La cybersecurity oggi si può considerate un punto nevralgico della convergenza fra mondo IT e mondo OT (Operational Technology). Sono diversi i contesti produttivi interessati da questa convergenza. In particolare il manufacturing, per la sua rilevanza nella nostra economia e in quella di tutto il mondo, è uno degli ambiti in cui le tecnologie OT stanno rappresentando una leva essenziale per ottimizzare e automatizzare i processi in chiave 4.0.
Il tema della sicurezza dei sistemi di tipo industriale è anche al centro della riforma che nell’Unione europea ruota attorno al nuovo Regolamento Macchine il cui iter di approvazione dovrebbe concludersi entro la fine del 2022. Il Regolamento porterà delle modifiche all’attuale Direttiva Macchine 2006/42/CE per assicurare livelli di sicurezza uniformi a cui tutti i Paesi membri Ue dovranno adeguarsi.
Certo, non basta una normativa a far sì che le aziende adottino criteri di resilienza efficaci, come dimostra il GDPR. Una delle parti più spesso disattesa della legge europea sulla privacy, ad esempio, è quella che impone alle organizzazioni l’obbligo di comunicare alle autorità di vigilanza di aver subito un attacco informatico. Cosa che non sempre avviene per evitare ricadute in termini di bad reputation. “C’è ancora tanta strada da fare – dice Christian Parmigiani, CEO di 4wardPRO e board member di Impresoft Group, della cui galassia fa parte 4wardPRO -, soprattutto se si considera che la velocità con cui le aziende stanno percorrendo i loro tentativi di messa in sicurezza non va di pari passo con la crescita esponenziale delle minacce”.
Com’è cambiato il perimetro della sicurezza aziendale
Specializzata in soluzioni di corporate resilience, 4wardPRO pone l’accento sul cambiamento della cybersecurity negli attuali scenari, molto diversi rispetto a quelli di qualche anno fa. “Oggi si parla di cyber war, cyber espionage e cyber sabotage – spiega Parmigiani -. Il perimetro aziendale degli attacchi potenziali è diventato sempre più fluido. Ormai con un cellulare o con qualsiasi altro tipo di device si ha accesso a tutti i dati e il focus si è spostato dal dispositivo all’identity, che è ciò che caratterizza l’accesso al dato”. Ci sono altri fattori da tenere nel giusto conto, a cominciare dalla proliferazione delle soluzioni Software as a Service (SaaS) che contribuiscono a complicare il controllo di un perimetro che va oltre le mura dell’impresa.
A ciò, si aggiungono fattori culturali e di skill gap rispetto a una cybersecurity che non si può più limitare all’installazione dell’antivirus o all’aggiornamento dei PC. “Il paradosso della digital transformation è che, avendo reso più asset aziendali intangibili, cioè informatizzati e digitalizzati, ha anche esteso il perimetro di ciò che può essere posto sotto attacco. Se prima un cyber attack poteva causare il blocco delle e-mail, adesso rischia di fermare i camion con le merci nei magazzini. Il che potrebbe essere un bene, perché sono proprio gli effetti ‘pragmatici’, e non solo digitali, di un attacco che possono stimolare una maggiore attenzione da parte dei decisori aziendali” sostiene provocatoriamente il CEO.
Predisporre una strategia fondata sul risk assessment
Nell’era di Industry 4.0 e delle macchine connesse l’esposizione al rischio si è spostata dall’IT al business. Per questo sarebbe auspicabile che le aziende se ne rendessero conto prima di subire un attacco. Dopo, potrebbe succedere quello che è accaduto in diversi casi, quando un ransomware arrivato tramite la classica e-mail ha poi criptato i dati dell’azienda ed è stato seguito dalla richiesta del pagamento di un riscatto in bitcoin. “Pagare un riscatto spesso non risolve il problema” chiarisce Parmigiani, sottolineando che oltre a poter far incorrere gli amministratori in reati penali, ad esempio perché l’importo può essere utilizzato per finanziare attività illecite, non è detto che blocchi le intenzioni delittuose degli attaccanti che possono vendere ugualmente sul dark web i dati sottratti all’azienda. “Di solito si dice che esistono due tipi di aziende: quelle che sono state attaccate e quelle che ancora non se ne sono accorte” ricorda. Da qui l’esigenza di predisporre una strategia fondata sul risk assessment che parta dal disegno architetturale e arrivi ai servizi costanti di monitoraggio reattivo e proattivo dei sistemi. È quello che mette in atto Impresoft Group insieme alla proposta di soluzioni specifiche come il MES (Manufacturing Execution System) che servono a governare la produzione in fabbrica. Solo così si accorcia il tempo di reazione, che rappresenta “uno degli elementi chiave proprio per mitigare o contenere un attacco nel minor tempo possibile. Un po’ come un incendio: se si propaga, diventa sempre più difficile riuscire a spegnerlo”.
Disegno architetturale e cambiamento di mentalità
Il disegno architetturale è anche lo strumento principe per mettere in sicurezza i dispositivi IoT che si trovano nello shop floor. “Esistono una serie di tecniche e di tecnologie che permettono di segmentare la rete in modo da creare dei comparti. Come avviene nelle navi, in cui lo scafo è suddiviso in più sezioni così da evitare che si allaghi tutta l’imbarcazione in caso di falla, analogamente la rete va suddivisa per consentire all’azienda di resistere contro possibili attacchi” continua Christian Parmigiani. Non va dimenticata, ovviamente, la selezione di fornitori i cui dispositivi IoT, muniti di appositi software, devono offrire adeguate garanzie di sicurezza ad esempio tramite l’aggiornamento periodico.
Tuttavia, senza un disegno architetturale a priori il rischio di “affondamento” rimane altissimo. Al primo posto, in ogni caso, si colloca un cambiamento di mentalità che proprio nel manifatturiero tarda a emergere per la sua tradizionale propensione a investire su asset fisici come i macchinari. Peccato che oggi queste macchine siano connesse con il mondo e che per metterle in sicurezza bisogna ricorrere a investimenti di tipo Opex e non solo Capex come avviene per l’acquisto degli impianti. Gli stessi provvedimenti a sostegno della transizione 4.0 tendono a privilegiare i meccanismi d’acquisto e di licenza tradizionali e non contemplano le subscription che appartengono all’universo del cloud e, quindi, alla cybersecurity by design che il cloud garantisce più di qualunque altra infrastruttura. Una cosa è chiara: “la sicurezza in un progetto 4.0 non può più essere pensata come un elemento facoltativo e opzionale. Deve essere percepita come un must-have, non un nice-to-have” conclude il CEO di 4wardPRO.