La conformità alla NIS2 negli ambienti OT passa per lo Zero Trust e la segmentazione di rete

Negli ultimi anni gli ambienti OT sono diventati sempre più interconnessi e per questo richiedono misure di sicurezza robuste in grado non solo di proteggere i dati, ma anche di garantire l’integrità della produzione. Con la direttiva NIS2, le aziende che dispongono di ambienti OT sono chiamate a rafforzare le loro difese e proteggere efficacemente gli ambienti di produzione connessi.

Tony Fergusson, CISO di ZScaler, spiega che garantire la sicurezza degli ambienti OT è un processo che comporta sfide significative: i macchinari in uso hanno una durata di vita di 30-40 anni, quindi le tradizionali misure di protezione non sempre sono adeguate. Bisogna anche considerare che le reti OT affrontano cambiamenti complessi a causa della natura continua dei processi produttivi, e per questo molte aziende rinunciano a modernizzarle.

Un altro fattore di rischio deriva dall’accesso di fornitori terzi agli ambienti per scopi di manutenzione: fornire accesso VPN alle reti IT a questi fornitori comporta dei rischi di sicurezza intrinseci, ma le imprese non possono rinunciare agli interventi di manutenzione remota.

La convergenza di IT e OT introduce indubbiamente una serie di nuove minacce alla sicurezza e permettono agli attaccanti di spostarsi più facilmente negli ambienti di produzione; occorre quindi individuare approcci innovativi che si adattino alle caratteristiche dei nuovi ambienti.

Proteggere gli ambienti OT con nuovi approcci di sicurezza

Fergusson sottolinea che il modello Zero Trust offre un approccio promettente per migliorare la sicurezza degli ambienti di produzione complessi. Basandosi sul principio dei privilegi minimi consentiti, questo modello consente di implementare controlli di accesso granulari a livello di applicazione e segmentazione per i sistemi di produzione e le macchine, riducendo così la superficie di attacco e il rischio di movimento laterale.

Anche la segmentazione gioca un ruolo fondamentale per proteggere gli ambienti OT: i nuovi approcci sono in grado di proteggere il traffico orizzontale all’interno dell’infrastruttura di fabbriche e campus senza interrompere la produzione.

Fergusson porta l’esempio della soluzione di Airgap Networks, un approccio di segmentazione agentless basato su un’architettura proxy DHCP intelligente che isola dinamicamente ogni dispositivo in base all’identità e al contesto. La soluzione sfrutta il machine learning per analizzare il traffico dati e determinare quali device devono comunicare tra loro, isolando i gruppi in diverse sottoreti.

Anche i criteri di accesso possono essere gestiti in maniera automatica: l’analisi del traffico consente di creare profili che definiscono esattamente quali dispositivi sono autorizzati a comunicare tra loro, semplificando la gestione per i team IT.

Le implicazioni della NIS2 per gli ambienti OT

La direttiva NIS2 impone requisiti specifici per la sicurezza OT: entro il 17 ottobre le aziende europee, in particolare quelle che gestiscono infrastrutture nazionali critiche, devono implementare nuove misure rigorose per proteggere i propri ambienti.

La direttiva impone valutazioni complete del rischio e l’adozione di misure appropriate per mitigare i rischi identificati, oltre alla capacità di rilevare, rispondere e segnalare rapidamente gli incidenti di sicurezza. Le imprese devono inoltre disporre di sistemi adeguati per monitorare i flussi dati. 

Infine, le aziende devono implementare misure tecniche e organizzative per garantire la sicurezza delle reti e dei sistemi informativi; il modello Zero Trust, sfruttando il principio del minimo privilegio, può contribuire allo scopo.

Le tradizionali misure di sicurezza non possono più proteggere gli ambienti OT dalle nuove minacce informatiche; per questo è essenziale affidarsi a tecnologie di segmentazione innovative e architetture Zero Trust per contrastare attacchi sempre più sofisticati.