Oggi si può affermare con discreta certezza che qualsiasi organizzazione orienta le sue scelte e il suo modus operandi sulla base del rischio. Almeno così dovrebbe essere secondo qualsiasi norma cogente, standard o best practice di una certa rilevanza.
Per quanto il concetto stesso di rischio possa un’interpretazione in sia in positivo sia in negativo, possiamo dire che la seconda è quella prevalente e se ci riferiamo all’ambito della sicurezza è anche l’unica.
Questo ha comportato lo sviluppo e la progressiva diffusione di una varietà enorme di metodologie concepite per analizzare e valutare il rischio in diversi contesti e in un futuro molto prossimo ognuna di esse rischia, per diverse ragioni, di rivelarsi inadeguata, nella migliore delle ipotesi, o fallace, nella peggiore.
Zero Trust in ambito OT: come mitigare la debolezza dei sistemi industriali basati sulla fiducia
Indice degli argomenti
Le metodologie e la sfida della grande convergenza
Il processo che interconnetterà tutte le tecnologie digitali sembra irreversibile. Il mondo delle reti IT e OT, dell’universo rappresentato dall’IoT e da ambiti, che molti considerano dei domini a sé stanti come quello della mobilità, stanno rapidamente convergendo, producendo il sistema più complesso che il genere umano abbia mai creato.
Dal punto della sicurezza sia esse fisica o logica si manifesta una proliferazione di minacce e vulnerabilità senza precedenti, a fronte di un perimetro i cui contorni vanno sempre più rapidamente sfumando.
In questo gioca un ruolo chiave la complessità delle supply chain e dei prodotti/servizi che essa fornisce. Un esempio emblematico è il settore dell’automotive in cui l’auto da semplice mezzo di trasporto si sta trasformando in una piattaforma di molteplici servizi.
In questo ambito convergono come minimo i car-maker, le utilities, le società di telecomunicazioni, gli operatori finanziari per i sistemi di pagamento, i gestori delle infrastrutture stradali, gli erogatori di servizi accessori e di intrattenimento. Ognuno di essi trascina con sé una filiera di fornitori immensa e capire “chi è responsabile della sicurezza di cosa” non è cosa banale.
In questa situazione pensare di svolgere quell’attività preliminare a un’analisi dei rischi che consta nell’identificazione del perimetro potrebbe atterrire qualsiasi risk manager, che avrebbe una seria difficoltà anche soltanto a rispondere alla semplice domanda: “Quale è l’asset che devo prendere in considerazione?”
Se le definizioni non bastano più
Tanto potrebbe bastare a mettere in crisi la stragrande maggioranza delle metodologie che definisco “asset-centriche”.
Le stesse definizioni base fornite da molti standard di riferimento potrebbero non reggere alla prova dei fatti. La descrizione contenuta nella ISO 27002, riferimento per information e IT security, per cui l’asset è qualunque cosa abbia un valore per l’organizzazione soffre di un “eccesso di applicabilità” nel quadro della grande convergenza.
Anche il precisare che, nello specifico, si parla di informazioni e attività e processi di business come beni primari aiuta poco, soprattutto perché quelle che poi sono indicati come asset di supporto comprendono hardware, software, network, il personale e, come, e peraltro si chiarisce che si tratta solo di esempi.
Gestione dei rischi in ambito OT: come affrontarli nei diversi settori
Se invece guardiamo al mondo OT e alla ISA IEC 62443, rileviamo che vengono presentati concetti come “Zone”, ovvero un insieme di asset logici e fisici raggruppati sulla base del rischio o di altro criterio (criticità asset, collocazione, funzionalità, etc.) e di “Conduit”, cioè un insieme di canali di comunicazione che condividono dei requisiti di sicurezza comuni connettendo due o più zone.
La norma definisce quindi “System Under Consideration” l’insieme delle Zone oggetto dell’analisi di rischi. Una visione che al massimo può consentire un’analisi dei rischi che potremmo definire “locale” o “di progetto”, ma molto lontana dal poter offrire una visione adeguata a un’intera organizzazione.
Si tratta di due esempi che, però, visti nella prospettiva della grande convergenza dicono qualcosa di molto importante: pensare di analizzare i rischi con metodologie che garantiscano un’alta granularità sarà impossibile per la vacuità del perimetro e per una seconda e fondamentale ragione.
Informazioni: avere tutto è come avere niente?
Dopo una battaglia durata millenni, finalmente il genere umano può affermare che fondamentale nessuna informazione va perduta. Le tecnologie dell’informazione ci stanno permettendo di conservarle tutte o quasi, tanto che da anni siamo entrati nell’era dello Zettabyte ovvero 1021 byte.
Di questi ordini di grandezza parliamo quando si parla di dati oggi: alcune unità sono quelli che circolano in rete, mentre di quelli esistenti si misurano già in decine o, secondo alcuni, in centinaia.
Entro pochi anni potremmo fare il salto nell’universo dello Yottabyte (1024). Avere tutte le informazioni è non di rado equivalente a non averne alcuna. Si verificano così situazioni che paiono assurde come l’impossibilità dichiarata dal mondo assicurativo di effettuare un’adeguata valutazione del rischio per definire il premio assicurativo di una polizza cyber.
Ma se le informazioni ci sono tutte, come è possibile? Perché mancano quelle “giuste” o forse ci sono, ma non si sa dove trovarle, perché gran parte degli zettabyte che conserviamo sono basi dati destrutturate o disperse e non connesse.
Zero Trust in ambito OT: come implementare una soluzione ZTA
L’eccesso di informazioni all’interno di organizzazioni complesse, per contro, finisce per spingere chi si occupa di analizzare i rischi a delle semplificazioni per fare in modo che tempi e costi dell’attività sia compatibili con le esigenze dei diversi stakeholder siano essi di business o autorità di controllo. In questo caso si fornisce un quadro macroscopico, ma che può essere poco attendibile.
In fondo per mettere in ginocchio un’intera azienda può bastare un clic nel posto sbagliato. Siamo alle prese con un circolo vizioso in cui un perimetro sfumato produce sempre più dati e interconnessioni, trascinandoci in una complessità non analizzabile, almeno da noi esseri umani
L’IA e la tolleranza del rischio
La risposta, però, sembra oggi a portata di mano. L’impressione che hanno suscitato in tutto il mondo le imprese di ChatGPT lasciano presagire che gestire la complessità sia possibile, mettere insieme il puzzle da un miliardo di pezzi che è l’analisi e la valutazione del rischio potrebbe non essere impossibile. In fondo potremmo concentrarci sui rischi che attengono soltanto all’intelligenza artificiale e poi delegare.
Un sistema adeguatamente addestrato, con pieno accesso a tutte le informazioni dell’organizzazione e a una certa quantità, anche molto grande, di fonti OSINT potremmo fare un lavoro straordinario.
Su questo possiamo avere pochi dubbi, ma dovremmo accettare un rischio, molto preciso e nemmeno tanto piccolo: non essere più in grado di capire e valutare le “ragioni per cui” a causa di quella che comune si definisce come l’opacità dell’algoritmo. Questo potrebbe portare a una conclusione paradossale, come è stato notato da molti analisti di intelligence, per cui i decisori dovranno sviluppare una maggiore tolleranza al rischio di sbagliare.
Non si può dire che alla storia della tecnologia manchi il senso dell’ironia.
