Infrastrutture critiche: requisiti dell'IT Security Act 2.0

1. Aprile 2022
| Non ci sono commenti
Infrastrutture critiche: requisiti dell'IT Security Act 2.0

Condividi post

Infrastrutture critiche (KRITIS) nel contesto degli attacchi informatici: tutte le misure di protezione sono in linea con il nuovo IT Security Act 2.0? L'IT Security Act 2.0 ha comportato adeguamenti significativi per gli operatori di infrastrutture critiche.

I produttori e le utility nei settori dell'energia, dell'acqua, della finanza e della sanità, nonché le aziende industriali sono sempre più presi di mira dagli aggressori. Il risultato: perdite di produzione per milioni e colli di bottiglia nella fornitura, fino a mettere in pericolo la vita umana. Esempi recenti includono attacchi al più grande oleodotto degli Stati Uniti, all'autorità sanitaria irlandese e un incidente a una sottostazione croata che ha portato l'Europa sull'orlo di un blackout elettrico.

Gli attacchi KRITIS richiedono un'azione

Gli attacchi informatici alle amministrazioni comunali tedesche, come ad Anhalt-Bitterfeld, Schwerin e Witten, hanno evidenziato anche la vulnerabilità delle autorità tedesche, dove gran parte dei sistemi informatici si è guastata o ha dovuto essere chiusa in caso di emergenza. La rapidità con cui la produzione alimentare può arrestarsi è stata resa evidente dall'attacco informatico al terzo caseificio austriaco, in cui sono state colpite tutte le aree dell'azienda, dalla produzione alla logistica e alla comunicazione.

Inoltre, l'attacco all'impianto di trattamento delle acque sotterranee di Oldsmar in Florida ha dimostrato le conseguenze potenzialmente pericolose per la vita di un'infrastruttura critica compromessa. Gli aggressori sono penetrati con successo nel sistema informatico che controllava l'impianto di trattamento dell'acqua e hanno manipolato a distanza un computer per alterare l'equilibrio chimico dell'approvvigionamento idrico, il che avrebbe potuto causare gravi danni umani.

Guerra informatica: quando manca il partner negoziale

Sullo sfondo di questo numero crescente di attacchi, i gestori di infrastrutture critiche e le aziende con particolare rilevanza economica devono quindi affrontare non solo i tentativi di ricatto, ma anche il tema della guerra informatica. Perché se i criminali informatici richiedono solo un riscatto, le organizzazioni possono almeno implementare in anticipo linee guida adeguate per l'azione se, ad esempio, si verifica un attacco ransomware riuscito.

Tuttavia, se un attacco informatico è puramente politicamente motivato e l'organizzazione è stata scelta solo da uno stato nazione ostile come vittima casuale per dare l'esempio, non esiste un partner negoziale e il danno può non solo avere un impatto enorme sulla capacità aziendale, ma assumono anche dimensioni per la società nel suo complesso.

Guerra ibrida con attacchi digitali

Questa nuova guerra ibrida è evidente nel conflitto Ucraina-Russia, in cui gli attacchi digitali hanno preceduto quelli militari e potrebbero continuare a farlo in futuro. Già nel 2015 la Russia è riuscita a paralizzare parte della rete elettrica ucraina con un grave attacco informatico, lasciando un quarto di milione di ucraini senza elettricità durante l'inverno. Un mese prima dell'inizio della guerra nel gennaio 2022, Microsoft ha trovato un malware wiper distruttivo in dozzine di sistemi critici di agenzie e organizzazioni governative ucraine. Secondo il governo ucraino, ci sono chiare indicazioni che dietro questi attacchi ci sia la Russia. Inoltre, non si può escludere che tali incidenti possano estendersi ben oltre i confini nazionali dell'Ucraina. Le autorità di sicurezza tedesche hanno già invitato in particolare gli operatori di infrastrutture critiche ad armarsi contro possibili attacchi informatici.

È quindi fondamentale nell'area KRITIS implementare un concetto di sicurezza coerente e integrato sia per l'infrastruttura IT che per quella OT, in quanto soluzione end-to-end, non solo a causa di attacchi motivati ​​dal punto di vista monetario, ma anche per quanto riguarda la sicurezza nazionale include prodotti , processi e specialisti della sicurezza qualificati in tutte le aree.

Nuovo quadro normativo per le infrastrutture critiche

Il legislatore ha reagito alle nuove sfide digitali. Di conseguenza, gli operatori di infrastrutture critiche e le aziende di particolare interesse pubblico si trovano ad affrontare sfide importanti non solo a causa del numero crescente di minacce informatiche, ma anche a causa dell'aggiornamento del quadro giuridico a livello tedesco ed europeo.

Secondo la legge tedesca BSI, le organizzazioni sono operatori di infrastrutture critiche se appartengono a uno dei sette settori dell'energia, della sanità, dell'informatica e delle telecomunicazioni, dei trasporti e del traffico, dell'acqua, della finanza e delle assicurazioni e dell'alimentazione, forniscono servizi critici e, in così facendo, rispettare il regolamento BSI -KRITIS superamento delle soglie.

Ulteriori requisiti legali per gli operatori KRITIS nel 2022

In Germania, la seconda legge per aumentare la sicurezza dei sistemi informatici - in breve: IT Security Act 2021 - è entrata in vigore nel maggio 2.0 come supplemento alla legge BSI. Ciò ha ampliato il gruppo delle infrastrutture critiche per includere il settore dello smaltimento dei rifiuti urbani. Inoltre, anche altre aziende del cosiddetto "interesse pubblico speciale", come i produttori di armamenti o aziende con un'importanza economica particolarmente elevata, dovranno implementare in futuro alcune misure di sicurezza informatica.

L'IT Security Act 2.0 ha comportato significativi adeguamenti per le aziende e in alcuni casi anche per i gestori di infrastrutture critiche:

Gli operatori di infrastrutture critiche devono implementare sistemi di rilevamento degli attacchi entro il 1° maggio 2023 al più tardi.
Inoltre, gli operatori devono notificare al Ministero federale dell'Interno l'utilizzo iniziale pianificato di componenti critici, ad esempio se il produttore è controllato da un paese terzo o contraddice gli obiettivi della politica di sicurezza del governo federale tedesco, dell'UE o della NATO.
Le imprese di particolare interesse pubblico sono tenute a presentare regolarmente un'autodichiarazione. Devono spiegare quali certificazioni nel campo della sicurezza informatica sono state effettuate negli ultimi due anni e come sono stati messi in sicurezza i loro sistemi informatici.

Inoltre, la Commissione Europea ha presentato una proposta di riforma della Direttiva NIS europea (NIS-2) e una "Direttiva sulla resilienza delle strutture critiche" per migliorare la resilienza digitale e fisica delle strutture e delle reti critiche. Lo scopo di queste proposte è minimizzare i rischi attuali e futuri. L'attuazione di queste linee guida europee può quindi comportare una nuova revisione dell'IT Security Act 2.0.

Che aspetto ha la protezione integrata delle infrastrutture critiche?

Produttori e fornitori dei settori energia, acqua e sanità, nonché aziende industriali che devono proteggere la propria tecnologia informatica e di controllo dagli attacchi informatici, necessitano di soluzioni integrate in linea con l'IT Security Act 2.0/BSI Act e la ISO 27000 standard per le condizioni di sicurezza delle informazioni. Dal punto di vista tecnologico, le seguenti competenze dovrebbero quindi essere collegate per formare una fitta rete di sicurezza contro gli attacchi:

Moduli di sicurezza per proteggere le infrastrutture critiche

  • Analisi dei dati di registro (LDA): L'analisi dei dati di registro, nota anche come SIEM (Security Information and Event Management), è la raccolta, l'analisi e la correlazione dei registri da un'ampia varietà di fonti. Ciò si traduce in avvisi per problemi di sicurezza o potenziali rischi.
  • Gestione delle vulnerabilità e conformità (VMC): La gestione delle vulnerabilità consente la scansione continua delle vulnerabilità interne ed esterne con rilevamento completo, controlli di conformità e test per una copertura completa. Nell'ambito della conformità del software, l'uso autorizzato del software per ciascun server o gruppo di server viene determinato utilizzando una serie di regole e un'analisi continua. Il software manipolato può essere riconosciuto rapidamente.
  • Monitoraggio delle condizioni della rete (modulo OT): Viene utilizzato per segnalare comunicazioni in tempo reale che indicano un'interruzione del funzionamento senza errori. Le condizioni di sovraccarico tecnico, i danni fisici, le configurazioni errate e il deterioramento delle prestazioni della rete vengono così riconosciuti immediatamente e le fonti di errore vengono identificate direttamente.
  • Analisi del comportamento di rete (NBA): Con l'analisi del comportamento della rete, è possibile rilevare malware pericolosi, anomalie e altri rischi nel traffico di rete sulla base di motori di rilevamento basati su firma e comportamento.
  • Rilevamento e risposta degli endpoint: Endpoint Detection and Response sta per l'analisi, il monitoraggio e il rilevamento di anomalie sui computer (host). Con EDR, vengono fornite azioni di protezione attiva e avvisi istantanei.

A causa della complessità, l'ulteriore elaborazione delle informazioni rilevanti per la sicurezza da questi moduli viene effettuata da specialisti della sicurezza. Valuti e dai priorità alle conoscenze acquisite automaticamente. Questa è la base per avviare le giuste contromisure. Infine, gli esperti di sicurezza rendono disponibili tutte le informazioni in modo chiaro in un portale centrale a cui hanno accesso le parti interessate - inclusi i team operativi IT e OT, ma anche il management - o da cui ricevono regolarmente report personalizzati che possono comprendere.

