Sistemi di controllo industriale, ecco i rischi cyber emergenti
Un report di Lloyd’s, CyberCube e Guy Carpenter, descrive i tre scenari più plausibili attraverso cui un attacco informatico in ambito Ics potrebbe generare gravi perdite assicurate
Il rischio informatico è in continua evoluzione, il che significa che gli assicuratori devono comprendere i rischi emergenti per stare al passo con le esposizioni dei loro clienti. Per questo i Lloyd’s, assieme a CyberCube e Guy Carpenter, hanno condotto un’analisi che descrive nel dettaglio tre scenari che rappresentano i percorsi più plausibili attraverso i quali un attacco informatico contro i sistemi di controllo industriale (Ics) potrebbe generare gravi perdite assicurate. Tutti e tre gli scenari analizzati, sottolineano gli autori dello studio, hanno precedenti storici, e il report descrive come potrebbero verificarsi gli eventi più gravi. Lo studio, in particolare, ha preso in considerazione quattro settori chiave dipendenti dai sistemi Ics: produzione, spedizioni, energia e trasporti. Relativamente a ciascuno di essi sono stati esaminati i precedenti storici e i potenziali impatti futuri.
“Un evento OT – si legge nello studio – potrebbe plausibilmente innescare una perdita che porta a danni alla proprietà e alla perdita di vite umane in una struttura, e portare a estese indagini forensi, operazioni di ripristino e, se necessario, a richiami di prodotti per limitare ulteriori danni”. Tuttavia, rassicura il report, al momento è poco probabile che si verifichino presso più siti eventi capace di generare danni property molto diffusi, interruzione dell'attività e risvolti in termini di costi umani.
Le continue tendenze di maggiore adozione del cloud nelle operazioni industriali, la convergenza di IT e OT e la proliferazione dell’IoT e della cosiddetta smart manifacturing “possono aggravare i problemi di sicurezza e aumentare i profili di esposizione”.
Un cambio di prospettiva
“Il potenziale di pericoli fisici – si legge nello studio – rappresenta un importante punto di svolta per il più ampio ecosistema (ri)assicurativo cyber. In precedenza era stato ritenuto improbabile che questo rischio potesse avere un impatto significativo sul mercato, visto che le minacce informatiche tradizionalmente emergono sotto forma di perdite non fisiche”. Tuttavia il divario tra information technology (IT) e operational technology (OT, tecnologia operativa), insieme alla crescente diffusione dell’automazione e alla sofisticazione di coloro che mettono in atto gli attacchi. Sottolinea lo studio, rendono fondamentale che i (ri) assicuratori considerino attentamente come possono verificarsi le maggiori perdite e i potenziali impatti.
I percorsi plausibili e quelli preferiti
Come accennato, Lloyd’s, CyberCube e Guy Carpenter hanno collaborato per sviluppare una visione dei sinistri assicurati del settore informatico a partire da una serie di diversi scenari informatici. Gli scenari proposti si basano su attacchi contro Ics cyber e fisici. Utilizzando uno schema, il report illustra i percorsi di attacco “plausibili” e quelli “preferiti” che costituiscono la spina dorsale di quella che originariamente era la ricerca per sviluppare uno scenario realistico di disastro (realistic disaster scenario, Rds). Sono stati inclusi diversi scenari illustrativi che possono essere utilizzati dai sindacati dei Lloyd’s per comprendere e misurare i rischi informatici operativi emergenti.
I tre scenari plausibili considerano: 1) un attacco malware mirato alla catena di approvvigionamento, in cui i malintenzionati violano un produttore di dispositivi e compromettono i prodotti di quel produttore prima della distribuzione; 2) un attacco mirato alla vulnerabilità dell’Internet of Things (IoT), in cui gli aggressori sfruttano una vulnerabilità in dispositivi IoT ampiamente utilizzati che si trovano in ambienti industriali; 3) l’infiltrazione di reti IT industriali per attraversare l’air-gap di OT.“Un evento OT – si legge nello studio – potrebbe plausibilmente innescare una perdita che porta a danni alla proprietà e alla perdita di vite umane in una struttura, e portare a estese indagini forensi, operazioni di ripristino e, se necessario, a richiami di prodotti per limitare ulteriori danni”. Tuttavia, rassicura il report, al momento è poco probabile che si verifichino presso più siti eventi capace di generare danni property molto diffusi, interruzione dell'attività e risvolti in termini di costi umani.
Gli aspetti chiave
“Lo studio – scrivono gli autori – fa luce su un ambiente in cui, fino a oggi, la stragrande maggioranza delle istanze si è basata sull’IT e non su processi fisici. Crediamo di essere a un punto di svolta in cui il potenziale per le minacce informatiche di colmare il divario tra IT e OT sta diventando sempre più evidente”.
Il report mette in evidenza una serie di aspetti chiave emersi dall’analisi. In primis, c’è il fatto che “il rischio di un incidente cyber-fisico Ics è in aumento, soprattutto per le singole entità”. È inoltre probabile che “un singolo attore affiliato a uno Stato nazionale o uno stesso Stato nazionale dispongano delle risorse e del livello di sofisticazione tecnica necessari per un attacco dannoso orientato agli Ics”. Un attacco mirato contro un sito industriale in attiva in un settore di importanza strategica, o di straordinaria rilevanza economica o sociale (o una qualsiasi combinazione di questi fattori) sarebbe estremamente significativo: si tratta, ad esempio, dei settori chiave citati all’inizio: produzione, energia, trasporti e spedizioni. Le continue tendenze di maggiore adozione del cloud nelle operazioni industriali, la convergenza di IT e OT e la proliferazione dell’IoT e della cosiddetta smart manifacturing “possono aggravare i problemi di sicurezza e aumentare i profili di esposizione”.
Ambiti ancora non del tutto conosciuti
Il report si conclude formulando una serie di raccomandazioni e suggerendo potenziali aree di interesse per il mercato dei Lloyd’s, ma anche per chiunque sia interessato alla gestione o alla sottoscrizione dell’esposizione informatica.
“Si consiglia – si legge – di continuare la ricerca e di concentrarsi sullo sviluppo e sul miglioramento della gestione dell’esposizione e degli standard di sottoscrizione in un'area emergente del rischio informatico i cui confini devono ancora essere definiti”. Il mercato assicurativo ha una ricca legacy nell’adattamento ai rischi emergenti e alle tendenze in evoluzione. “Man mano che il rischio di perdite cyber-fisiche cresce – conclude il report – è essenziale che il mercato sviluppi prodotti e le expertise per servirlo”.© RIPRODUZIONE RISERVATA
👥