Modernizzare e proteggere le nostre infrastrutture critiche è diventata una preoccupazione fondamentale. Dal punto di vista tradizionale della tecnologia dell’informazione, il termine “infrastruttura critica” implica quella che io chiamo la “triplice tecnologia”: cloud, data center e on-premise. Insieme, questa triade fornisce i servizi che conosciamo e amiamo, da LinkedIn a Slack a ChatGPT e oltre. Certo, l’impulso principale è quello di utilizzare i servizi cloud in ogni caso, ma utilizzeremo anche data center e persino buone sale server vecchio stile.
Ma non è tutta la storia. La “triplice tecnologia” è diventata il “quadruplo critico”. Il quarto nuovo membro, la tecnologia operativa, è un grosso problema. Lasciami spiegare.
Maggiori informazioni sul quarto membro del “quad”
OT è il termine utilizzato per descrivere i sistemi hardware e software che monitorano e controllano i dispositivi fisici. Quando si parla di OT, la maggior parte delle persone parlerà di come OT gestisce elementi infrastrutturali critici come i nostri sistemi idrici, i gasdotti e le reti elettriche. OT comprende una straordinaria gamma di tecnologie e acronimi.
Ciascuno di essi è vitale per gestire i servizi critici che ci aspettiamo, dalle autostrade ai trasporti marittimi che consentono il commercio mondiale. Quindi, se vuoi parlare di “infrastrutture critiche”, non puoi escludere OT dai tuoi pensieri. Questa è una cosa difficile da elaborare per i professionisti IT e OT. Queste cose ti sembrano astratte come a me. Per aiutare con il contesto, lascia che ti parli del periodo in cui OT ha salvato la mia famiglia.
Il significato di OT per il quadrilatero critico: una prospettiva
Nell’autunno del 2018 ero in viaggio con mia moglie Sandi a Londra. Mentre eravamo su una scala mobile nella stazione della metropolitana di Waterloo, qualcuno sopra di noi è caduto, spingendo accidentalmente mia moglie giù dalla scala mobile. È caduta perdutamente. La caduta le ha rotto un braccio e ha subito una commozione cerebrale. Ma quella non era la fine della storia. Era una giornata fredda, quindi indossava una sciarpa. Dopo essere caduta ed essere rimasta inabile, la sciarpa è rimasta impigliata nei “denti” dei gradini della scala mobile. Lentamente, mentre quei gradini viaggiavano inesorabili verso la cima, la sciarpa cominciò rapidamente a stringerle attorno al collo. Ho provato disperatamente a strappare quella sciarpa dai gradini della scala mobile, ma continuava a stringerle sempre di più attorno al collo. Ho provato a sollevare la sciarpa e a liberarla dalla stretta mortale, ma non ha funzionato. Eravamo impotenti.
Poi è avvenuto il miracolo: la scala mobile si è fermata da sola. Sandi era libero dalla morsa della scala mobile e, con l’aiuto di persone meravigliose che ci hanno aiutato e dell’equipaggio dell’ambulanza, siamo partiti per l’ospedale. Mentre eravamo al pronto soccorso dell’ospedale, ho avuto la possibilità di scannerizzare il rapporto dell’incidente. Inizialmente pensavo che qualcuno fisicamente presente sulla scena avesse premuto uno di quei grandi pulsanti rossi di arresto di emergenza posizionati in modo ben visibile nella parte superiore, centrale e inferiore di qualsiasi scala mobile. Ma in realtà non è quello che è successo.
Un lavoratore che monitorava la scena da remoto tramite una telecamera di rete ben posizionata ha visto cosa stava succedendo e ha utilizzato il proprio computer per fermare la scala mobile da remoto. Per me, questo è il miracolo della tecnologia operativa e il “quadrilatero critico”. Grazie a OT e al rapido intervento di quell’operaio, un anno dopo, siamo riusciti a scattare una foto trionfante davanti a quella stessa scala mobile.
Per me questo è il significato della convergenza tra OT e IT: è la tecnologia che crea e salva vite umane.
Problemi con il quad
Questo è un ottimo caso d’uso, ma la realtà è che abbiamo ancora alcuni problemi quando si tratta del quad. Il primo è quello che io chiamo “disconnessione IT/OT”. Vedete, i mondi IT e OT erano preoccupazioni completamente separate. Quelli dell’IT facevano le loro cose nei propri dipartimenti, e anche quelli dell’OT avevano i propri. Ciascuno viveva nei propri paesi separati, per così dire, con le proprie culture e preoccupazioni. Non è più così: quei mondi sono convergenti.
IT e OT “differenze culturali”
Ed ecco il nocciolo della questione: ai professionisti IT viene sempre più chiesto di comprendere il mondo OT relativamente estraneo, se non ancora scoperto, e viceversa. Stranamente, la combinazione dei mondi IT e OT ha effettivamente rivelato un divario culturale critico. Questo divario è incentrato sulla “Triade della CIA”, che è composta da:
- Riservatezza: mantenere segrete le informazioni, utilizzando la crittografia.
