicazione in cui un team di esperti del settore esamina i singoli commenti e fornisce una risposta. Alla fine, i commenti aiutano il NIST ad arrivare ad un giudizio finale per ogni particolare commento – un processo esaustivo. Ciò che il NIST mira a raggiungere è la normalizzazione del dialogo che avviene quando le persone discutono di sicurezza informatica. Ciò consente una coalescenza di idee, concetti e principi provenienti da vari settori e presenta molte scelte diverse su come viene implementato il Framework. 

Il futuro del NIST

I prossimi anni vedranno la continua attuazione delle cinque revisioni del Quadro che sono state approvate. Le versioni sei e sette sono in arrivo e presenteranno alcuni cambiamenti nel linguaggio per chiarimenti. Escludendo qualsiasi sconvolgimento traumatico nella Beltway, i CIP NERC continuano la loro evoluzione, incorporando standard e dati NIST e aggiungendo ulteriore specificità alle linee guida di implementazione. Gli standard NIST esistono per prevenire attacchi e intrusioni da parte di forze esterne all'interno del sistema energetico e per mantenere il controllo della rete energetica. Quando si tratta di ripristino di emergenza, vengono presi in considerazione tutti gli aspetti del sistema di alimentazione di massa.

Come nel caso dei CIP NERC, le linee guida del NIST sono vaghe e lasciano l'implementazione aperta a molte interpretazioni. Al momento, il NIST rimanda le aziende a molti documenti di terze parti che sembrano lasciare le persone a corto di dettagli. Documento NIST  "La norma IEC 62443-2-1:2010(E) definisce gli elementi necessari per stabilire un sistema di gestione della sicurezza informatica (CSMS) per i sistemi di automazione e controllo industriale (IACS) e fornisce indicazioni su come sviluppare tali elementi."₁₉

Le tecnologie avanzate continueranno a influenzare tutti gli aspetti della vita nel prossimo futuro, con l’hardware e il software dei computer al centro di questa evoluzione. Sarà necessaria una maggiore riflessione sulla realizzazione di prodotti e sistemi di sicurezza informatica man mano che le cose diventano sempre più complesse. È possibile che scienziati e tecnici raggiungano un punto in cui non comprendono appieno ciò che hanno integrato nel loro software. Può diventare così complicato che non capiscono come proteggerlo. Alcuni ritengono che l’industria abbia già superato quel punto. Difendere i sistemi operativi dagli attacchi informatici di oggi e di domani potrebbe richiedere una significativa reingegnerizzazione dell’infrastruttura IT a livello sistemico e di prodotto. 

Ciò richiederà fiducia nei principi, nei concetti e nelle metodologie tecnologiche per costruire componenti e sistemi altamente sicuri. La sfida più grande sarà mantenere gestibili e comprensibili le dimensioni dei futuri sistemi operativi in modo da poter applicare le migliori pratiche. Si spera che vengano sviluppati sistemi più resistenti alla penetrazione. Nel caso in cui un attacco abbia successo e permea un perimetro esterno, il settore energetico deve lavorare per creare una tecnologia che impedisca al malware di distruggere intere centrali elettriche o l’intera rete.

Il futuro della sicurezza in tempo reale

L’industria dell’energia di massa deve affrontare enormi sfide per il futuro. Ristrutturare le reti, segmentarle e implementare la gestione della sicurezza sarà estremamente costoso. Esiste il pericolo che le aziende valutino i costi elevati di hardware, software, licenze e installazione, oltre alle spese per le operazioni e la manutenzione dell'infrastruttura, e li sottovalutino.  In molti casi opteranno per la strada più economica e non disporranno di software di automazione per pianificare la manutenzione ricorrente o richiesta per la conformità. Naturalmente, più grande è l’azienda, più prodotti di sicurezza devono integrare e più complesse procedure devono seguire. Aspettarsi che gli esseri umani gestiscano manualmente i sistemi di sicurezza può essere rischioso, ma nell’interesse dei profitti, molte centrali elettriche rinunceranno a sistemi di automazione più affidabili.

Il mantenimento dei dispositivi di sicurezza informatica è un campo relativamente nuovo. Le aziende elettriche sanno come mantenere operativi i sistemi di trasmissione negli ultimi 50 anni. Sapevano come progettare, proteggere, trasportare energia, connettersi al sistema di trasmissione e distribuire energia. Ora, queste aziende si stanno adattando alle nuove tecnologie e la curva di apprendimento è drammatica. Sono necessari tecnici più compartimentati, come esperti di file, server e rete. Nonostante tutte le difese attuali già in atto, potrebbe non esistere ancora l’infrastruttura in grado di rilevare e contrastare attacchi ad ampio spettro. Sono necessarie maggiori capacità di monitoraggio per formulare una difesa proattiva. Poiché le società di servizi pubblici utilizzano sempre più servizi cloud, dovranno essere più consapevoli dei rischi poiché la penetrazione delle reti intelligenti continuerà ad aumentare

Nel campo della sicurezza è difficile prevedere cosa accadrà tra cinque o dieci anni.  Sicuramente verrà utilizzato un rilevamento più in tempo reale perché le persone vogliono sapere cosa accadrà.  Esistono molte strategie e tipi di attacco che possono verificarsi. Le tecnologie più vecchie come firewall e programmi antivirus tentano di rilevare il malware scoprendo sequenze di codice. I software più recenti di oggi esaminano il codice per rilevare l'attività sovversiva della “catena di uccisione”, ma sono ancora necessari esseri umani per prendere queste informazioni e fare due più due. Sfortunatamente, questo richiede tempo. I moderni prodotti di sicurezza informatica non sono in grado di rilevare un file completo catena di eventi. Possono rilevare malware, ma le violazioni si verificano in pochi istanti e spesso è troppo tardi per attuare misure di contrattacco significative.

I sistemi di difesa in tempo reale di successo di domani saranno in grado di analizzare i dati in ingresso e di rilevare e isolare gli exploit dannosi immediatamente prima che avanzino lungo la kill chain. A questo punto, i sistemi automatizzati o gli esseri umani possono intervenire e intraprendere azioni protettive.

