Cybersecurity: miti e realtà

[QTalks Ep.8]
Cybersecurity: miti e realtà

La sicurezza informatica è l’elefante nella stanza quando si tratta del viaggio digitale di un’utilità? Lo scopriamo nell’episodio QTalks di questo mese su Cybersecurity: Myths & Realities. Con l’implementazione di soluzioni digitali, le utility hanno dati e approfondimenti più granulari che mai. Ma a quale prezzo? I sistemi idrici sono potenzialmente meno sicuri con le nuove tecnologie, come le reti digitali, le operazioni remote, i sensori in tempo reale e l’analisi dell’acquisizione dei dati. Insieme al giornalista ambientale Tom Freyberg:

Roger Caslow, Chief Information Security Officer presso Hampton Roads Sanitation Districts (HRSD)
Paula González Domínguez, Trasformazione digitale presso Acciona
Eric Ervin, Global Cybersecurity Director for Utilities (Power & Water) and Manufacturing presso 1898 & Co., (parte di Burns and Donald)

Qual è l’impatto della digitalizzazione dell’acqua sulle reti?

Tom ha iniziato evidenziando i progressi compiuti verso la digitalizzazione dell’acqua e come ora sia possibile trarre informazioni e dati più granulari grazie ad essa. Ha anche affermato che con l’adozione di nuove tecnologie come le reti digitali, le operazioni remote, i sensori in tempo reale e l’analisi dell’acquisizione dei dati, arrivano nuove domande sulla sicurezza delle reti idriche.

Ha anche sollevato la questione se la sicurezza informatica sia l’elefante nella stanza quando si tratta del viaggio digitale dell’acqua.

Roger ha dato il via alla discussione parlando della sfida del retrofit della sicurezza informatica di fronte alla digitalizzazione dell’acqua, nonché delle sfide di interoperabilità coinvolte per quanto riguarda la moltitudine di sensori di diverse organizzazioni. Menzionando la “fusione di due mondi diversi”, Paula ha sottolineato quanto possa essere difficile mettere insieme le industrie industriali tradizionali e le nuove tecnologie.

Eric ha continuato a discutere di come l’aumento dei dispositivi sparsi in vaste aree geografiche abbia ampliato la potenziale “superficie di attacco” dal punto di vista della sicurezza informatica. Tuttavia, ha anche menzionato il potenziale per progettare la sicurezza nelle iniziative di sostituzione SCADA che stanno accadendo su tutta la linea.

La digitalizzazione dell’acqua sta costringendo a un cambiamento culturale nel settore e a un cambiamento nel modo in cui il personale viene formato?

Tom ha poi continuato a chiedere agli esperti come credono che la resilienza informatica possa essere creata all’interno dei team e come possano essere promosse le competenze e l’esperienza necessarie per sostenere la resilienza informatica.

Roger ha parlato di come, secondo la sua esperienza, la resilienza informatica debba essere addestrata dall’interno e che tutti, dagli ingegneri alle risorse umane e alla finanza, debbano comprenderne la necessità. Ha detto che oltre alla consapevolezza dei dati dei clienti, ci deve essere anche una consapevolezza delle minacce denial of service.

Paula ha sottolineato che con la digitalizzazione dell’acqua arriva il potenziale per più tipi di attacchi e minacce alla sicurezza, il che significa che è necessario un insieme più ampio di competenze per soddisfarle a testa alta. Ha anche menzionato come la cultura della sicurezza possa essere diversa per il personale che lavora negli impianti, dal momento che non hanno avuto problemi di sicurezza e protocolli radicati nel loro lavoro fin dall’inizio. Ciò evidenzia ulteriormente quanto sia importante garantire che tutto il personale sia formato sulle questioni di sicurezza informatica.

Eric ha poi continuato a menzionare come la maggior parte delle aziende di infrastrutture critiche abbia la sicurezza integrata nelle loro dichiarazioni di missione principali e possa attingere al proprio dipartimento IT per iniziare la formazione iniziale sulla sicurezza informatica. Ha anche notato le sfide intrinseche della rapida espansione della digitalizzazione tra gli ambienti operativi e come ciò possa influire sulla protezione delle risorse.

Quali lezioni si possono trarre dai recenti cambiamenti?

Concludendo la sessione, Tom ha chiesto agli esperti di riflettere su eventuali cambiamenti di successo che hanno implementato di recente.

Spiegando come è stato coinvolto nella costruzione del programma di sicurezza informatica presso Hampton Roads Sanitation Districts (HRSD), Roger ha riflettuto su come hanno omogeneizzato la collaborazione con i partner SCADA e DCS per adattare tutto in un unico profilo. Sapendo esattamente con chi stanno lavorando e su cosa ha significato che sono stati in grado di costruire relazioni solide. Roger ha anche menzionato come la selezione di un partner di sicurezza che funzioni meglio per l’organizzazione specifica, piuttosto che uno che funzioni meglio per tutti gli altri, aiuti a garantire una migliore adattabilità alla cultura.

Commentando la condivisione delle conoscenze tra dipartimenti e divisioni, Paula ha sottolineato l’importanza di essere proattivi di fronte alle sfide della sicurezza informatica. Ha affermato che le organizzazioni non dovrebbero aspettare di imparare le lezioni, soprattutto nel settore idrico, a causa dell’impatto reale sulle persone reali, ma sforzarsi di anticipare e imparare come prevenire al meglio il verificarsi di errori.

A seguito di ciò, ha anche menzionato come la sicurezza informatica non dovrebbe essere un esercizio di gocciolamento, ma una priorità a livello di organizzazione che comporta la fornitura di conoscenze, strumenti e formazione pertinenti ai membri di tutti i team.

Infine, per quanto riguarda l’evoluzione del panorama normativo, Eric ha sottolineato quanto sia importante per intere organizzazioni comprendere il cambiamento nella sicurezza informatica, e soprattutto intorno all’aspettativa che tutti abbiano un ruolo da svolgere. Ha inoltre sottolineato quanto sia fondamentale per le organizzazioni garantire che la sicurezza informatica faccia parte del tessuto delle organizzazioni.