Una difficile convergenza tra sicurezza informatica e processi aziendali

Gli aggiornamenti di sicurezza sono indispensabili, ma si dovrebbe determinare prima, in base alle esigenze operative dell’azienda, se il roll-out è fattibile.

 

Nel 2020 è stata scoperta un’altra grande vulnerabilità nei sistemi operativi Window:, SMBGhost. Si tratta di una vulnerabilità che sfrutta lo stesso protocollo utilizzato da WannaCry – con conseguenze potenzialmente catastrofiche. Lo stesso protocollo WannaCry che ha colpito nel 2017 migliaia di aziende e organizzazioni, e che rende evidente quanto i sistemi e le postazioni di lavoro che non vengono aggiornati con le patch di sicurezza sono più vulnerabili ai cyberattacchi.

Va riconosciuto però, che gli aggiornamenti sono doppiamente impegnativi: da un lato, occorre mantenere un elevato livello di sicurezza, dall’altro, è necessario tener conto delle esigenze operative dell’organizzazione in questione. Sebbene la ragion d’essere degli update è proprio quella di rimuovere bug e vulnerabilità, a volte anch’essi presentano la loro parte di limitazioni. Ad esempio, nei settori industriale e OT, la distribuzione degli aggiornamenti può avere effetti avversi come prolungate interruzioni della produzione. A causa dell’entità del potenziale impatto, i cicli di manutenzione devono quindi essere preparati e pianificati con molta attenzione. Anche negli ambiti che esulano dai meri ambienti operativi e industriali, alcuni aggiornamenti possono influire su funzionalità e prestazioni di alcune applicazioni, limitare la disponibilità di un sito web o la produttività degli utenti per un certo periodo di tempo. Considerando tutti questi aspetti, il tema dell’aggiornamento appare tanto complesso quanto paradossale.

Quindi, perché fare gli aggiornamenti?
In effetti il tema ha rilevanza strategica ed è molto dibattuto. Prima di distribuire gli eventuali aggiornamenti, si dovrebbe determinare in base alle esigenze operative dell’azienda se il roll-out è fattibile. Taluni aggiornamenti possono infatti essere estremamente complessi o addirittura, in alcuni casi, non conducibili. Il controllo e la pianificazione anticipata sono quindi due fattori importanti ai fini della riduzione di potenziali interruzioni dei servizi.

Ad esempio, l’aggiornamento automatico delle postazioni di lavoro impiegate per tradizionali compiti d’ufficio è un’attività che in ambienti OT critici non può funzionare: idealmente, per evitare gli effetti indesiderati dell’aggiornamento, si dovrebbero effettuare test in ambienti di prova: alcuni update possono rendere una data applicazione incompatibile con sistemi operativi più datati, per cui l’aggiornamento non può essere eseguito. Ci sono anche vecchie applicazioni aziendali essenziali, che girano solo su sistemi operativi obsoleti. In questo caso, i fornitori devono aiutare le aziende ad implementare gli aggiornamenti trovando insieme il modo di ridurre al minimo e, ove necessario, impedire ai sistemi interessati di comunicare in rete fino a quando l’applicazione non potrà essere aggiornata, poiché la mancata installazione di aggiornamenti rende i sistemi IT estremamente vulnerabili ai cyberattacchi.

Alberto Brera, Country Manager Italy, Stormshield

Promuovere la “cultura dell’aggiornamento”

Sebbene l’importanza degli aggiornamenti sia sempre più percepita e accettata, le organizzazioni fanno ancora fatica a comprendere chiaramente i pericoli derivanti dal mancato aggiornamento. Troppi credono ancora di non essere sufficientemente interessanti per i cybercriminali o ritengono le proprie infrastrutture scevre dal rischio di un attacco informatico, specie in ambito OT, dove la “cybercultura” non è ancora sufficientemente diffusa.

L’educazione e l’evangelizzazione da parte dei fornitori e dei produttori di dispositivi sono quindi essenziali per aumentare la percezione del rischio nelle aziende. Per facilitare questo processo potrebbe essere utile condividere e comunicare esempi concreti e casi reali in cui sono state sfruttate vulnerabilità. Oltre ad un’ampia condivisione di queste informazioni, i fornitori dovrebbero anche supportare il processo di applicazione degli update e fornire informazioni accurate sui nuovi aggiornamenti. Ciò guiderà i clienti, che saranno in grado di identificare chiaramente se si tratta di un bug fix o di una patch di sicurezza. A volte il produttore dovrà presentare i rischi e quindi giustificare gli aggiornamenti proposti per incoraggiare le aziende. Il cliente, infatti, sarà sempre tentato di dare priorità alla continuità della produzione rispetto a qualsiasi altra cosa.

L’implementazione degli aggiornamenti e le relative procedure (frequenza di aggiornamento, decisione di attivare o meno gli aggiornamenti automatici, ecc.) sono di responsabilità del personale IT: solo loro, e non il singolo utente, sono nella posizione migliore per valutare i potenziali problemi causati dagli aggiornamenti e per gestire correttamente il roll-out di un aggiornamento a livello aziendale. Di conseguenza, i responsabili IT svolgono anche un ruolo primario nella promozione di una “cultura dell’aggiornamento” essenziale nelle aziende che puntano su ambienti operativi, hardware e applicazioni sicure.

Autore: