Sicurezza informatica e Industria 4.0 linee guida europee

Cyber security e Industria 4.0: le linee guida europee

L’industria 4.0 sta diventano realtà. Porterà con sé grandi benefici per il lavoro e la produzione manifatturiera, ma anche nuove sfide da affrontare. Le nuove tecnologie della quarta rivoluzione industriale saranno più esposte agli attacchi informatici, perciò investire in cyber security sarà fondamentale per tutte le aziende che vogliono innovare. Per favorire questo processo, l’Agenzia Europea per la Sicurezza Informatica (ENISA) ha stilato delle linee guida.

 

L’Industria 4.0 sta diventando realtà. Grazie all’uso di nuove tecnologie intelligenti e interconnesse, le macchine sono in grado di comunicare tra loro e con operatori anche a distanza, rendendone possibile il controllo e la manutenzione anche da remoto. Gran parte delle operazioni industriali, dalla progettazione alla produzione fino alla catena di fornitura, saranno presto del tutto automatizzate.

Se da un lato la quarta rivoluzione industriale sta portando con sé notevoli benefici per la produttività delle aziende e per chi lavora nelle fabbriche, dall’altro non mancano i rischi, soprattutto riguardo la sicurezza informatica. I dati sono chiari: ovunque si stiano introducendo nuove tecnologie digitali e interconnesse, a partire dalla grande varietà di applicazioni IoT (Internet of Things), aumenta l’esposizione agli attacchi informatici.

 

Cyber security: aumentano gli attacchi ma anche gli investimenti

Il 2018 è stato un anno nero per la sicurezza informatica. In tutto il mondo si è registrato un aumento vertiginoso degli attacchi e anche l’Italia conferma questo trend, con un aumento del 37,7% di attacchi gravi rispetto al 2017 e un aumento del 77,8% nel quinquennio 2014 – 2018 (rileva il Rapporto Clusit 2019). Gli scopi principali dei cyber attacchi alle imprese sono stati finora truffe (83%) ed estorsioni (78%), seguiti da intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma in futuro le tipologie di attacco evolveranno per sfruttare le vulnerabilità delle nuove tecnologie: nel prossimo triennio si prevedono attacchi ai sistemi di produzione, alle infrastrutture critiche come reti elettriche, idriche e telecomunicazioni, e ai veicoli connessi.

Per l’Industria 4.0 la cyber security è di fondamentale importanza e le aziende italiane si preparano alla sfida investendo in soluzioni di information security & privacy, con una crescita del 9% nell’ultimo anno. Il 63% delle grandi imprese italiane ha aumentato il proprio budget in sicurezza informatica rispetto all’anno precedente e il 52% ha già programmato un piano di investimenti pluriennale. Tra questi investimenti la principale voce di spesa riguarda l’adeguamento al GDPR.

Industria 4.0 attacchi informatici linee guida europa
Le principali finalità e i principali target di attacco informatico
(FONTE: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano)

 

Cyber security e Industria 4.0: le linee guida dell’Europa

Per le imprese che stanno evolvendo verso l’Industria 4.0, le principali criticità sono legate alle tecnologie IoT. Secondo una ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, i principali fattori di minaccia informatica sono la mancanza di una logica di security by design (indicata dal 73% delle imprese), la scarsa consapevolezza da parte degli utenti sui possibili problemi legati a questi dispositivi (58%) e l’assenza di standard tecnologici e di sicurezza (53%). Le principali sfide per la sicurezza nell’Industria 4.0 riguarderanno soprattutto la mancanza di consapevolezza dei problemi di sicurezza da parte delle funzioni Operations (56%), l’interconnessione crescente tra impianti industriali e infrastruttura IT (55%), l’obsolescenza degli impianti industriali (40%) e la mancanza di figure con adeguate competenze (37%).

Dello studio di questi aspetti si occupa da tempo l’ENISA (European Union Agency for Network and Information Security), che nel novembre 2018 ha pubblicato delle linee guida per la sicurezza informatica nel settore dell’IoT, con un focus particolare sulle smart manufacturing e sull’Industria 4.0. L’obiettivo della pubblicazione era promuovere e favorire la cultura della sicurezza informatica nell’Industria 4.0 e in tutte le aziende che prevedono di adottare dispositivi e soluzioni IoT nelle proprie operazioni industriali.

A maggio 2019 ENISA ha pubblicato un secondo rapporto, che identifica le principali sfide che l’Industria 4.0 e il settore IoT devono affrontare per incrementare la sicurezza informatica.

 

Cyber security e nuove competenze necessarie all’Industria 4.0

Nella quarta rivoluzione industriale, il nuovo modello di industria richiederà nuove competenze. Questo è vero anche per il settore della cyber security.

L’industria 4.0 sta introducendo nuove tecnologie in ambienti tradizionali e chi oggi si occupa di reti e sistemi informatici si troverà un domani a gestire sistemi ben più complessi, che richiederanno nuove competenze. Secondo l’ENISA, le principali new skills richieste saranno:

  • competenze di sicurezza operativa e abilità nel monitorare, prevenire e rilevare anomalie dovute a violazioni della sicurezza;
  • conoscenza dei nuovi protocolli di sicurezza utilizzati dalle soluzioni Industry 4.0 e Industry IoT;
  • padronanza delle funzionalità di sicurezza dei componenti delle nuove macchine e dei servizi connessi;
  • sicurezza dei sistemi di informazione sulla supply chain.

 

Succede spesso che le aziende puntino prima sull’innovazione tecnologica e poi sulla formazione dei propri dipendenti, introducendo nuove macchine e sistemi senza considerarne l’accettazione da parte degli utenti e la capacità di utilizzarle correttamente. Una giusta cultura della sicurezza informatica dovrebbe invece vedere l’innovazione tecnologica procedere di pari passo con tutti gli aspetti che riguardano i fattori umani, tra cui anche la formazione e l’aggiornamento delle nuove figure professionali.

Per questo l’ENISA raccomanda alle aziende in transizione verso l’industria 4.0 di investire nella cultura della sicurezza informatica, attraverso piani di formazione ad hoc per i propri dipendenti, interni ed esterni, e collaborazioni con università o con altre aziende esperte nel settore.

 

Un cambio di paradigma: la sicurezza informatica come opportunità di business

Investire in cyber security costa, e spesso il ritorno di questi investimenti non è tangibile, almeno nel breve periodo. Nelle sue linee guida, l’ENISA invita però a cambiare punto di vista e a guardare agli investimenti in sicurezza informatica non come a un costo, ma come ad una opportunità di business. La sicurezza informatica porta infatti le aziende ad essere più sicure, a difendere i propri beni materiali e immateriali, a difendere la propria reputazione, e soprattutto a generare maggiore fiducia nei propri clienti: in altre parole, ad essere più competitive sul mercato. Ed in futuro sarà sempre più così.

Ovviamente, quando si tratta di investire, anche gli incentivi e gli sgravi fiscali sono importanti. In Italia, con il Piano nazionale Industria 4.0 (ora evoluto in Impresa 4.0), sono state varate diverse misure per sostenere le aziende in questo percorso.

 

Industria 4.0, cyber security e liability: un problema aperto

Per la maggior parte delle tecnologie emergenti, la liability – ovvero l’individuazione della responsabilità in caso di incidente o di attacco informatico – rimane un problema aperto. Lo è ad esempio per le automobili a guida autonoma: in caso di incidente, di chi è la responsabilità? Dell’autista, della casa automobilistica o di chi ha progettato i sistemi per la guida autonoma? Gli stessi interrogativi riguardano oggi tutta la filiera dell’Industria 4.0 e in generale tutti gli ecosistemi complessi frutto delle nuove tecnologie.

Nella supply chain dell’Industria 4.0 ci sono moltissimi componenti, progettati e fabbricati da fornitori diversi in paesi diversi, soggetti perciò a differenti leggi e vincoli amministrativi. E ciò vale anche per i fornitori di software incorporati nella catena. In caso di incidente informatico, come individuare e ripartire le responsabilità? Il problema è davvero notevole.

