Industria 4.0 è un termine che quotidianamente abbiamo occasione di trattare su queste pagine; inoltre Ottobre è il Mese della Sicurezza Informatica.
“Prima di cliccare, pensaci” – “Think Before U Click” – è il motto ufficiale di ECSM 2020, organizzata da Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione.
Abbiamo pensato quindi di approfondire quello che è il punto di incontro dei 2 temi.
Infatti, quante aziende prendono in considerazione l’aspetto della sicurezza informatica nell’ambito dei propri investimenti in innovazione e in Industria 4.0?
Riportiamo perciò un contributo del nostro collaboratore Dott. Manuel Cacitti, esperto di sicurezza informatica, che approfondisce diversi aspetti da tenere in considerazione per le aziende che investano in questo settore:
Oggi sentiamo spesso parlare dell’importanza della “cybersecurity” nel contesto dell’applicazione di progetti abilitanti al paradigma “Industry 4.0”.
Importanza che spesso viene declinata rispetto a un orientamento semplificato che purtroppo non rappresenta correttamente quella che dovrebbe essere la reale e più appropriata correlazione tra i due ambiti, riducendo il tutto ad una dimensione prettamente tecnologica, sovente connessa all’installazione di programmi, soluzioni e apparati con lo scopo di fermare e mitigare le minacce conosciute.
La sicurezza del dato è invece l’elemento cui riservare maggiore attenzione, soprattutto, come nel caso di un progetto impostato sul paradigma di Industria 4.0, in quei contesti nei quali vi sia la necessità di mettere in relazione diretta i dati della parte IT con quella OT, prassi atipica fino a poco tempo fa.
Nasce allora la necessità di organizzare la sicurezza delle informazioni con un approccio ragionato e strutturato, in cui la progettazione di come rendere sicuro il dato stia alla base della corretta gestione della complessità di un progetto e concorra a determinarne il potenziale successo in termini di efficienza e ottimizzazione.
L’evoluzione dei vettori e delle modalità di attacco portano oggi ad estendere in modo considerevole il target potenziale da raggiungere, infettare e compromettere. L’orientamento dell’attaccante non è più identificabile rispetto ad un approccio di selezione targettizzato della vittima, ma risulta massivo, aumentando considerevolmente la probabilità di subire un attacco informatico.
Non è più quindi una questione relativa a comprendere “se saremo attaccati”, ma decisamente “quando saremo attaccati”, nella consapevolezza che ciò dovrà accadere e accadrà.
Siamo ancora troppo impreparati. I recenti attacchi di cui abbiamo potuto leggere a scapito di aziende di fama del settore produttivo industriale lo dimostrano. Pensare a un’azienda che oggi è costretta a fermare il processo produttivo per qualche giorno, perché vittima di un ransomware che dalle postazioni di lavoro dell’ufficio amministrativo si è propagato attraverso la rete aziendale raggiungendo le macchine a controllo numerico o le postazioni produttive a bordo isola, è semplicemente in contrapposizione con quella che dovrebbe essere l’applicazione di una logica di corretta integrazione e interconnessione derivante dal paradigma Industria 4.0.
Si consideri che il danno meramente economico in termini di ricaduta diretta sul business del soggetto colpito, senza considerare eventuali aspetti reputazionali e di responsabilità, spesso ha una dimensione molto più ampia di quanto avrebbe potuto essere l’investimento in attività di rinforzo e strutturazione della sicurezza dei dati distribuito su un orizzonte continuativo medio di tre anni.
La sicurezza dei dati è tra i primi elementi del processo di progettazione e non può arrivare in un momento successivo, perlomeno non con logiche riduttive o non calibrate rispetto alle necessità di un’analisi puntuale e accurata. Si sente oggi molto parlare di “security by design” ma in realtà non è ancora un concetto che trova reale comprensione e applicazione rispetto agli ambiti in cui viene promosso.
