Scuotere la sicurezza: la nuova “Scala Richter OT” promette chiarezza nel caos cyber

Quando un attacco informatico ferma un oleodotto o fa traboccare un serbatoio d’acqua, spesso regna la confusione: è stato catastrofico o solo un quasi-incidente? Hype, panico e incertezza si rincorrono - talvolta superando i fatti. Ora, un nuovo strumento ispirato alla scienza dei terremoti cerca di portare ordine nel caos. Presentato alla conferenza S4x26 di Miami, l’Operational Technology Incident (OTI) Impact Score si propone di misurare la magnitudo degli incidenti cyber OT con la precisione - e il pathos - della scala Richter.

L’anatomia di un cyber-terremoto

Per anni, le conseguenze degli attacchi informatici ai sistemi industriali - oleodotti, reti elettriche, acquedotti - sono state misurate più dai titoli dei giornali che da dati solidi. Dale Peterson, la forza motrice dietro il modello OTI, ha visto un vuoto cruciale: “Le persone o vanno nel panico o ignorano minacce reali perché non esiste un modo standard per parlare di impatto”, ha detto a Netcrook. L’OTI Score spera di colmare quel divario, offrendo un metodo rapido, trasparente e ripetibile per valutare gli incidenti.

L’OTI Impact Score scompone ogni incidente lungo tre assi: Gravità (dal fastidio alla devastazione), Portata (quanto è esteso il danno) e Durata (per quanto tempo le operazioni normali risultano interrotte). Ognuno viene valutato separatamente, poi moltiplicato e diviso per 100, producendo un unico numero su una scala che va dal trascurabile al catastrofico.

Questo approccio introduce sfumature molto necessarie. L’attacco a Colonial Pipeline del 2021 - un assalto ransomware che non ha nemmeno violato direttamente i sistemi OT - ha ottenuto un punteggio elevato per via degli effetti a catena: interruzioni nelle consegne, carenze regionali di carburante e giorni di fermo operativo. Al contrario, una violazione minore di un servizio idrico a Muleshoe, in Texas, è risultata appena percettibile.

L’OTI Score evita anche gli interminabili dibattiti IT contro OT. “Ciò che conta è l’impatto sul business”, afferma Sarah Fluchs di Admeritia. “Non se tecnicamente si è trattato di un attacco OT.” Concentrandosi sull’interruzione operativa, il punteggio mira a superare le tecnicalità e a mettere a fuoco il danno nel mondo reale.

Ma questa nuova scala può diventare la lingua franca del settore? Gli esperti intravedono potenziale, soprattutto per regolatori e assicurazioni affamati di metriche standardizzate. Restano però domande: come si misura il danno reputazionale? Quando un incidente è davvero “finito”? I creatori sperano che un ampio sostegno di industria e governi aiuti l’OTI Score a maturare fino a diventare un riferimento affidabile.

Guardando avanti

In un mondo in cui le minacce cyber alle infrastrutture critiche incombono - e la disinformazione si diffonde rapidamente - l’OTI Impact Score potrebbe offrire un cambiamento sismico nel modo in cui comprendiamo, raccontiamo e affrontiamo gli incidenti cyber industriali. Se saprà reggere alle scosse del mondo reale, lo dirà solo il tempo.

WIKICROOK

• Tecnologia operativa (OT): La tecnologia operativa (OT) comprende sistemi informatici che controllano apparecchiature e processi industriali, spesso rendendoli più vulnerabili rispetto ai sistemi IT tradizionali.
• ICS (Industrial Control System): Gli ICS sono sistemi informatici che automatizzano e controllano processi industriali, come la produzione e i servizi di pubblica utilità, e sono vitali per efficienza operativa e sicurezza.
• Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Gravità (negli incidenti cyber): La gravità misura quanto un incidente cyber sia dannoso o dirompente, guidando le organizzazioni nel dare priorità alla risposta e nell’allocare le risorse in modo efficace.
• Cyber: Cyber si riferisce al mondo digitale di computer, reti e sistemi online, con particolare attenzione a sicurezza, minacce e resilienza digitale.