È un manuale prezioso per aiutare le piccole imprese con risorse limitate a dare priorità alla sicurezza informatica e ridurre i rischi.

I Cybersecurity Performance Goals (CPG) sono stati recentemente pubblicati dalla Cybersecurity Infrastructure and Security Agency (CISA), una raccolta di pratiche e linee guida IT e OT trasversali per aiutare le piccole imprese con risorse insufficienti a stabilire priorità di sicurezza e ridurre i rischi. Per coloro che sono incaricati di gestire le società di infrastrutture critiche, molte delle quali sono del settore privato e piccole e medie imprese, i CPG potrebbero trasformarsi in un prezioso manuale e una lista di controllo sulla sicurezza informatica.
CISA e altre istituzioni del settore hanno evidenziato una grave mancanza di risorse che ostacola gli sforzi compiuti da queste imprese. Sebbene i CPG da soli non possano risolvere questo problema, rappresentano un valido complemento ad altri approcci che sono convenienti, orientati ai risultati e facilmente implementabili.

Gli aspetti cruciali dei nuovi CPG.

Aiutare a mettere in pratica il NIST Cybersecurity Framework (CSF).
Tutte le organizzazioni che desiderano implementare e aderire a standard e best practice comuni, al fine di gestire in modo più efficace il rischio, sono incoraggiate a farlo e dovrebbero seguire la serie di linee guida del NIST CSF.
Negli ultimi anni è diventato evidente che le piccole imprese responsabili delle infrastrutture critiche hanno meno risorse a loro disposizione e maggiori difficoltà a gestire gli attacchi informatici. Infatti, può essere molto impegnativo per chi non si occupa specificamente di sicurezza informatica implementare qualcosa dopo aver letto una guida tecnica di 400 pagine.
Il rilascio dei nuovi CPG, in questa situazione, rappresenta un primo passo cruciale verso la semplificazione dell'implementazione del NIST. Come "guida rapida", i CPG possono essere utilizzati per identificare e mettere in pratica condotte fondamentali di sicurezza informatica, ha affermato CISA. In realtà, ciascuno dei sette CPG viene fornito con una rappresentazione visiva del risultato desiderato, dei rischi incontrati, delle mitigazioni e della linea d'azione suggerita. Tuttavia, rispetto al set completo di controlli dettagliati nel CSF, ogni CPG corrisponde alle sottocategorie corrispondenti all'interno del framework NIST a un livello molto più "semplice".
Le aziende possono utilizzare le linee guida dei CPG per dare priorità ai controlli che desiderano mettere in atto e per spiegare a dirigenti e ingegneri i vantaggi e i costi di tali controlli.

Potenziare le aziende prive di sicurezza informatica con una vasta gamma di obiettivi.
La maggior parte delle piccole utility che gestiscono gran parte dell'infrastruttura critica del paese sono di proprietà privata e spesso non sono a conoscenza delle vere implicazioni che comporta la crescita della connettività IT e OT, ovvero Information Technology e Operational Technology. Sebbene queste organizzazioni siano consapevoli dei rischi che devono affrontare, i vincoli di finanziamento e un focus primario sui servizi vitali che offrono impediscono alla sicurezza informatica di avere la precedenza su altri fattori.
Queste aziende sono i bersagli perfetti per i criminali informatici e sono l'epitome del binomio "azienda ricca di obiettivi ma povera di sicurezza informatica".
I risultati del sondaggio, "2021 Water Sector Coordinating Council cybersecurity state of the industry", hanno dipinto un quadro cupo della situazione, in particolare per quanto riguarda l'identificazione delle risorse IT e OT sulla rete, le rare valutazioni del rischio, la mancanza di formazione sulla sicurezza informatica e la mancanza di finanziamenti a livello di settore.
L'attacco a un impianto di trattamento delle acque a Oldsmar, in Florida, nel febbraio 2021, ha messo in luce problemi sistemici che minacciano le infrastrutture critiche negli Stati Uniti, comprese le vulnerabilità relative al software legacy e possibilmente all'accesso remoto.
I risultati e i trionfi che i leader aziendali e tecnologici possono ottenere sono delineati con precisione nei CPG di CISA. Gli obiettivi e le liste di controllo associate possono anche aiutare a ridurre il rischio di attacchi che potrebbero compromettere le credenziali predefinite per accedere a sistemi cruciali, il che è più importante.

Cambiamento nella prospettiva della sicurezza informatica.
Gli hacker governativi o i criminali informatici si stanno ora concentrando sulle infrastrutture critiche. Per promuovere i propri obiettivi finanziari o geopolitici, entrambi questi gruppi hanno mostrato la volontà di andare oltre, lanciando attacchi informatici che causano il caos nel mondo reale. Ad esempio, il governo russo intendeva interrompere le infrastrutture ucraine cruciali durante il 2022 utilizzando il toolkit Incontroller.
Le risorse OT meno recenti rimangono spesso esposte al rischio e quindi vulnerabili, nonostante l'elevato rischio rappresentato dagli attacchi ai sistemi cyber-fisici, che possono influire sul mondo fisico e sulla sicurezza pubblica. A causa di questa lacuna, la tecnologia operativa all'interno dei CPG ha ricevuto obiettivi e piani d'azione specifici dal CISA. Infatti, senza questa corretta specificazione, spesso continuiamo a credere che le risorse OT siano sicure o che le pratiche raccomandate dal CPG non debbano essere utilizzate con l'OT.

Ecco alcuni punti CPG che sono cruciali per la tecnologia operativa fin da subito:
Leadership per la sicurezza informatica OT: CISA consiglia alle aziende di nominare un'unica persona per supervisionare la sicurezza delle proprie risorse OT. Ciò consente alle aziende di scegliere tra avere un unico leader, come un CISO, che sovrintende alla sicurezza IT e OT o avere leader separati per ciascuno. È fondamentale assegnare ruoli e titoli all'interno della gerarchia organizzativa che definiscano in modo univoco i compiti relativi alla sicurezza OT e IT.
Formazione sulla sicurezza informatica OT: la CISA raccomanda una formazione annuale specializzata sulla sicurezza informatica incentrata sugli OT perché è consapevole del ruolo speciale che i professionisti possono svolgere nella protezione delle reti e dei dispositivi OT dalle minacce. I professionisti OT dovrebbero quindi disporre degli strumenti e dell'autorità necessari per fungere da prima linea di difesa negli sforzi di un'organizzazione per identificare e ridurre il rischio informatico, anche se è già presente un team per le operazioni di sicurezza. Ad esempio, insegnare agli utenti IT a non fare clic su collegamenti dubbi o ad aprire allegati sospetti è un modo per identificare e mitigare i rischi prima che si concretizzino.
Mitigazione della vulnerabilità: CISA ha formulato raccomandazioni specifiche nell'area della tecnologia operativa per la gestione delle vulnerabilità da parte dei CPG. In realtà, le reti OT non possono sempre essere patchate in modo tempestivo e le aziende hanno sempre più espresso la loro avversione per i tempi di inattività o per il fatto che alcuni dispositivi e sistemi di controllo non possono essere patchati. Fino a quando non sarà possibile applicare correzioni software o aggiornamenti firmware, CISA consiglia di utilizzare la segmentazione della rete e i controlli di accesso per ridurre i rischi.
Accesso e autenticazione: una serie di obiettivi CPG evidenzia la necessità di impostare l'autenticazione a più fattori MFA, rimuovere le password predefinite e implementare credenziali univoche per le risorse. Sebbene alcune risorse OT possano avere credenziali codificate e password condivise, esistono controlli per ridurre molti di questi rischi. Questi controlli includono un livello di astrazione che consente l'accesso granulare basato sui ruoli, riducendo al contempo i rischi legati all'identità delle risorse OT. La tecnologia di accesso remoto sicuro può aiutare i team di sicurezza informatica a raggiungere più obiettivi contemporaneamente.
Va sottolineato che i CPG si allineano strettamente con IEC 62443, un insieme di standard, specifiche tecniche e rapporti che gli operatori del settore seguono per garantire l'automazione industriale e i sistemi di controllo, oltre a mappare gli obiettivi del NIST CSF. Le raccomandazioni OT nei CPG sono strettamente allineate con questo insieme di standard, mostrano una comprensione approfondita delle distinzioni tra sicurezza OT e IT e contribuiscono a una migliore comprensione tra gli ingegneri industriali.

Effetti futuri sull'assicurazione e sulla regolamentazione informatica.

Sebbene i CPG non siano richiesti, ci sono prove e consensi crescenti sul fatto che le forze di mercato da sole non modificheranno la strategia per una migliore difesa delle infrastrutture critiche dalle minacce informatiche.
I CPG di CISA non sono solo un rapido riferimento per le piccole imprese; possono anche servire come punto di partenza per nuovi regolamenti che saranno emanati dalla Casa Bianca e dal Congresso. Le autorità di regolamentazione hanno ora una lista di controllo predefinita che è stata approvata dalla CISA, nonché aree chiave su cui concentrarsi per affrontare questioni importanti come la sicurezza dell'account, l'integrità dei dati e dei dispositivi, la catena di fornitura e il rischio, la risposta e il recupero di terze parti.
Lo stesso vale per le compagnie di assicurazione IT. In effetti, prevediamo che questi attori saranno in grado di utilizzare i CPG come base minima per le migliori pratiche e gli standard che gli utenti devono implementare prima dell'emissione delle polizze.

Al fine di soddisfare le esigenze uniche di vari settori, CISA si dedica a fornire informazioni.
La versione più recente dei CPG dovrebbe essere considerata come la loro iterazione iniziale. Probabilmente ci saranno CPG specifici adattati ai requisiti unici di ciascuno dei 16 settori critici infrastrutturali individuati dal governo federale. È fondamentale continuare a soddisfare le esigenze uniche associate a ciascun settore perché i CPG inclusi in questa prima versione (V1) sono intersettoriali e possono aiutare a guidare la strategia e le decisioni di investimento.
I leader tecnici (e non tecnici) ora hanno un modo per iniziare ad affrontare i crescenti rischi informatici associati alla loro azienda per le imprese ricche di obiettivi ma prive di sicurezza informatica nei settori critici.