Gestione dell'identità e degli accessi

L’autenticazione dell’identità è ancora un aspetto importante per il mantenimento di misure di sicurezza efficaci nel settore energetico. “Nella sfida di proteggere le informazioni e la tecnologia informatica, e nella sfida di prevenire le minacce informatiche, spesso la mancanza di una forte identificazione è diventata uno dei punti più deboli del meccanismo di difesa complessivo.  Troppo spesso le credenziali esistenti possono essere oggetto di abuso, essere state implementate o gestite in modo inadeguato e portare a gravi vulnerabilità o incidenti.”₂₀

Le organizzazioni si stanno allontanando dal modello ad alto livello di fiducia dell'accesso condiviso, non perché non abbiano fiducia nei propri dipendenti, ma nell'interesse di localizzare l'impatto di eventi accidentali o dannosi. A lungo termine continueranno a cercare di superare i vincoli tecnologici. Le utility continueranno a utilizzare strumenti IT standard come Sysco E Ginepro, ma altri aspetti del loro funzionamento (relè, RTU, PLC) non hanno gli stessi sistemi di protezione. Fino a quando non potranno acquistarlo dai fornitori, potrebbero dover mitigare le minacce con un firewall locale. Informazioni apparentemente innocue come l'ora della rete, l'ubicazione di un centro di controllo, l'indirizzo IP e persino il fornitore scelto per gestire la propria infrastruttura, possono essere importanti per coloro che hanno cattive intenzioni intenzionate a commettere un attacco informatico.

Prevenzione degli incidenti e mitigazione degli imprevisti 

Gli attuali strumenti di sicurezza IT sono configurati per monitorare il comportamento “normale” degli accessi, ma sono deboli di fronte ad attacchi avanzati. Gli avversari non vogliono solo permeare il sistema di controllo, vogliono infliggere danni in una situazione in cui l'operatore non interviene e il sistema di sicurezza non funziona adeguatamente. Gli operatori non possono realmente dire se i dati che vedono sono accurati o se sono stati manipolati perché non esiste alcuna tecnologia disponibile per verificare se le informazioni sono accurate o meno. L’incidente dell’oleodotto San Bruno mette a fuoco i pericoli dei sistemi di sicurezza antiquati e dei dati errati.

“Pacific Gas and Electric Co. … ha lottato per quasi due decenni con un sistema informatico destinato a tenere traccia delle caratteristiche delle sue linee di trasporto del gas naturale, una battaglia che ha portato la società a mancare di informazioni cruciali per comprendere i potenziali punti deboli dei suoi tubi. … Omissioni o errori di immissione dei dati commessi quando il sistema è stato sviluppato – e non corretti – possono spiegare perché PG&E non era a conoscenza del fatto che l’oleodotto del 1956 esploso a San Bruno il 9 settembre, uccidendo otto persone, era stato costruito con una giuntura , secondo documenti e interviste. … Gli esperti dicono che il fatto che il tubo avesse una saldatura continua è un’informazione fondamentale che avrebbe dovuto essere disponibile con un clic del mouse su qualsiasi database di condutture decente”.₂₁

Nonostante la vulnerabilità delle strutture elettriche, il personale di sicurezza sembra comprendere l’importanza della pianificazione di emergenza. Nel complesso la rete elettrica è altamente affidabile, ma quando si verifica un incidente è necessario che i piani di risposta entrino in vigore prima che il malware possa prendere piede e danneggiare i sistemi operativi critici. È essenziale che le persone sappiano esattamente come reagire in una determinata situazione. I piani di emergenza per le centrali elettriche possono includere siti di trattamento alternativi, capacità di comunicazione alternative e strutture di stoccaggio alternative. Questi sono tre livelli su cui in genere ci si concentra.  L’obiettivo finale è superare un attacco e continuare a essere operativi in uno stato debilitato o degradato. Esistono piani di emergenza per quattro principali tipi di minacce, tra cui disastri naturali, cedimenti strutturali, attacchi informatici ed errori di omissione o commissione.

Buchi neri e minacce sconosciute

Le misure di sicurezza informatica vengono costantemente implementate per far fronte alle minacce note alle infrastrutture energetiche, ma il futuro sarà sicuramente pieno di pericoli sconosciuti e “buchi neri” che richiederanno capacità di difesa e risposta innovative. Fortunatamente, ES-ISAC e tutte le reti di comunicazione collaborativa attualmente in atto migliorano le prospettive per mantenere la rete in modo sicuro ed efficace. Le minacce vengono monitorate 24 ore su 24, 7 giorni su 7 e ES-ISAC viene costantemente aggiornato.

Molti sistemi di controllo internazionali, sebbene diversi da quelli installati a livello nazionale, sono collegati a una rete globale di sicurezza informatica. Certo, c’è ancora molta preoccupazione per quanto riguarda i vuoti d’aria, le protezioni primitive e gli unicorni. Il settore energetico dipende da aziende lungimiranti che stanno proponendo soluzioni progressiste per affrontare i problemi di sicurezza esistenti. I criminali informatici possiedono capacità di attacco impressionanti e gli strumenti di hacking a loro disposizione facilitano la ricerca di nuove iniziative di attacco, soprattutto quando si tratta di vecchie apparecchiature nei sistemi di controllo industriale.

Le minacce sconosciute costituiscono tutto ciò che può permeare i perimetri di un sistema di sicurezza. I nuovi sistemi sono così complessi da essere collegati in modi che i loro produttori potrebbero anche non comprendere. Gli utenti finali potrebbero non essere consapevoli del fatto che le interfacce dei sistemi di controllo da loro gestiti sono pubblicamente disponibili su Internet. I criminali informatici possono cercare un particolare sito geografico o un fornitore specifico e violare l'interfaccia utente (HMI) di quel sistema di controllo. Se gli utenti finali non hanno modificato la password standard e il nome utente del fornitore, gli aggressori informatici possono effettivamente avviare le operazioni.