Tecnologie di sicurezza europee

Sebbene l'uso delle tecnologie di sicurezza europee non sia ancorato nella legge BSI, è raccomandato per gli operatori KRITIS e le aziende nel particolare interesse pubblico per poter soddisfare facilmente i seguenti requisiti legali:

Conformità al regolamento generale sulla protezione dei dati nonché integrità, autenticità e riservatezza dei sistemi informatici

Gli operatori di KRITIS, come le aziende di tutti gli altri settori, sono soggetti ai requisiti del Regolamento generale sulla protezione dei dati (GDPR) dell'UE e devono rispettarli in ogni momento e proteggerli di conseguenza.

Inoltre, la legge BSI (§ 8a comma 1 BSIG) impone ai gestori di infrastrutture critiche di fornire alle BSI un'adeguata prova delle loro precauzioni per evitare interruzioni della disponibilità, integrità, autenticità e riservatezza dei loro sistemi informatici, componenti o processi che sono essenziali per la funzionalità delle infrastrutture critiche da essi gestite.

Ali Carl Gülerman, CEO e direttore generale di Radar Cyber ​​​​Security (Immagine: Radar Cyber ​​​​Security).

Con i fornitori di sicurezza europei, i cui servizi si basano su una tecnologia proprietaria sviluppata in Europa, il rispetto dei requisiti di cui sopra è facile da implementare, poiché sono soggetti ai più elevati standard di protezione dei dati. Oltre all'origine del fornitore di sicurezza informatica, le aziende KRITIS dovrebbero anche prestare attenzione al modo in cui è impostato il software di sicurezza e alla raccolta dei dati di sicurezza. Per garantire la migliore sicurezza dei dati possibile, consigliamo di impostare soluzioni on-premise come forma di implementazione più sicura. Anche se la tendenza è sempre più verso il cloud, questo dovrebbe essere visto in modo critico vista l'elevata sensibilità dei dati nell'area di KRITIS.

Componenti critici: Specifiche per i produttori utilizzati

L'uso della tecnologia di sicurezza europea facilita anche il collaudo di componenti critici da parte del BSI ai sensi del § 9b BSIG. Ad esempio, il BSI può vietare l'uso iniziale di un componente critico se

  • Il produttore è direttamente o indirettamente controllato dal governo, inclusi altri enti governativi o forze armate, di un paese terzo,
  • Il produttore era o è già coinvolto in attività che hanno avuto effetti negativi sull'ordine pubblico o sulla sicurezza nella Repubblica federale di Germania o in un altro stato membro dell'Unione europea, dell'Associazione europea di libero scambio o del Trattato del Nord Atlantico o sulle loro istituzioni,
  • L'uso della componente critica non è coerente con gli obiettivi della politica di sicurezza della Repubblica federale di Germania, dell'Unione europea o del Trattato del Nord Atlantico.

Forte resilienza informatica fondamentale per le organizzazioni KRITIS

Gli attacchi alle infrastrutture critiche sono redditizi per i criminali informatici. Allo stesso tempo, presentano un potenziale particolarmente elevato di danno per la collettività: ad es.

È quindi essenziale che le organizzazioni KRITIS selezionino fornitori di sicurezza per le loro misure di difesa che soddisfino pienamente i requisiti degli standard BSI e ISO 27000 e allo stesso tempo aderiscano ai più elevati standard europei di protezione dei dati. La premessa non dovrebbe essere solo quella di evitare sanzioni, ma in particolare quella di garantire una protezione efficace e sostenibile dei sistemi IT e OT. Tuttavia, una forte resilienza informatica contro gli attacchi non si basa mai esclusivamente sulle tecnologie di sicurezza, ma include sempre i processi giusti e specialisti qualificati. Solo attraverso questa triade di prodotti, processi ed esperti è possibile avere una visione a 360 gradi dell'intera infrastruttura di un'organizzazione al fine di garantire un rilevamento olistico precoce e una risposta rapida alle minacce informatiche.

Altro su RadarCS.com

 

Informazioni sulla sicurezza informatica radar

Radar Cyber ​​​​Security gestisce uno dei più grandi centri di difesa informatica in Europa nel cuore di Vienna basato sulla tecnologia proprietaria Cyber ​​​​Detection Platform. Spinta dalla forte combinazione di competenza ed esperienza umana, unita agli ultimi sviluppi tecnologici di dieci anni di lavoro di ricerca e sviluppo, l'azienda combina soluzioni complete per le sfide relative alla sicurezza IT e OT nei suoi prodotti RADAR Services e RADAR Solutions.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , , ,