Il mercato industriale sta evolvendo notevolmente: gli impianti produttivi sono sempre più digitali e interconnessi per ottimizzare tempi ed efficienza dei processi produttivi.
Si parla, a tal proposito, di Quarta Rivoluzione Industriale che porterà a una produzione industriale sempre più automatizzata ed efficiente, l’Industria 4.0, grazie all’utilizzo e all’integrazione totale di tecnologie digitali nei processi di fabbricazione dei beni fisici.
Nel nuovo contesto Industria 4.0, una delle maggiori sfide a cui devono far fronte le aziende è la convergenza tra i settori IT (Information Technology) e OT (Operational Technology), storicamente tenuti separati e caratterizzati ciascuno dai propri asset, dai propri owner, dalle proprie regole di gestione.
In questo nuovo paradigma, gli apparati lungo le linee di produzione e la catena distributiva diventano sempre più intelligenti, in grado di scambiare dati col mondo esterno; un mondo industriale ora connesso verticalmente verso piattaforme Cloud e orizzontalmente verso altri asset aziendali. Tuttavia, ogni apparato connesso alla rete costituisce una potenziale vulnerabilità e un possibile punto di attacco da parte di criminali informatici.
Sappiamo però che la sfida contro il cyber-crimine è nata a livello IT, mentre la fabbrica non è nata per rispondere a questo tipo di minacce.
Il principale problema che rende vulnerabili le strutture di produzione è, prima di tutto, culturale. Il mondo IT è abituato da decenni a convivere con l’idea che qualcuno sia interessato a entrare nei sistemi informativi, qualunque sia lo scopo. Pertanto difende i propri apparati, reti e sistemi. Ambienti come le fabbriche, fin ad oggi poco toccati da problematiche di cyber-security, si trovano ora a gestire collegamenti di macchine ad Internet per il controllo e l’aggiornamento da remoto, ad installare sistemi operativi per pilotare le linee di produzione, ad usare dispositivi IoT (Internet of Things).
Negli ultimi anni i cyber-attacchi contro le reti industriali hanno subito un forte incremento. Secondo l’Industrial Control Systems Cyber Emergency Response Team di Kaspersky Lab (Kaspersky Lab ICS CERT) nella seconda metà del 2017 ben il 37,8% dei computer (ICS) in tutto il mondo hanno subito delle cyber-minacce. Un singolo cyber attacco industriale può potenzialmente arrecare gravi danni e, in particolare, danneggiare i processi industriali, minacciare la continuità operativa e perfino indurre potenziali danni alle persone, alle cose e all’ambiente.
Alcuni report internazionali illustrano uno scenario in cui sui sistemi OT non sono applicati i criteri di sicurezza di livello minimo per la protezione dei sistemi industriali, in quanto non c’è consapevolezza dei rischi a cui si è soggetti dalla fase di progettazione fino all’implementazione e all’esercizio dell’impianto industriale.
Come proteggere? Un modo adeguato è adottare criteri di protezione by design o security-by-design: gran parte delle aziende ne parlano solo da qualche mese grazie al nuovo regolamento europeo sulla privacy (GDPR). Progettare cioè il sistema, l’impianto e l’infrastruttura tenendo presenti le questioni rilevanti per la cyber-security, mettendo al primo posto una attenta analisi e valutazione del rischio. Questo consente di concentrare gli sforzi nei punti in cui si riterranno più efficaci ed urgenti le contromisure e gli interventi. E soprattutto rivisitare periodicamente le scelte fatte.
Un ulteriore intervento è il monitoraggio della sicurezza, integrando e correlando le fonti di informazioni dei mondi IT e OT, per essere costantemente a conoscenza dello stato dei propri asset e per individuare e mettere in campo le giuste azioni a fronte di un attacco. È ormai dimostrato ampiamente come la capacità di reagire tempestivamente a una violazione possa minimizzarne in modo significativo le conseguenze.
Infine, bisogna tener presente la conformità alle normative del settore, quali (ma non esaustive): GDPR (in vigore dal 26 maggio 2018), Direttiva NIS (Network and Information Security), Direttiva 943/2016 sul segreto industriale, IEC 62443 e ISO 27001. L’adozione di sistemi sviluppati in conformità a una normativa può aiutare le imprese a ridurre i rischi.
