In che modo i produttori possono raggiungere la conformità nella tecnologia operativa (OT)

La conformità normativa è una sfida sempre più ardua per i produttori, poiché gli enti governativi e le organizzazioni di standardizzazione aumentano i requisiti per la gestione e la sicurezza della tecnologia operativa (OT).

Uno dei problemi fondamentali è che i produttori raramente aggiornano i sistemi OT o di controllo industriale (ICS). Ad esempio, i produttori raramente aggiornano i computer che operano ai livelli 2, 3 e 3.5 del Modello Purdue. Questi dispositivi eseguono il software di monitoraggio e di controllo specifico su Windows o Linux e interagiscono con gli oggetti fisici o i materiali ai livelli Purdue 0 e 1.

Negli ambienti industriali, la stabilità dell'ambiente di produzione è fondamentale. Il rischio che un aggiornamento possa interrompere l'interazione tra i dispositivi di livello 2 e 3 e quelli di livello 0 e 1 è troppo elevato per la maggior parte dei produttori. Un'interruzione della connessione potrebbe bloccare del tutto un sistema produttivo. Potrebbe anche costare al produttore il certificato di conformità e portare a multe e sanzioni.

Non rispettare le normative può avere gravi conseguenze finanziarie, ma la conformità non è solo una questione di rispetto di obblighi previsti dal governo. L'esecuzione di sistemi OT conformi alle normative è anche un buon modo per i produttori di garantire che i loro sistemi siano resilienti e che possano sopravvivere alle minacce informatiche in costante evoluzione e proliferazione.

White paper

La tua azienda è pronta per la conformità NIS 2?

Scoprilo ora

Tra le numerosi normative per la conformità riguardanti la resilienza digitale dei sistemi di produzione, ecco le tre più importanti che pongono sfide per i produttori:

La direttiva NIS 2 (Network and Information Systems) è una normativa dell'Unione europea che mira a migliorare la sicurezza di rete e dei sistemi informatici in tutta l'UE. Si basa sulla direttiva NIS originale e introduce requisiti più rigorosi per un gamma più ampia di settori, tra cui energetico, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, infrastruttura digitale e pubblica amministrazione.

Rispetto alla prima versione della NIS, la NIS 2 si applica a una gamma più ampia di soggetti. La direttiva NIS originale si concentrava sui settori critici, come l'energia, i trasporti, l'acqua, il settore bancario e finanziario, il sistema sanitario e le infrastrutture digitali. La NIS 2 si applica a una più ampia gamma di soggetti, compresi quelli che operano nei settori dell'approvvigionamento idrico e alimentare, dei servizi postali e di corriere e dell'infrastruttura digitale. La direttiva impone valutazioni dei rischi, report sugli incidenti e implementazione di misure di protezione e sicurezza dei dati.

Questa normativa prevede sanzioni finanziarie per le non conformità e per i dirigenti di organizzazioni che violano tali requisiti. Il mancato rispetto della NIS 2 può comportare sanzioni pecuniarie significative, che variano da uno Stato all'altro, ma possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, a seconda di quale sia il valore più alto. La NIS 2 è anche una questione personale: i dirigenti possono essere ritenuti responsabili finanziariamente e persino penalmente per non aver rispettato le normative.

ISA/IEC 62443 è una serie di norme internazionali per la sicurezza dei sistemi di automazione e controllo industriali (IACS). Ampiamente seguita nel settore industriale, fornisce un quadro per la protezione dei sistemi dalle minacce informatiche.

Queste norme si concentrano sulla protezione dei sistemi ICS, utilizzati in vari settori, tra cui produzione, energia e infrastrutture critiche. Include linee guida per la valutazione del rischio, le politiche di sicurezza e le misure tecniche per la protezione dalle minacce informatiche.

Questo insieme di regole volontarie, ma ampiamente seguite, non specifica l'ammontare delle multe per la non conformità. Tuttavia, il mancato rispetto della norma ISA/IEC 62443 può portare a gravi conseguenze. Tra queste:

• Sanzioni per la non conformità con norme che fanno riferimento a ISA/IEC 62443, inclusa la NIS 2.

• Contratti persi a causa di offerte scartate nel caso in cui i produttori non siano in grado di attestare la conformità.

• Violazioni contrattuali quando la conformità è una clausola del contratto.

• Maggiore rischio di cause legali.

• Difficoltà nell'ottenere una copertura assicurativa contro i rischi informatici.

Il programma Cybersecurity Maturity Model Certification (CMMC) è un quadro normativo istituito dal Dipartimento della Difesa degli Stati Uniti (DoD) per garantire che gli appaltatori e i subappaltatori nel campo della difesa garantiscano un livello soddisfacente di Cyber Security Il programma mira a rafforzare la Cyber Security del settore industriale della difesa (DIB) e a proteggere le informazioni sensibili non classificate.

Il CMMC garantisce che i fornitori e i subappaltatori rispettino specifici standard di Cyber Security, che possono diventare estremamente complessi a seconda del tipo e della sensibilità delle informazioni che gestiscono. Il framework è progettato per migliorare progressivamente le misure di Cyber Security e ridurre il rischio di violazioni dei dati e di accessi non autorizzati.

Il mancato rispetto dei requisiti CMMC può avere conseguenze negative, tra cui la perdita di contratti governativi e danni alla reputazione di un produttore in un mercato in cui la sicurezza e l'affidabilità sono fondamentali.

Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento completo sulla protezione e il trattamento dei dati attuato dall'Unione Europea nel maggio 2018. Si applica a qualsiasi organizzazione, indipendentemente dalla sua posizione, che elabora i dati personali di individui che risiedono nell'UE. Il GDPR stabilisce rigorosi requisiti relativamente al modo in cui i dati personali devono essere raccolti, elaborati, archiviati e cancellati. Le organizzazioni devono ottenere un consenso chiaro per l'elaborazione dei dati, fornire informazioni trasparenti sull'uso dei dati e garantire che siano in atto valide misure di sicurezza.

La non conformità con il GDPR può comportare gravi sanzioni pecuniarie. Per le violazioni più gravi, il regolamento stabilisce multe fino a 20 milioni di euro o il 4% del fatturato globale annuo di un'azienda, a seconda di quale sia più alto. Le violazioni di minore gravità possono comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo.

Esistono sistemi OT per gestire la produzione nel modo più efficiente e con le minori interruzioni operative possibili. A differenza dei sistemi IT, i sistemi OT non richiedono costanti aggiornamenti per continuare a funzionare correttamente.

Molti produttori eseguono sistemi OT su Windows XP, un sistema operativo che ha quasi 25 anni e che Microsoft non supporta più dal 2009. Microsoft non rilascia patch di sicurezza o correzioni di bug per Windows XP da oltre un decennio e mezzo.

Sul fronte della conformità, molte normative impongono funzionalità di protezione dei dati che i sistemi OT più vecchi non hanno; inoltre l'aggiornamento dei sistemi sarebbe troppo paralizzante perché i produttori possano prenderlo in considerazione. Il ripristino dei dati e dei sistemi è un punto particolarmente critico. Molte normative prevedono che gli ambienti OT dispongano di piani che consentano un ripristino rapido, ma molti sistemi industriali mancano di soluzioni di backup automatizzate.

La mancata esecuzione di backup dei sistemi OT può comportare pesanti sanzioni pecuniarie per la mancata conformità, oltre a conseguenze come la cancellazione di contratti. Può anche portare ad altri esiti negativi, tra cui la perdita di reputazione e la mancanza di fiducia da parte dei clienti e dei partner della catena di approvvigionamento.

Un attacco informatico che mette fuori uso i sistemi per giorni o settimane potrebbe causare gravi danni finanziari a un produttore o addirittura metterlo fuori mercato. I produttori hanno la necessità di riprendersi immediatamente dagli incidenti con dati affidabili e sistemi di produzione funzionanti. Quindi, la conformità non è solo una maniera per evitare multe o sanzioni. Si tratta di uno strumento di misurazione che i produttori possono utilizzare per garantire che i loro ambienti OT siano sicuri e possano essere ripristinati rapidamente dopo un'interruzione causata da attacchi informatici, guasti hardware, problemi del software o errori dell'operatore. 

In definitiva, i produttori conformi sanno di poter contare su una resilienza operativa che consente di ripristinare rapidamente le attività e riprendere la produzione, indipendentemente dalla causa dell'interruzione operativa.

I produttori necessitano di capacità di backup e ripristino conformi che offrano resilienza senza costi in termini di interruzioni operative o impatti negativi sulle operazioni. Acronis Cyber Protect for Operational Technology offre funzionalità che consentono ai produttori di sviluppare resilienza e soddisfare i requisiti di conformità:

• La capacità di backup automatizzata si allinea con i requisiti di resilienza stabiliti dalle normative NIS 2 e IEC 62443.

• Funzionalità di backup forense che preservano le prove digitali dei dati prima di un incidente.

• Cyber Security e backup integrati che semplificano la preparazione per la creazione di report e audit.

Altre caratteristiche che sono essenziali per la la conformità della produzione di conformità comprendono:

Universal Restore: Universal Restore consente di ripristinare sistemi operativi, applicazioni e dati legacy su nuovo hardware con i driver necessari installati. I produttori possono eseguire il backup e il recupero dei sistemi su nuovo hardware, anche se l'originale era in esecuzione su un sistema molto datato.

Ripristino con un clic: con il ripristino con un clic, il personale non IT, ad esempio ingegneri OT a livello di impianto senza alcuna competenza IT, possono ripristinare rapidamente i sistemi OT guasti pochi minuti dopo un incidente. I produttori possono ridurre le interruzioni operative e riattivare i sistemi di produzione senza dover attendere che l'IT centralizzato invii un tecnico.

Backup senza interruzioni: Acronis Cyber Protect for Operational Technology effettua i backup senza mettere offline o riavviare un sistema OT, in modo che i processi di resilienza digitale critici non interrompano la produzione

Gli organi di governo e gli enti di standardizzazione probabilmente non semplificheranno la confomità alle normative per i produttori. Anzi,, continueranno a inasprire i requisiti e ad aumentare le sanzioni.

Ma la conformità non riguarda solo come evitare multe e sanzioni. I produttori conformi sanno che hanno bisogno di resilienza aziendale per sopravvivere agli incidenti senza costose interruzioni. Acronis Cyber Protect for Operational Technology offre backup e ripristino automatizzati di cui i produttori hanno bisogno per bilanciare la resilienza con l'operatività.