Zero giorni

Sono state condotte numerose ricerche sugli Zero Days, che personificano la vulnerabilità sconosciuta. “…  un “exploit zero-day”…  è un virus o un worm che può sfruttare una vulnerabilità del software che altri, inclusi i creatori del software, non hanno ancora scoperto. Gli exploit zero-day sono rari perché i creatori di software lavorano duramente per garantire il rilascio di programmi che non presentano questo tipo di vulnerabilità.  … quando ne viene scoperto uno all’interno di un malware, ciò suggerisce uno scopo più elevato, qualcosa che va oltre il tentativo di un criminale informatico di sottrarre i numeri delle carte di credito.”₂₂

Un altro tipo di minaccia seria è il “lavoro interno”, creato all’interno di un’organizzazione o di un sistema come una centrale elettrica o un’agenzia federale.  A seguito di un attacco informatico, gli autori del reato possono effettivamente prendere il controllo del sistema e dotarlo di nuove vulnerabilità, che possono successivamente ritornare e sfruttare. Il settore energetico si affida alla tecnologia di base come mai prima d’ora ed è vulnerabile. 

Bastano le telecamere di sorveglianza e i dati di accesso?

Rilevare e scoraggiare la criminalità informatica con le telecamere di sorveglianza standard non è il modo più efficace per proteggere le infrastrutture critiche. Le telecamere sono efficaci quanto le persone che le monitorano e le persone si distraggono facilmente. Le telecamere devono essere abbinate ad analisi che avvisano e allarmano. Questo tipo di tecnologia esiste e può migliorare notevolmente i sistemi di sicurezza esistenti. Il software sta diventando sempre più cogitativo. La manodopera può essere ridotta con le nuove tecnologie, ma è difficile garantire persone con capacità tecnologiche e pagarle abbastanza per trattenerle. Pertanto, vi è un enorme tasso di turnover nel settore energetico. 

I nuovi dipartimenti di sicurezza informatica sono costosi da mantenere e può essere difficile convincere i vertici aziendali e gli azionisti di un’azienda che questi dipartimenti possono essere economicamente vantaggiosi nel lungo periodo. A volte è necessario un incidente costoso per mettere a fuoco questo fatto.

Piattaforme automatiche?   Semiautomatico?

Nonostante la natura sempre più automatizzata dei sistemi di piattaforme IT, la maggior parte degli addetti ai lavori ritiene che in futuro sarà necessaria un’interfaccia umana. Detto questo, quando una grande utility ha diverse centinaia di risorse che la monitorano, non è possibile per due o tre operatori di sicurezza mantenere la sicurezza visiva in quello spazio. L'analisi visiva e i sistemi di allarme automatici continueranno ad essere impiegati sempre di più perché non è possibile per le persone monitorare fisicamente continuamente i flussi di dati per vedere se potrebbero verificarsi aberrazioni. Il futuro vedrà l’utilizzo di più analisi in tempo reale per rilevare gli incidenti mentre stanno accadendo, o per rilevarli in anticipo. Anche in questo caso, molto probabilmente sarà coinvolta un'interfaccia umana per analizzare i dati e riconoscere la fonte di eventuali incursioni e minacce, o per gestire problemi relativi a allarmi multipli, condizioni meteorologiche o persino selvaggina.

Chi deve essere informato sugli attacchi informatici?

Alla fine, gli incidenti si verificano nonostante i migliori sforzi dei team di sicurezza. Si discute se le informazioni relative ai crimini informatici nel settore energetico debbano essere condivise pubblicamente. Molti nel settore sono dell’idea che tale intelligence non abbia interesse ad essere ceduta a coloro che non hanno bisogno di sapere. La maggior parte sembrerebbe preferire che le informazioni siano condivise privatamente tra i servizi di pubblica utilità in modo che, se un attacco è coordinato, possa essere difeso collettivamente. Le società elettriche svolgono un lavoro accettabile condividendo informazioni relative a minacce o eventi di sicurezza che si verificano tra vari gruppi. Negli Stati Uniti ci sono otto regioni ciascuna con supervisione normativa e gruppi di consigli che si diramano da ES-ISAC.

È logico che il settore dei servizi di pubblica utilità condivida le informazioni, ma al momento non esistono molti strumenti per facilitare tale processo. Nella maggior parte dei casi, gli utenti finali divulgano informazioni relative al crimine informatico quando non hanno altra scelta, a causa della pubblicità negativa che può circondare un simile evento. Esiste un consorzio tra alcuni fornitori di sicurezza che è stato creato allo scopo di condividere le informazioni. Inoltre, secondo quanto riferito, Symantec e alcuni altri grandi attori si sono scambiati informazioni di intelligence. Alcuni hanno chiesto la creazione di una versione ICS di questo modello di condivisione delle informazioni, ma potrebbero volerci ancora un paio d’anni prima che tale obiettivo venga realizzato. “Le minacce ai sistemi di controllo possono provenire da numerose fonti, tra cui governi ostili, gruppi terroristici, dipendenti scontenti e intrusi malintenzionati. Per proteggersi da queste minacce, è necessario creare una barriera informatica sicura attorno al sistema di controllo industriale (ICS).”₂₃

Alcuni preferiscono un approccio olistico al problema della sicurezza informatica.  Ciò comporterebbe la creazione di prodotti e sistemi quanto più difendibili possibile e il loro monitoraggio continuo. Anche se tutto è costruito secondo le migliori specifiche possibili, è inevitabile che si verifichi comunque un piccolo numero di attacchi. Comprendere i vari tipi di attacchi informatici e condividere informazioni rilevanti su questi eventi può essere molto prezioso, ma, ancora una volta, la maggior parte delle aziende sarebbe reticente a condividerle a causa dell’effetto dannoso che ciò potrebbe avere sulla loro reputazione. In definitiva è uno sport di squadra. Se esiste una vulnerabilità specifica in una centrale elettrica e gli stessi componenti commerciali sviluppati da un fornitore condiviso vengono utilizzati in tutto il settore, le informazioni distribuite rapidamente potrebbero aiutare altre aziende ad affrontare rapidamente tali vulnerabilità, prima che diventino la prossima vittima. 

La maggior parte del settore energetico sembra ritenere che il pubblico abbia una priorità limitata da conoscere per quanto riguarda gli attacchi informatici. È considerato più importante che agenzie selezionate, comunità tecnologica e fornitori ricevano informazioni critiche in modo da poter prevenire futuri incidenti. Altrimenti sarebbe difficile effettuare un’analisi dei modelli di criminalità informatica o informare i fornitori sui prodotti che potrebbero essere stati compromessi.

