Come Anie avete da poco presentato il nuovo Osservatorio dell’Industria Italiana dell’Automazione 2017 (disponibile on line sul sito www.anieautomazione.it) . Alla luce dei vostri studi e delle vostre ricerche, quale relazione intercorre tra la Cyber security e l’industria 4.0?

Il tema della sicurezza dei dati è probabilmente lo snodo più cruciale dell’intero passaggio all’Industria 4.0. La digitalizzazione nel settore manifatturiero espone gli asset industriali a vulnerabilità e minacce che minano la sicurezza e l’integrità dei sistemi e la privacy delle informazioni e l’idea di memorizzare informazioni sensibili sul cloud spaventa ancora molti imprenditori.

L’evoluzione del mercato industriale e la nascita di nuovi servizi legati alle tecnologie digitali hanno reso necessario aprire all’esterno l’accesso ai sistemi di controllo. Questo è sempre più vero se caliamo il discorso nel contesto della fabbrica 4.0 in cui tutti gli oggetti e le macchine sono componenti intelligenti integrati in un’infrastruttura totalmente interconnessa e distribuita, intrinsecamente aperta all’esterno, che espone tutti gli apparati a possibili rischi di Security. La diffusione di protocolli a base Industrial Ethernet ha ancor più favorito l’integrazione delle reti di macchina con i sistemi ERP/MES e agevolato l’accesso alle reti anche da remoto. La Security diventa quindi un’esigenza imprescindibile anche per i progettisti di automazione industriale e serve un approccio congiunto con l’IT per utilizzare le tecnologie in modo adeguato.

In un’ottica Industria 4.0, la Security deve essere parte integrante dell’attività produttiva di fabbrica includendo oltre all’infrastruttura di rete, i sistemi di controllo, le macchine, gli impianti e le attività aziendali nella loro globalità, dalle singole persone, alle politiche e alle procedure di accesso.

Nel rapporto avete dedicato ampio spazio al mercato della sicurezza informatica. Qual è oggi in Italia la situazione di questo settore e quali sviluppi prevede nel breve/medio periodo? E quanto vale oggi questo mercato?

In Italia, secondo i risultati della ricerca condotta dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, il mercato delle soluzioni di Information Security nel 2016 ha raggiunto i 972 milioni di euro (+5% rispetto al 2015), con una spesa pressoché concentrata tra le imprese di grandi dimensioni (circa il 74%). Le PMI italiane iniziano a spendere per la Cyber Security, ma spesso sottovalutano la crescita della consapevolezza dei rischi tra i propri dipendenti e pochissime hanno specifici programmi di formazione. Questo è un punto su cui ANIE Automazione dovrà fare informazione e formazione.

Non è, inoltre, ancora diffuso un approccio di lungo periodo alla gestione della sicurezza (solo 4 grandi aziende su 10 ne hanno uno) e della privacy: oltre la metà delle grandi organizzazioni italiane non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi.

Aggiungerei che la pubblicazione sulla Gazzetta ufficiale del 31 maggio 2017 del nuovo Piano nazionale per la protezione cibernetica e la sicurezza informatica è un ottimo passo avanti nello sviluppo degli indirizzi strategici nazionali, pubblici e privati, e delle principali direttrici di intervento.

Quali sono oggi i concetti generali di protezione e quali sono gli standard minimi di security digitale industriale che un’azienda deve osservare per evitare i rischi?

Sembra indiscusso che una delle maggiori vulnerabilità delle reti industriali oggi sia relativa alla sicurezza degli accessi sia esterni che interni. Ormai sempre più processi industriali vengono connessi su reti Ethernet per cui è diventata fondamentale non solo la sicurezza delle informazioni, ma anche la gestione accurata degli accessi alla rete (chi, come e dove).

Questi accessi devono essere Autenticati, Autorizzati e Monitorati (Accounting) perchè siano consentiti solo a dispositivi e persone ai quali sono stati attirbuiti i relativi livelli di privilegi all’interno di politiche di accesso specifiche per le varie aree organizzative.

La protezione dei sistemi e delle infrastrutture è divenuta un elemento critico di ogni attività industriale. Le conseguenze di una sottovalutazione della Cyber Security sono molteplici e possono avere ripercussioni gravi non solo su un’applicazione specifica, ma anche sulla solidità dell’azienda che ospita la rete violata. Questo perché, sempre più spesso, la rete di macchina è interconnessa all’infrastruttura IT aziendale: oltre ai dati che di per sé possono comunque essere vitali per la produzione aziendale (quali, ad esempio, ricette o procedure lavorative) attraverso la rete di macchina, in assenza di adeguata protezione, si potrebbe accedere anche ad altri comparti sensibili (come ad esempio R&S, Financial, Legal). Senza contare i possibili atti di sabotaggio o l’uso delle risorse aziendali come strumenti per triangolazione di attacchi Cyber, tutti aspetti che possono condurre anche a perdite irreversibili di reputazione sul mercato dell’azienda coinvolta.