Tutto ciò che comunemente viene consigliato dalla maggioranza degli addetti ai lavori in termini di consigli implementativi e tecnologici, ha sicuramente valore ed è corretto.
Il riferimento è alla necessità di segmentare opportunamente le reti, di gestire in modo adeguato l’accountability e i criteri di applicazione dei permessi e privilegi sui vari attori coinvolti, siano essi persone o altri soggetti interagenti non umani (quali ad esempio software, dispositivi e apparati IoT, batch, …).
La capacità di testare e validare soluzioni di backup e restore dei dati, mediante test “reali” di ripristino dell’informazione.
La valutazione attenta e strutturata dei fornitori, basata non meramente sui soli criteri di economicità e tempistica di approvvigionamento, ma in relazione al grado reale di compartecipazione delle responsabilità e strategicità rispetto alle garanzie di sicurezza sui dati offerte.
La formazione del personale, che però dev’essere pertinente e continua, correttamente calibrata e verificata, votata a creare reale consapevolezza in merito alla sicurezza delle informazioni e ai rischi potenziali derivanti da una compromissione informatica ai sistemi produttivi e di supporto alla produzione.
Tutti concetti probabilmente noti ai più. Tutti principi che la maggioranza conosce e che probabilmente non hanno più nulla di sensazionale e innovativo.
Ebbene, risulta allora strano comprendere perché di fatto le aziende “4.0 ready” continuino a essere vittime di attacchi informatici, spesso molto distruttivi.
Una possibile risposta arriva dalla comprensione del fatto che l’anello debole, anche in contesti che hanno spinte significative rispetto all’impiego di tecnologie e strumenti d’avanguardia, rimane localizzato sul fattore umano, e non tanto per un motivo di incapacità quanto per la non volontà di considerare l’aspetto significativo e potenzialmente utile di investire in sicurezza informatica.
Sovente ci si preoccupa infatti di agire, nel solo caso in cui risulti necessario farlo “ex-post”, successivamente cioè al fatto che qualcosa di impattante sia accaduto.
Agire in tale scenario può diventare però troppo oneroso da gestire.
Spesso la reazione non preparata può determinare il fallimento organizzativo, con impatti severi che rischiano di arrivare finanche all’estremo per un’organizzazione produttiva.
Come spesso accade, uno strumento di valenza innovativa quale quello del modello di sviluppo portato dal paradigma Industria 4.0, rischia di essere solamente un elemento di sfruttamento economico incompreso rispetto alle reali potenzialità determinabili dalla sua corretta interpretazione, dove la sicurezza dei dati può rappresentare sicuramente uno dei pilastri da considerare in modo obbligato, soprattutto nel contesto industriale e geopolitico attuale, in cui il dato ha oramai un valore inimmaginabile rispetto a qualche anno fa.
Un approccio consapevole al tema della sicurezza delle informazioni può quindi rivelarsi molto utile e proficuo.
Affidarsi a soggetti riconosciuti, competenti e di comprovata esperienza per un’analisi dello stato di maturità del modello organizzativo e tecnologico di gestione dei dati di un’organizzazione produttiva è sicuramente un primo passo necessario da compiere verso una logica di comprensione del livello di maturità attuale, delle principali lacune, dei potenziali rischi e delle modalità per migliorare il livello di governo dei processi da preparare per la successiva applicazione reale ed efficace del paradigma Industria 4.0.
C’è bisogno di agire in tal senso, ma senza procrastinare ulteriormente. Bisogna agire ora!
Farlo “dopo” potrebbe essere troppo tardi.
M. Cacitti
Tra i nostri servizi forniamo la consulenza per Sicurezza Informatica e CyberSecurity oltre che una serie di attività funzionali all’ottenimento delle agevolazioni previste dal piano Transizione 4.0
Compila il modulo qui di seguito per essere ricontattato oppure consulta la nostra pagina dei Contatti per qualsiasi richiesta