Attacchi potenziali

Si è parlato molto della creazione di un centro di raccolta delle informazioni per le aziende del settore energetico in merito alla sicurezza informatica. La rete informatica del Dipartimento per la sicurezza nazionale sta, in effetti, cercando di diventare proprio questo. Le aziende elettriche devono essere a conoscenza di potenziali attacchi di phishing o malware in modo da poter aumentare la loro consapevolezza e lavorare per mitigare queste potenziali minacce.

Condivisione delle informazioni con altri paesi

A volte nell’attuazione delle misure di difesa della sicurezza informatica può essere necessario condividere informazioni con altri paesi, come nel caso dell’Europa e del Nord America dove la stabilità della rete supera i nostri confini politici. Se le singole nazioni monitorano comportamenti scorretti e condizioni informatiche non sicure, sarebbe vantaggioso per loro condividere qualcosa di più che storie aneddotiche con i paesi vicini. Questo è il caso oggi.  C’è una scarsità di informazioni scambiate tra le nazioni riguardo alla sicurezza informatica. Le compagnie assicurative e il settore della sicurezza stanno cercando di raccogliere molti dati statistici, ma molti nel settore energetico continuano a operare in quello che è stato definito, IL età delle storie.

C'è spazio per i venditori esteri?

C’è stata una certa ansia causata dal pensiero della condivisione di informazioni tra i servizi pubblici nel settore energetico e preoccupazioni per gli allarmi di minaccia condivisi tra le nazioni. È sicuro affidare a fornitori esteri lo sviluppo di sistemi di sicurezza progettati per prevenire gli attacchi informatici? Ci sono elementi di xenofobia e paure infondate nella resistenza che queste aziende straniere talvolta incontrano, o è giustificata una certa prudenza? 

Molte di queste preoccupazioni sono state superate per necessità perché le minacce alla sicurezza informatica sono vissute universalmente, in tutto il mondo. In definitiva, la condivisione globale delle informazioni è essenziale. Tuttavia, alcuni ritengono che sia altamente improbabile che i venditori esteri riescano a infiltrarsi nel mercato statunitense. Il settore è radicato e i rapporti commerciali sono di lunga data. La rete energetica funziona a un livello di comfort e fiducia. Ci vorrebbe una terza parte proveniente da un paese d’oltremare con tecnologie e capacità uniche per ingraziarsi il mercato energetico nordamericano e trovarvi favore.

Israele ha creato una forte nicchia e un forte posizionamento di mercato nel settore della sicurezza informatica. Il Paese ha investito molto nel lancio di nuove startup e nella creazione di professionisti di talento nella sicurezza informatica. Il paese ospita ogni anno un’importante conferenza globale sulla sicurezza informatica e ha creato una comunità di “hacker amichevoli” che identificano i bug e vengono compensati con “Bug Bounties”.

Nerc nel mercato della sicurezza ICS

Poiché le infrastrutture industriali critiche continuano a essere minacciate Fiamma, Stuxnet, Drago notturno, E Duqu attacchi, il mercato della sicurezza ICS continuerà ad espandersi. Gli analisti di TechNavio prevedono che il mercato globale dei sistemi di controllo industriale crescerà a un CAGR del 8,15% nel periodo 2013-2018.₂₄ Il NERC continua ad avere una presenza enorme nel settore con oltre 50.000 sottostazioni e diverse centinaia di società di servizi pubblici. Negli Stati Uniti occidentali, il NERC ha quasi 500 servizi pubblici registrati che aderiscono agli standard NERC.

Si stima che il mercato della sicurezza informatica ICS abbia un valore compreso tra $3 e $4 miliardi all’anno. Le società di consulenza e i fornitori di sicurezza aziendale sono i principali attori in questo ambito. Il NERC ha il potere di regolamentazione ed esercita una forte influenza sui settori dei servizi elettrici, del petrolio e del gas, ma ciò È difficile valutare il rapporto o la dimensione del mercato del NERC nel mercato delle soluzioni di sicurezza perché non c’è modo di effettuare una segmentazione adeguata. Molti dei prodotti utilizzati per raggiungere un certo livello di valutazione dei CIP NERC potrebbero essere utilizzati anche per fornire visibilità e fornire funzionalità di gestione della sicurezza in altri settori come quello manifatturiero.

Le sfide per affrontare la minaccia alla sicurezza informatica

Stare al passo con le tecnologie in costante progresso rappresenta un’enorme sfida operativa per le utility del settore energetico. Può essere difficile implementare le “migliori” misure di sicurezza per far fronte alle minacce future quando si verificano costantemente nuovi progressi nella tecnologia di difesa informatica. Inoltre, i sistemi stanno diventando sempre più connessi tra loro, quindi la probabilità che queste reti vengano compromesse o attaccate aumenta in modo esponenziale. “Gli attacchi informatici alle infrastrutture sono diventati una delle principali preoccupazioni per i servizi pubblici dopo il virus informatico Stuxnet del 2010, che gli esperti ritengono sia stato utilizzato da Israele e dagli Stati Uniti per far saltare in aria alcune delle centrifughe nucleari iraniane. La minaccia è stata rafforzata… dalla comparsa di un virus informatico noto come Havex Trojan, che gli hacker sembrano aver utilizzato per attaccare le aziende petrolifere e del gas”.₂₅

È fondamentale che la tecnologia oggi impiegata nelle infrastrutture possa essere aggiornata e integrata con la prossima generazione di sistemi in evoluzione. Alcune aziende realizzano i prodotti più impressionanti, ma non sono compatibili con nient'altro. In parallelo, considera gli iPhone. Quanti iPhone ci sono stati e quanti caricabatterie? È una situazione simile con la sicurezza informatica. Vengono spesi miliardi di dollari per proteggere i prodotti più recenti, ma spesso è necessario riconfigurare le cose perché i prodotti non sono compatibili. Nel frattempo, gli aggressori informatici sono abili nel rimanere un passo avanti rispetto al gioco, quindi i team di sicurezza devono fare del loro meglio per rimanere al passo con la corsa tecnologica nella sicurezza informatica. Non è un'impresa da poco. La grande maggioranza dei servizi di pubblica utilità sta dando priorità agli investimenti per un aggiornamento adeguato. Sfortunatamente, le cooperative più piccole spesso non hanno il capitale finanziario per fare lo stesso.

Strutturazione della manodopera nella sicurezza operativa

In termini di distribuzione della manodopera per le società elettriche e dei loro piani interni per la sicurezza operativa, in genere vi è un Chief Information Security Officer (CISO) e un Chief Information Officer (CIO). “I CIO stanno diventando sempre più importanti nel calcolare come aumentare i profitti attraverso l’uso delle strutture ICT, nonché nel ruolo vitale di ridurre le spese e limitare i danni istituendo controlli e pianificando possibili disastri”.₂₆

Le grandi società di investimento nel settore energetico hanno un CIO con diversi passaggi di separazione dal livello di Senior Director dell'IT. Le aziende più piccole tendono ad avere una situazione valida per tutti; una persona o un piccolo gruppo di persone a capotavola con competenze multisfaccettate nel settore della sicurezza informatica. A volte si tratta di un ingegnere elettrico o di un team di manutenzione specializzato. Alcune organizzazioni assumono o sviluppano un gruppo tecnologico IT industriale o OT operativo in cui viene riunito un team composto da più membri per affrontare i problemi. Negli anni '80 le aziende non avevano dipartimenti IT, ma oggi è un dato di fatto. Le utility stanno costruendo aggregazioni che operano a metà tra i gruppi di controllo e le organizzazioni IT con la speranza di poter comprendere i punti di forza e i problemi di entrambi.

Fornitori di soluzioni di sicurezza e “pensiero esterno”

Le aziende elettriche dipendono molto dai fornitori di soluzioni di sicurezza per il loro “pensiero esterno”. Questi fornitori forniscono servizi di gestione del ciclo di vita e si relazionano bene con persone che comprendono i problemi di compatibilità e il modo in cui vengono distribuiti i prodotti di sicurezza. Poiché le utility non sono aziende tecnologiche, dipendono dai fornitori di sicurezza per fornire le competenze tecnologiche di cui hanno bisogno. Detto questo, le aziende del settore energetico tendono a rimanere con fornitori di cui si fidano con cui hanno lavorato in passato.  Questa lealtà può basarsi su una relazione individuale di lunga data. C'è la tendenza da parte dei servizi pubblici a continuare a utilizzare prodotti con cui il personale ha familiarità perché la formazione per l'implementazione di nuove tecnologie è costosa.

I venditori più influenti

Mentre la maggior parte del settore stesso è reticente a fare nomi quando si tratta di identificare fornitori particolarmente influenti, molte utility cercano un EPC (ingegneria, approvvigionamento, costruzione) o una società di ingegneria come Flur. Tali fornitori sarebbero responsabili della progettazione di un impianto per quanto riguarda calcestruzzo, carpenteria metallica e schemi elettrici. Il sistema di controllo viene spesso offerto per gare d'appalto a fornitori esterni. Un'utilità preparerà le specifiche che riguardano la funzionalità e i tipi di dispositivi a cui si collegano. I fornitori faranno quindi un'offerta per il progetto, competendo con altri fornitori di soluzioni di sicurezza per fornire le specifiche al miglior prezzo. Le aziende del settore energetico devono affrontare problemi di conformità, quindi stanno adeguando le loro linee guida e i contratti sugli appalti per includere la sicurezza informatica nelle loro specifiche.

Soluzioni e prodotti per la sicurezza del futuro

Il futuro vedrà una continua e rapida evoluzione di molte nuove soluzioni e prodotti di sicurezza progettati per affrontare la sfida di difendere le infrastrutture energetiche dagli attacchi informatici. Nella lista dei desideri di molti nel settore energetico c'è una piattaforma integrata per soluzioni di sicurezza che integri le procedure politiche di un'azienda. Diverse piattaforme sono già operative e continuano ad essere perfezionate e migliorate.

Gli aggiornamenti del sistema di controllo sono necessari per le istituzioni e le organizzazioni con una base di codice arcaica o legacy. Soprattutto se il sistema di controllo di una centrale elettrica è operativo da dieci anni o più. Alcuni di questi sistemi potrebbero avere basi di codice vecchie di 20 anni. È improbabile che queste organizzazioni regrediscano e riscrivano ogni riga di codice. Svilupperanno invece nuove pratiche sicure nella speranza di poter dimostrare che l’intera base di codice è sicura. Naturalmente arriveranno inevitabilmente nuovi standard di certificazione che dovranno essere rispettati, il che accelererà l'evoluzione in corso verso il miglioramento della sicurezza della rete.

I fornitori di soluzioni di sicurezza dispongono di dispositivi in grado di rilevare anomalie e aberrazioni nei sistemi operativi necessari per colmare il divario di deficit tecnologico affrontato oggi dalle utility. Questi fornitori possono anche fornire la sicurezza di registrazione degli amplificatori, patching, gestione delle modifiche, MOC (manutenzione della certificazione) e accesso remoto. Potrebbe essere necessario che vari fornitori colmino le esigenze specifiche create da queste lacune tecnologiche. Il fornitore di successo creerà prodotti di sicurezza che soddisfino le specifiche dell’ambiente OT e siano quanto più autosufficienti possibile. Idealmente, dovrebbero svolgere un lavoro migliore nel proteggere le operazioni rispetto a molti altri prodotti di sicurezza messi insieme. Naturalmente, questo compito è più facile da immaginare che da eseguire.

Alcuni nel settore energetico ritengono che molti grandi fornitori di ICS non eccellano in termini di innovazione. Potrebbero avere difficoltà a immaginare come sarà il futuro. I grandi fornitori si concentrano sulla realizzazione di prodotti migliori e più sicuri, ma spesso non riescono a riconoscere che gli utenti finali incorporano prodotti di molti fornitori. Le utility reclamano soluzioni eterogenee che abbiano una visione più ampia dell'intera rete e che non dipendano dalle apparecchiature di un singolo fornitore. “Una delle sfide principali quando si costruiscono reti intelligenti è far fronte al carattere eterogeneo delle tecnologie applicate. Poiché il ciclo di vita del prodotto può durare diversi decenni, la complessità complessiva del sistema aumenterà considerevolmente nei prossimi anni a causa dell’applicazione di numerosi protocolli e soluzioni tecniche diversi. Questa eterogeneità alla fine aumenta le superfici di attacco a una rete intelligente e potrebbe anche portare a una maggiore vulnerabilità”.₂₇

I fornitori di ICS sono tradizionalmente grandi aziende affermate nelle loro modalità operative. Attualmente si registra un certo grado di sconvolgimento nello spazio di mercato che si estende anche al lato dei venditori. Una nuova società chiamata Bedrock Automation sta progettando da zero sistemi di controllo industriale. Stanno affrontando molte delle attuali sfide della sicurezza informatica e stanno tentando di essere innovativi, cosa che i grandi fornitori sono reticenti a fare perché i loro sforzi sono intrinsecamente meno mirati.