Spesso la Security non viene affrontata con un approccio olistico dalle varie realtà aziendali, ma piuttosto come un insieme disomogeneo di soluzioni singole. La sicurezza non diviene così parte integrante dell’attività produttiva di fabbrica ed include singolarmente le reti, i sistemi di controllo, le macchine e gli impianti, senza arrivare a coinvolgere le singole persone, le prassi e le procedure aziendali nel loro complesso.

Ad esempio, macchine e impianti potrebbero subire modifiche non volute e questo potrebbe comportare incidenti con tutte le conseguenze, civili e penali, del caso, ma anche con possibili danni ambientali, di maggiore o minore rilevanza, in funzione della tipologia produttiva del sito violato: un danno che va ben al di là del “fermo impianto” e che interessa tutte le componenti aziendali che dovrebbero muoversi sincronizzate.

Una recente analisi di SANS (SANS 2016, State of ICS Security Survey) sullo stato della Security dei sistemi di controllo industriale indica che il 42% delle minacce ai sistemi arrivano dall’interno delle organizzazioni. In questa cifra rientrano quelle intenzionali (i sabotaggi) che rappresentano oltre il 10% del totale; quelle non volute (errori degli operatori dovuti a scarsa competenza oppure a sistemi di interfacciamento non chiari) che pesano per oltre il 15%; i problemi derivanti da malfunzionamenti o da non accurata integrazione IT/OT (circa il 10%).

In modo schematico, un’adeguata protezione contro intrusioni non volute in una rete Ethernet industriale è basata su pochi concetti fondamentali:

  • il primo è relativo a una corretta protezione delle porte di accesso alla rete, siano esse accessibili localmente (porte fisiche di switch, PC, PLC o altri dispositivi) o che possano prevedere accesso da remoto per operazioni di teleassistenza;
  • un secondo concetto fondamentale è quello basato sulla segmentazione della rete in più zone, separate tra loro, che comunicano tra loro solo attraverso percorsi ben definiti e ben protetti (firewall, VPN, VLAN …) secondo i principi inclusi all’interno della serie di norme internazionali IEC 62443 “Industrial communication networks – Network and system security”;
  • infine, ma non ultima per importanza, la presenza di soluzioni di controllo continuo della rete permette di poter accorgersi in tempo reale di anomalie indicative di accessi e modifiche già intervenute.

Per quel che riguarda gli strumenti da prevedere per un’adeguata Cyber Security, semplicemente riferendosi a prodotti o soluzioni tecnologiche dedicate, esistono sul mercato molteplici offerte, scalabili in funzione delle reali necessità e che risultano più o meno complesse in funzione degli obiettivi specifici di protezione necessari.

Voi, in qualità di Anie svolgete un ruolo di primo piano quale presidio tecnologico e normativo promuovendo iniziative volte alla standardizzazione dei prodotti e dei sistemi, portando know how e competenza nell’ambito dei processi decisionali degli organismi di normazione a tutti i livelli. Le aziende italiane sono pronte a rispondere a tutte le esigenze che l’IoT e l’Industria 4.0 richiedono?

Il passaggio a Industria 4.0 in Italia è appena iniziato, ovviamente ci sono delle realtà più strutturate che già da tempo hanno affrontato i temi della digitalizzazione e che già oggi possono definirsi almeno parzialmente 4.0, ma la stragrande maggioranza delle imprese manifatturiere, che in Italia spesso sono di piccole o medie dimensioni, stanno ancora cercando di capire come implementare al meglio la transizione. Il Piano Calenda è un buono stimolo per il mercato, ma non basta. Tutti gli attori della filiera devono lavorare per generare il know-how e le risorse necessari alla trasformazione digitale e anche il Governo deve proseguire sulla strada intrapresa con un programma che possa definirsi di “politica industriale” e quindi svilupparsi in un ragionevole periodo di tempo, almeno una decina d’anni. La strada è tracciata e il passaggio ad Industria 4.0 inevitabile se si vuole continuare a competere nel mondo globalizzato.

A cura di: Fabrizio di Ernesto

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.