Che ci piaccia o meno, i sistemi non regolarmente sottoposti agli aggiornamenti sono più vulnerabili ai cyberattacchi. La rapida diffusione del ransomware WannaCry nel 2017 illustra perfettamente i rischi posti da postazioni di lavoro non patchate. Migliaia di aziende e organizzazioni sono state colpite e lo spettro di WannaCry sembra riemergere a intervalli regolari.
Nel 2020 infatti è stata scoperta un’altra grande vulnerabilità nei sistemi operativi Window:, SMBGhost. Si tratta di una vulnerabilità che sfrutta lo stesso protocollo utilizzato da WannaCry – con conseguenze potenzialmente catastrofiche.
Una difficile convergenza tra sicurezza informatica e processi aziendali
Gli aggiornamenti sono doppiamente impegnativi: da un lato, occorre mantenere un elevato livello di sicurezza, dall’altro, è necessario tener conto delle esigenze operative dell’organizzazione in questione. Sebbene la ragion d’essere degli update è proprio quella di rimuovere bug e vulnerabilità, a volte anch’essi presentano la loro parte di limitazioni. Ad esempio, nei settori industriale e OT, la distribuzione degli aggiornamenti può avere effetti avversi come prolungate interruzioni della produzione. A causa dell’entità del potenziale impatto, i cicli di manutenzione devono quindi essere preparati e pianificati con molta attenzione. Anche negli ambiti che esulano dai meri ambienti operativi e industriali, alcuni aggiornamenti possono influire su funzionalità e prestazioni di alcune applicazioni, limitare la disponibilità di un sito web o la produttività degli utenti per un certo periodo di tempo. Considerando tutti questi aspetti, il tema dell’aggiornamento appare tanto complesso quanto paradossale.
Quindi, perché fare gli aggiornamenti?
In effetti il tema ha rilevanza strategica ed è molto dibattuto. Prima di distribuire gli eventuali aggiornamenti, si dovrebbe determinare in base alle esigenze operative dell’azienda se il roll-out è fattibile. Taluni aggiornamenti possono infatti essere estremamente complessi o addirittura, in alcuni casi, non conducibili. Il controllo e la pianificazione anticipata sono quindi due fattori importanti ai fini della riduzione di potenziali interruzioni dei servizi.
Ad esempio, l’aggiornamento automatico delle postazioni di lavoro impiegate per tradizionali compiti d’ufficio è un’attività che in ambienti OT critici non può funzionare: idealmente, per evitare gli effetti indesiderati dell’aggiornamento, si dovrebbero effettuare test in ambienti di prova: alcuni update possono rendere una data applicazione incompatibile con sistemi operativi più datati, per cui l’aggiornamento non può essere eseguito. Ci sono anche vecchie applicazioni aziendali essenziali, che girano solo su sistemi operativi obsoleti. In questo caso, i fornitori devono aiutare le aziende ad implementare gli aggiornamenti trovando insieme il modo di ridurre al minimo e, ove necessario, impedire ai sistemi interessati di comunicare in rete fino a quando l’applicazione non potrà essere aggiornata, poiché la mancata installazione di aggiornamenti rende i sistemi IT estremamente vulnerabili ai cyberattacchi.
Promuovere la “cultura dell’aggiornamento”
Sebbene l’importanza degli aggiornamenti sia sempre più percepita e accettata, le organizzazioni fanno ancora fatica a comprendere chiaramente i pericoli derivanti dal mancato aggiornamento. Troppi credono ancora di non essere sufficientemente interessanti per i cybercriminali o ritengono le proprie infrastrutture scevre dal rischio di un attacco informatico, specie in ambito OT, dove la “cybercultura” non è ancora sufficientemente diffusa.
L’educazione e l’evangelizzazione da parte dei fornitori e dei produttori di dispositivi sono quindi essenziali per aumentare la percezione del rischio nelle aziende. Per facilitare questo processo potrebbe essere utile condividere e comunicare esempi concreti e casi reali in cui sono state sfruttate vulnerabilità. Oltre ad un’ampia condivisione di queste informazioni, i fornitori dovrebbero anche supportare il processo di applicazione degli update e fornire informazioni accurate sui nuovi aggiornamenti. Ciò guiderà i clienti, che saranno in grado di identificare chiaramente se si tratta di un bug fix o di una patch di sicurezza. A volte il produttore dovrà presentare i rischi e quindi giustificare gli aggiornamenti proposti per incoraggiare le aziende. Il cliente, infatti, sarà sempre tentato di dare priorità alla continuità della produzione rispetto a qualsiasi altra cosa.
L’implementazione degli aggiornamenti e le relative procedure (frequenza di aggiornamento, decisione di attivare o meno gli aggiornamenti automatici, ecc.) sono di responsabilità del personale IT: solo loro, e non il singolo utente, sono nella posizione migliore per valutare i potenziali problemi causati dagli aggiornamenti e per gestire correttamente il roll-out di un aggiornamento a livello aziendale. Di conseguenza, i responsabili IT svolgono anche un ruolo primario nella promozione di una “cultura dell’aggiornamento” essenziale nelle aziende che puntano su ambienti operativi, hardware e applicazioni sicure.