AFV Acciaierie Beltrame Group, attivo da oltre 120 anni nel settore siderurgico, produce attualmente laminati e componenti destinati alle costruzioni edili, alla cantieristica navale e alle macchine movimentazione terra. Il Gruppo, proprietà della famiglia Beltrame da cinque generazioni, ha attuato una forte iniezione di management internazionale e opera con stabilimenti in Italia, Francia, Svizzera e Romania e circa 2mila dipendenti, realizzando un fatturato di oltre 1.240 milioni di euro (2018) e una crescita a due cifre.
Nel campo della sicurezza, alle classiche problematiche tipiche dell’IT, si sommano le necessità dell’ambiente di fabbrica (OT) con le sue proprie caratteristiche. Come per molte aziende industriali, la sicurezza, un tempo garantita dalla segregazione della produzione, oggi è messa in discussione dalla digitalizzazione diffusa e dal paradigma industria 4.0 che vede sempre più gli ambienti industriali connessi a Internet.
La digitalizzazione avanzata delle macchine di produzione può dunque trasformare un rischio digitale in un pericolo fisico. Un incidente di sicurezza potrebbe infatti portare a conseguenze gravi come il blocco della produzione se non addirittura coinvolgere tematiche di safety con danni non solo per gli asset ma anche per le persone.
I principi della sicurezza IT non valgono nell’OT
Il gruppo Acciaierie Beltrame è da sempre attento alle tematiche della sicurezza informatica e alla sicurezza fisica sia delle proprie fabbriche sia delle persone che vi lavorano.
Gli obiettivi della sicurezza IT e della sicurezza OT convergono nel salvaguardare la continuità operativa e del business, tuttavia, gli approcci da seguire si devono differenziare, come ricorda il CIO del gruppo, Mirco Destro, intervenuto in occasione della presentazione del Report dell’Osservatorio Information Security & Privacy del Politecnico di Milano: ”L’obiettivo è comune ma i fondamentali sono completamente diversi”.
Va ricordato che l’organizzazione di Acciaierie Beltrame prevede che la gestione della sicurezza OT ricada sotto la responsabilità dell’IT che, con circa 30 persone, è suddivisa in tre aree operative: Technology, Security, Application. La Security è, a sua volta, suddivisa in tre ambiti di competenza: cybersecurity, sicurezza fisica e sicurezza industriale-OT/automazione. Il CTO del gruppo, che riporta al CIO, svolge la funzione di security manager sia per la componente cyber security sia per la sicurezza industriale.
È stato dunque naturale l’approccio iniziale di trasferire all’OT le metodologie e gli strumenti tipici dell’IT.
“Nel nostro viaggio per garantire la sicurezza di fabbrica, siamo partiti cercando di portare i principi della sicurezza IT nel mondo OT – sottolinea Destro – Ci siamo però accorti che pensare di portare questo modello sui sistemi OT era inefficace e controproducente. Abbiamo allora fatto un passo indietro cercando di capire quali barriere si frappongano alla possibilità di portare l’IT security nell’ambiente OT”.
La pausa di riflessione è servita per evidenziare le differenze fra le problematiche IT e OT, ancor più evidenti in un’impresa, come Acciaierie Beltrame, focalizzata sulla produzione, capital intensive e una cultura prevalente old economy. “Il tema dell’obsolescenza è il primo punto da affrontare in modo serio, anche se non l’unico. Gli investimenti negli impianti valgono centinaia di milioni e includono sistemi che hanno un ciclo di vita enormemente più lungo di quelli di un sistema IT”, è la considerazione del CIO, che ricorda la significativa evoluzione della sicurezza IT dai tempi in cui la security si riduceva ad installare un antivirus e un firewall.
Ma mentre un sistema IT è aggiornato per sua natura, un aggiornamento di un sistema OT diventa problematico. Nell’ambiente di produzione sono presenti grandi quantità di tecnologie legacy, come Window 95 e protocolli Tcp/IT nella migliore delle ipotesi, mentre nella situazione peggiore si trovano i protocolli e i sistemi più svariati. Diventa dunque estremamente complesso anche attivare un firewall che di fatto va a proteggere solo una quota parte di quanto passa nelle reti industriali.
La diversa obsolescenza non è però l’unica differenza fra ambiente IT e ambiente OT.
“Un importante vincolo per gli ambienti industriali sono gli spazi: l’acciaieria è una città connessa con spazi che tendono all’infinito mentre il budget tende a zero, prevede una produzione attiva 7×24 su più Paesi, mentre le persone IT sono operative per un orario limitato, a meno delle reperibilità”, aggiunge Destro. Anche gli skill delle persone che operano in produzione sono molto diversi da quelli delle persone IT: “Nell’ambiente OT parliamo di produzione e di sviluppatori che da un lato hanno i loro vincoli ma dall’altro sono più avanti su alcune tematiche di quelli IT (che pure operano in una logica agile) visto che sono abituati a sviluppare in real time”, dice il CIO, sottolineando che si ha a che fare comunque con competenze e mentalità diverse.
Alcune soluzioni tecnologiche e organizzative per la sicurezza OT
La funzione IT a cui è demandata anche la sicurezza OT ha affrontato, sul piano tecnologico, il tema dell’obsolescenza cercando di capirne la natura e affrontandola, ove possibile, con l’aggiornamento dei sistemi industriali. Invece di proteggere i pc di fabbrica con antivirus tradizionali, che si sono rivelati incompatibili, si sono sperimentati con successo antivirus pensati per i sistemi di fabbrica, implementabili senza problemi anche su macchine datate.
Si è inoltre ridisegnata l’architettura di rete segmentando le varie aree produttive per poter filtrare e riconoscere i protocolli di comunicazione tipici del mondo OT.
Più spinoso è risultato il tema della cultura e delle competenze nel campo della sicurezza, visto che persone esperte di Pc/plc di fabbrica operano all’interno della parte produttiva e percepiscono con difficoltà la sicurezza come una priorità. Risulta dunque strategico aumentare la consapevolezza degli operatori sul campo in merito alle tematiche di cyber security.
Destro indica con un esempio la via seguita per sensibilizzare i manager industriali: “Confrontandoci siamo riusciti a trasformare un problema in un’opportunità – dice – Quando i manager industriali hanno portato all’IT l’esigenza di poter vedere lo stato degli impianti anche in mobilità, abbiamo fornito loro gli strumenti necessari ma al tempo stesso li abbiamo fatti entrare nel nostro campo, dove le regole erano dettate da noi dell’IT. I sistemi industriali per essere visti dall’esterno dovevano rispettare alcune regole di sicurezza, inizialmente non tanto a livello dell’impianto ma quanto meno per l’accesso all’impianto”.
Questo primo passo ha permesso all’IT di entrare nel mondo industriale, in passato un’area chiusa e protetta, portando le trasformazioni nell’ambito della sicurezza, sopra indicate, come la segmentazione delle reti e la sostituzione dei vecchi antivirus con tool più adatti alla tecnologia.
Il percorso è stato avviato ma il viaggio per una sensibilizzazione sui temi della sicurezza in ambito OT è ancora in corso: “È stato fondamentale partire con il management, ora il confronto è con la linea sul campo”, conclude Destro.