- Integrità: garantire che i sistemi e i dati siano esenti da modifiche e manomissioni improprie.
- Disponibilità: garantire che i sistemi e i dati siano sempre accessibili e pienamente funzionanti.
I professionisti IT e OT enfatizzano diversi elementi di questa triade perché considerano il rischio in modi diversi. Di conseguenza, il divario tra le loro sensibilità è diventato abbastanza evidente – addirittura acuto.
Comprendere le sfumature della CIA in ogni cultura
Gli operatori OT attribuiscono maggiore importanza alla disponibilità e ai tempi di risposta. Sono “pensatori di sistemi” naturali perché sanno che più elementi devono lavorare insieme bene e rapidamente. Altrimenti accadono cose terribili. Niente può ostacolare la disponibilità. Il tempo necessario per fermare una scala mobile, un nastro trasportatore o una tubazione, ad esempio, viene misurato in secondi. Qualsiasi cosa, inclusa l’autenticazione a due fattori, il controllo degli accessi e la possibile latenza di rete creata dalle misure di sicurezza, è, a loro avviso, inaccettabile. Non è che i lavoratori OT siano necessariamente antiquati e non capiscano la sicurezza; è che sanno che il tempo di risposta è tutto. Di conseguenza, percepiscono il rischio in modo molto diverso rispetto a un professionista IT.
Un professionista IT si concentra sulla riservatezza e sull’integrità, nonché sulla disponibilità. Dopotutto, il professionista IT sa che i sistemi che gestisce trasportano e archiviano informazioni critiche. Le normative sulla privacy e sulla sicurezza informatica si concentrano sul garantire che queste informazioni rimangano riservate e inalterate sia in transito che a riposo. In questi primi giorni di implementazione dell’intelligenza artificiale, l’integrità è diventata ancora più importante; se i dati alimentano la bestia dell’intelligenza artificiale, allora è ancora più fondamentale per i lavoratori IT garantire che i dati rimangano indisturbati. La manomissione è una delle maggiori preoccupazioni. Sanno che se un sistema ha un’autenticazione debole, accadono cose terribili.
Qualsiasi lavoratore IT sa che l’applicazione delle patch ai sistemi è vitale. Ecco perché ogni lavoratore IT si aspetta un “patch Tuesday”, che è un processo che gestisce. Eppure, per un operatore OT, l’applicazione delle patch è qualcosa che fanno i fornitori; non fa parte della loro routine. Se un operatore OT si comportasse in modo disonesto e patchasse lui stesso un sistema, è probabile che l’intero sistema OT andrebbe offline per un lungo periodo di tempo.
Lingue diverse
Entrambi i lavoratori IT e OT comprendono il rischio, ma hanno priorità diverse. C’è un altro problema: ogni cultura parla lingue diverse. I lavoratori IT tendono a parlare in termini di HTTP, SMTP, TCP/IP, UDP e TCP. Gli operatori OT parlano di Modbus, DNP3 e RTU.
Colmare la disconnessione: concentrarsi sulle combinazioni di competenze critiche
Abbiamo bisogno di leader che identifichino e gestiscano le aspettative culturali e i diversi linguaggi. Invece di consentire ai lavoratori di parlarsi l’uno accanto all’altro e creare inavvertitamente combinazioni tossiche, è tempo di aumentare la comunicazione. In alcuni casi, le organizzazioni devono farlo riorganizzandosi per facilitare la comunicazione e gestire le aspettative.
In ogni caso, la risposta è l’istruzione. Abbiamo bisogno di più lavoratori che comprendano entrambi i mondi e le sfumature ad essi associati. Di recente ho parlato a un evento chiamato AFCEA TechNet Cyber. Mentre ero lì, ho incontrato un tecnico della Marina che supporta le navi a propulsione nucleare. Ho appreso che è stata effettivamente cresciuta come operaia OT. Nel corso degli anni, ha acquisito una profonda conoscenza di come utilizzare i sistemi di controllo di supervisione e di acquisizione dati per monitorare i sistemi di raffreddamento. Quando le tecnologie basate sull’IT hanno iniziato a entrare in scena, ha scoperto che questi elementi erano completamente diversi dalla sua esperienza.
La soluzione? Ha trovato un talentuoso lavoratore IT che è diventato il suo mentore. Ha iniziato a porre semplici domande sulla tecnologia IT. Il suo mentore ha quindi iniziato a conoscere il suo mondo OT. Molto rapidamente, entrambi conclusero che avevano bisogno di un’educazione formale sui reciproci mondi.
Ho assistito a questo processo accadere molte volte nel corso degli anni. Si parte da due elementi critici: curiosità e comunicazione. Ciò apre quindi la porta all’istruzione. Questo è il modo migliore per trasformare i lavoratori IT in pensatori basati sui sistemi e il modo migliore per trasformare i lavoratori OT in amministratori di rete in grado di garantire la riservatezza senza sacrificare la disponibilità. Niente è più trasformativo per un’organizzazione dell’istruzione; è il modo migliore per superare la disconnessione IT/OT e modernizzare la nostra infrastruttura critica.