Sono molti i fornitori di soluzioni di sicurezza coinvolti nella difesa informatica per i servizi di pubblica utilità, ma non molti lo sono altamente specializzato e focalizzato sulla costruzione di componenti utilizzati nei sistemi ICS. Ciò può essere vantaggioso per coloro che sperano di influenzare la direzione di ciò che i fornitori del settore stanno producendo.

Nuovi prodotti stanno ora entrando nella sfera ICS da tutto il mondo e sono incredibilmente complessi, a volte oltre il punto di essere veramente comprensibili da parte delle aziende che li acquistano. Ciò rende più facile per gli avversari nascondere elementi nei loro prodotti e causare gravi danni ai sistemi operativi e alle strutture del codice. Questa minaccia ha portato le aziende precedentemente insulari a unirsi e formare consorzi con l’intento di creare soluzioni più affidabili.

Contatori intelligenti, prodotti analitici, infrastrutture di gestione chiave e qualsiasi prodotto che aiuti a rilevare l'avanzamento o l'ampliamento delle minacce informatiche; queste sono tutte aree aggiuntive di sicurezza aperte all’innovazione in cui fornitori lungimiranti potrebbero trovare una nicchia o creare brecce in mercati nuovi e vitali.

Il futuro dell'accesso e dell'autenticazione degli ID

Password deboli e software aggiornati raramente sono un tema ricorrente dietro i 48.000 incidenti informatici segnalati al Dipartimento per la Sicurezza Nazionale, tra cui il furto di dati sulle dighe più deboli della nazione da parte di un "intruso malintenzionato" e un incidente in cui gli hacker hanno trasmesso un avviso dannoso su un attacco di zombi tramite diverse stazioni televisive americane, ha rilevato un rapporto del DHS.₂₈

Molti attacchi informatici vengono avviati compromettendo le credenziali o sfruttando password deboli. La gestione dell'autenticazione dell'identità è un componente chiave di un sistema più affidabile. A differenza dei controlli a livello pubblico, operativo e manageriale, i controlli tecnici sono i prodotti che le società di servizi utilizzano per migliorare la propria capacità operativa. Pertanto, quando si tratta di controlli di accesso, autenticazione all'accesso e mantenimento di agenti indesiderati fuori dal sistema, si tratta di controlli che possono essere inseriti solo nei prodotti a livello di fornitore e che diventano l'obiettivo del fornitore.

Autenticazione a due fattori può impedire a un individuo di accedere a un sistema operativo con il semplice inserimento di un nome utente e una password. Nei sistemi ICS contemporanei, i fornitori spesso realizzano prodotti sapendo che in futuro sarà necessaria la manutenzione. Possono fornire una funzionalità di accesso da utilizzare per il personale di manutenzione che è intrinsecamente debole, magari impiegando solo quattro caratteri. Queste password vengono talvolta distribuite con il prodotto e non vengono mai modificate dall'utente finale, rendendo il sistema facilmente infiltrabile da attacchi informatici che sono a conoscenza della password e del nome utente comunemente noti. Questo è un esempio di qualcosa di semplice, risolvibile e non proibitivo in termini di costi che può essere utile per scoraggiare gli attacchi informatici. Anche le password monouso e i token di sicurezza sono mezzi utili per autenticare gli utenti del sistema al momento dell'accesso.

È ovvio che i giorni dell'autenticazione a due fattori sono contati. In un mondo sempre più cibernetico, sarà necessario sviluppare mezzi più sicuri per dimostrare l’identità. “La biometria… rappresenta un cambiamento fondamentale nel modo in cui veniamo identificati. A differenza dell'identificazione tradizionale che devi ricordare o portare con te, la biometria Sono tu, consistente in analisi della voce, modelli dell'iride, corrispondenza delle vene, analisi dell'andatura e così via. Tali tratti sono unici per un individuo e sono incredibilmente difficili da falsificare.”₂₉ La biometria e metodi di autenticazione ancora più sicuri sono all’orizzonte. Il settore energetico si adatterà e si evolverà per affrontare la sfida di annullare le minacce alla sicurezza informatica, ma i settori avversari sono estremamente intelligenti e fanno parte della stessa corsa per sfruttare le nuove tecnologie.

Fattori chiave di acquisto  Nella selezione dei fornitori di sicurezza

Le società di servizi elettrici selezionano attentamente i propri fornitori ICS e soluzioni di sicurezza. Esaminano le storie dei fornitori per avere un'idea del tipo di ricerca che hanno svolto in passato e considerano anche il paese da cui provengono i prodotti e le relative implicazioni. Naturalmente, nel settore energetico sono importanti le relazioni durature e i legami di fiducia.  È improbabile che una grande utility si impegni in una vendita diretta con una piccola startup che sta offrendo qualcosa di potenzialmente dirompente. Nella maggior parte dei casi, una startup dovrebbe passare attraverso un partner di canale come una società di sicurezza o un fornitore di ICS per avere l’approvazione e la credibilità che tali canali possono fornire. 

Molte aziende si preoccupano di soddisfare gli standard NERC e i criteri di conformità. Alcuni sostengono che l’attenzione ultima debba essere rivolta alla sicurezza, ritenendo che il sottoprodotto di una buona sicurezza sia una buona conformità. Ancora una volta, la conformità prevale a causa dei costi elevati legati al raggiungimento della sicurezza. I prodotti di sicurezza forniti dai fornitori devono funzionare bene con vari sistemi di controllo, integrarsi con prodotti e operazioni legacy ed essere convenienti e competitivi.   

Nonostante gli ostacoli, ecco È spazio alle start-up e agli innovatori. Il mercato attualmente non è sicuro ed è alla ricerca di soluzioni praticabili, ovunque provengano. Nuovi sistemi arrivano continuamente. Le aziende energetiche sono alla ricerca di fornitori che abbiano la capacità di sistema di proteggerle e di rispondere rapidamente. Vogliono fornitori che offrano soluzioni praticabili che possano essere prontamente aggiornate al variare della situazione. “Il ruolo di innovatore è caduto sulle aziende che non hanno un’eredità e sono disposte a guardare i problemi in modi nuovi… È un’opportunità per i piccoli venditori di ottenere finanziamenti e intaccare lo spazio della sicurezza”.₃₀

Considerando tutto ciò che è in gioco nella sicurezza informatica, la reputazione dei fornitori è una considerazione importante per le aziende elettriche. Il personale IT/OT e quello di sicurezza fisica partecipa a numerose conferenze ogni anno e la reputazione del fornitore è sempre un argomento di interesse. Si forma un consenso generale su quali fornitori siano buoni e quali siano cattivi. Gli addetti alla sicurezza sono molto consapevoli di chi promette troppo e chi non mantiene, quindi la reputazione è fondamentale.

È possibile fidarsi dei fornitori esteri per quanto riguarda la sicurezza americana?

In un mondo del commercio globale, le aziende energetiche a volte selezionano fornitori esteri per esigenze di sicurezza, ma la decisione di esternalizzare può essere difficile da prendere e può essere problematica quando si tratta di condurre controlli sui precedenti dei fornitori che hanno accesso remoto alle loro spedizioni. . Alcuni lo vedrebbero come una vulnerabilità distinta. Occasionalmente, le situazioni politiche possono impedire alle aziende di selezionare determinati fornitori (esempio: le aziende nordamericane non sono in grado di vendere prodotti in Medio Oriente perché alcuni componenti sono fabbricati in Israele). Le aziende più piccole non sembrano così particolari riguardo all'origine dei prodotti purché svolgano il lavoro.

Attualmente esistono alcuni piccoli fornitori di sicurezza ICS start-up in Italia, Francia e Paesi Bassi. Negli Stati Uniti, pochi di questi forniscono servizi a società di servizi pubblici che possiedono una capacità di risposta agli incidenti sviluppata e matura. Se i fornitori esteri vogliono avere successo negli Stati Uniti, dovranno avere una risposta agli incidenti con sede negli Stati Uniti. I venditori esteri troveranno vantaggioso rispettare i confini geografici e gli interessi di sicurezza nazionale avendo una rappresentanza fisica significativa negli Stati Uniti.

Negli Stati Uniti molti parlano dell’importanza di “comprare americano”. L’industria automobilistica offre un interessante parallelo. Le auto sono costituite da vari componenti costruiti in località di tutto il mondo prima di essere infine assemblati in Tennessee. Quindi è davvero un'auto americana o no? Le aziende energetiche operano in un mercato globale e i produttori stranieri produrranno sempre più prodotti di cui le aziende americane hanno bisogno. Per molti anni, IT, computer e software sono stati prodotti negli Stati Uniti, ma ora c’è più outsourcing e continuerà a proliferare, con aziende come Seimens in Germania che ne è un ottimo esempio. 

Ben presto, potrebbe non avere più importanza la provenienza di un prodotto se è costruito secondo le specifiche ed è affidabile. Gli acquirenti potrebbero non voler inserire prodotti di sicurezza specifici ogni sistema, ma può scegliere di incorporare una varietà di prodotti. In un attacco informatico, un tipo di prodotto diffuso attraverso una rete potrebbe far crollare un’intera infrastruttura. La diversità dei componenti porta ad una migliore resilienza dei sistemi operativi. Qualunque sia l'origine dei componenti, sarà essenziale che i fornitori di soluzioni di sicurezza forniscano ai propri clienti un senso di sicurezza e affidabilità riguardo ai loro prodotti.

Naturalmente, gli Stati Uniti hanno una relazione molto stretta con molti paesi “fly-by”, come quelli del Regno Unito, Canada, Nuova Zelanda e Australia. Questi luoghi hanno anche una stretta parentela con la comunità dell’intelligence e sono abituati a interagire e condividere informazioni.

Rapporti con gli enti regolatori

I fornitori esteri che sperano di farsi strada nel mercato della sicurezza informatica potrebbero considerare vantaggiosi il networking e la creazione di stretti rapporti con le autorità di regolamentazione, tuttavia, potrebbero voler stare attenti a tali interazioni. Esistono politiche e direttive che vietano tali rapporti nell’interesse dei regolatori che mantengono la loro obiettività. Le grandi aziende con molto personale potrebbero interfacciarsi maggiormente con le autorità di regolamentazione, promuovendo i loro vari programmi, ma questo non è così importante per coloro che sono coinvolti nella creazione della tecnologia di base.

Idealmente, i regolatori dovrebbero operare al di sopra della mischia. Hanno un lavoro da svolgere e un settore da regolamentare ed è quello che fanno. Nel mondo della sicurezza informatica, l’imparzialità, la correttezza tecnica, il controllo pubblico e la trasparenza generale sono fondamentali. Niente di meno può influenzare negativamente le relazioni in entrambe le direzioni.

I nuovi fornitori possono prendere piede?

La maggior parte delle persone ha familiarità con i fornitori dominanti nel settore energetico. Shell, Exxon e Chevron sono i leader nel settore del petrolio e del gas. Honeywell e Seimens dominano gli altri come fornitori di sistemi di controllo DCS. Potrebbe essere difficile definire chiaramente un leader del settore, ma una cosa è certa. Le aziende più grandi hanno una posta in gioco maggiore e sono sempre alle prese con questioni più ampie legate all’opinione pubblica.

Per i nuovi fornitori che cercano di affermarsi nel mercato delle soluzioni di sicurezza, può essere incredibilmente difficile. Molte di queste imprese alle prime armi falliscono nei primi due anni. Nonostante la minaccia di attacchi informatici, i fornitori devono ancora affrontare il compito di conquistare i cuori e le menti dei potenziali clienti. Ci deve essere una motivazione convincente che spinga molte aziende energetiche a effettuare investimenti significativi nelle protezioni necessarie per fornire una sicurezza adeguata. “Se il venditore non riesce a identificare l’esistenza di un problema reale e la mancanza di buone soluzioni, probabilmente avrà difficoltà a entrare nel mercato… l’approccio di una startup deve essere promettente e avere la capacità di adattarsi all’ambiente di un’organizzazione. Deve anche esserci la sensazione che il fornitore disponga di un team coeso e sufficientemente agile da rispondere alle mutevoli condizioni del mercato e all’evoluzione delle tendenze della sicurezza”.₃₁

Parte del problema per i fornitori, il settore energetico e la società nel suo insieme è che non esistono parametri chiaramente definiti su cosa sia la due diligence in materia di sicurezza. Le normative in alcune aree aiutano a definire il comportamento richiesto riguardo all’implementazione e al miglioramento delle misure di sicurezza informatica, ma il settore è ancora impantanato in un’area grigia del “dovere fare rispetto a quello bello da fare” e potrebbe ancora dover raggiungere un livello soglia del dolore dove si verifica una catastrofe che cambia la conversazione e rende improvvisamente ragionevole ciò che sembrava irragionevole.

Si Loro possono!

Altri credono che nuovi fornitori intraprendenti possano effettivamente guadagnare quote di mercato nello spazio della conformità. Dopotutto, il mondo è sempre alla ricerca di una cosa buona… qualcosa di nuovo e rivoluzionario. Molti piccoli fornitori costruiscono relazioni preziose perché sono schietti, affidabili, sinceri e trasparenti. Solo perché un’azienda è grande non è necessariamente la migliore. Una piccola azienda con un sistema tecnologico che aiuta veramente può avere successo. Non mancano prodotti, strumenti e GRC impressionanti  (governance, gestione del rischio e conformità), ma sono ancora necessarie persone che possano gestirli e mantenerli. I fornitori che alla fine vinceranno dovranno fornire prodotti che richiedano meno intervento umano e manutenzione. Sono necessari miglioramenti in quest’area e quindi esistono grandi opportunità.

Nonostante questa opportunità, non si nasconde il fatto che raggiungere lo status di go-to-market non è facile. Un nuovo fornitore può avere un buon prodotto, ma consentire la convergenza di IT e OT e soddisfare le richieste e le sfide di organizzazioni specifiche è un compito arduo. Spesso è vantaggioso per un fornitore nuovo e/o più piccolo provare a collaborare con un'azienda più grande nell'interesse di creare nuovi rapporti con i servizi di pubblica utilità. In definitiva, i fornitori dovranno presentare un caso convincente sul motivo per cui la loro tecnologia fornirà vere soluzioni di sicurezza. Il mercato sta aspettando questo tipo di innovazione. Le applicazioni di nicchia rappresentano un’altra area di promettenti opportunità dal punto di vista della conformità. Anche le piccole soluzioni iper-focalizzate hanno un posto nel mercato, ma ancora una volta i fornitori potrebbero aver bisogno di collaborare con un attore più grande.

Soluzioni per ricerche di mercato sulla sicurezza informatica

La sicurezza informatica è una nuova frontiera e la sua importanza nel settore energetico e non solo non farà altro che crescere nei prossimi anni. Le principali aree di crescita riguardano la crittografia, la protezione dei dati, i virus, l'intelligenza artificiale e la blockchain nella sicurezza informatica. La vera minaccia degli attacchi informatici è sempre presente e in aumento poiché coloro che sono intenzionati a creare caos, trarre profitto illegalmente o regolare i conti politici percepiti, continuano ad affinare le proprie competenze e a incorporare tecnologie in rapida evoluzione nei loro arsenali di attacco informatico. I fornitori di soluzioni di sicurezza hanno un ruolo importante da svolgere nella protezione delle infrastrutture energetiche critiche e delle persone che servono. I veri innovatori prospereranno, così come coloro che dimostreranno che i loro prodotti funzionano e contribuiscono alla funzionalità complessiva della rete elettrica della nostra nazione e all’affidabilità della fornitura di energia in tutto il mondo.

I seguenti collegamenti corrispondono alle fonti utilizzate nella creazione di questo documento.

2. http://securityaffairs.co/wordpress/25240/hacking/critical-infrastructure-hackers-targeted-public-utility-scada.html

3. http://usnews.nbcnews.com/_news/2013/02/19/17019005-successful-hacker-attack-could-cripple-us-infrastructure-experts-say?lite

4. http://itlaw.wikia.com/wiki/Cybersecurity_Framework

7. http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

8. http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800_53_r4_draft_fpd.pdf

10. http://en.wikipedia.org/wiki/Heterogeneous_database_system

11.  

12. http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf

13. http://phys.org/news/2014-06-breaches.html

14. http://www.dhs.gov/publication/cybersecurity-insurance

17. http://csrc.nist.gov/publications/nistir/ir7628/nistir-7628_vol3.pdf

18. http://www.whitehouse.gov/blog/2013/10/29/seeking-comments-preliminary-cybersecurity-framework

20. http://www.leadersinsecurity.org/events/icalrepeat.detail/2015/01/29/84/-/-.html

24. http://www.marketwatch.com/story/global-industrial-control-systems-ics-security-market-2014-2018pdf-2014-08-28

25. http://news.yahoo.com/smart-technology-could-utilities-more-vulnerable-hackers-013153609–finance.html

27. http://www.jocm.us/uploadfile/2013/0827/20130827022712405.pdf

28. http://www.welivesecurity.com/2014/02/05/weak-passwords-and-ancient-software-left-u-s-government-data-vulnerable-dhs-report-finds/

29. http://www.pbs.org/wgbh/nova/next/tech/biometrics-and-the-future-of-identification/

30. http://www.darkreading.com/small-vendors-driving-innovation-in-security-venture-capitalists-say/d/d-id/1134669

Materiale di origine aggiuntivo:

http://itlaw.wikia.com/wiki/Cybersecurity_Framework

http://www.dw.de/at-cybersecurity-summit-obama-asks-tech-sector-to-help-government-fight-hackers/a-18257609

https://news.vice.com/article/what-the-hell-is-going-on-with-the-new-us-cybersecurity-initiative

http://www.dhs.gov/protective-investigations-program-0

http://www.quora.com/Do-you-agree-that-real-time-attack-detection-is-the-future-of-cyber-security

http://www.securitymagazine.com/articles/85752-the-most-influential-people-in-security-2014