Per meglio chiarire la catena delle responsabilità tra gli attori dell’Industria 4.0, l’ENISA raccomanda di:

  • Aumentare la consapevolezza degli utenti finali e dei consumatori sui loro diritti in materia di liability;
  • Adeguare i contratti di fornitura e approvvigionamento tra le diverse parti interessate per chiarire le responsabilità specifiche e i requisiti in materia di sicurezza informatica;
  • Essere trasparenti e specificare in modo chiaro gli obblighi legali degli operatori dell’Industria 4.0 quando si tratta di responsabilità;
  • Affrontare le questioni di responsabilità nel contesto della legislazione e della giurisprudenza europee e nazionali, specie se esistono lacune nella legislazione esistente;
  • Valutare la possibilità di stipulare una cyber insurance, un’assicurazione sugli attacchi informatici (ma prima di stipularne una, leggi il nostro articolo sulle 7 cose da sapere sulla cyber insurance).

 

Industria 4.0 e cyber security: necessari standard di sicurezza comuni

Un altro problema sottolineato da ENISA è la mancanza di standard di sicurezza comuni a tutta l’Industria 4.0. Su questo fronte le varie legislazioni sono ancora molto indietro e soprattutto discordano tra loro. Questa frammentazione degli standard incide negativamente sul settore manifatturiero: le grandi industrie, che hanno siti sparsi in tutto il mondo, non possono infatti attuare sforzi comuni per la loro messa in sicurezza. Questo comporta che i diversi siti appartenenti a una stessa azienda non possano collaborare e condividere competenze di sicurezza e soluzioni reciproche, in quanto sono soggetti a standard diversi.

Per superare l’attuale frammentazione degli standard tecnici per la sicurezza informatica nell’Industria 4.0, l’ENISA suggerisce di armonizzare gli sforzi dei singoli paesi all’interno di uno scenario comune europeo e internazionale, con l’introduzione di nuovi standard di riferimento dedicati alla sicurezza nell’Industria 4.0, come già è stato fatto per i droni.

Molto utili in questo senso sono i progetti di ricerca finanziati dall’Unione Europea che mappano gli attuali standard di sicurezza ed esplorano le linee guida necessarie per il prossimo futuro, individuando eventuali lacune su cui intervenire e tracciando percorsi verso la definizione di standard condivisi.

 

Come rendere la tecnologia più sicura

Per garantire la sicurezza informatica dell’Industria 4.0, da un punto di vista tecnologico la parola chiave è interoperabilità.

L’interoperabilità è la capacità di un software di cooperare e di scambiare informazioni e servizi con altri software senza compiere errori e nel modo più efficiente possibile. Con i protocolli software appartenenti a diversi proprietari, l’interoperabilità è spesso messa a rischio e talvolta manca completamente. Questo, per un ecosistema complesso come quello dell’Industria 4.0 che utilizza dispositivi e piattaforme di produttori diversi, non è un problema da poco. Senza l’interoperabilità non solo non è possibile svolgere operazioni senza interruzioni, ma soprattutto la sicurezza viene messa ad alto rischio. È quindi essenziale affrontare il problema dei protocolli proprietari che non sempre comunicano tra loro e adottare quadri comuni per migliorare la funzionalità e la sicurezza dell’Industria 4.0.

 

L’impegno di Deep Blue nella cyber security per l’Industria 4.0

Già da qualche anno Deep Blue mette la propria esperienza in materia di fattori umani e sicurezza nei sistemi complessi, quali l’aviazione e i trasporti marittimi, a disposizione dell’Industria 4.0 e della cyber security. Partecipiamo attivamente alla ricerca su questi temi: siamo la prima PMI in Italia per numero di progetti di ricerca finanziati dall’Unione Europea vinti, e la quarta in Europa.

In questi anni abbiamo offerto la nostra competenza e le nostre conoscenze ad attori di primo piano in Italia e in Europa, collaborando e fornendo servizi, tra gli altri, a Tetra Pak, Sacmi, Leonardo, ENAV, ENAC, EUROCONTROL, IATA, Agenzia Spaziale Europea, World Food Programme (U.N.).

CONTATTACI PER UNA PRIMA CONSULENZA GRAUITA

 

Tra i nostri attuali progetti di ricerca c’è Hermeneut, che esplora i problemi economici connessi alla cyber security. Hermeneut pone particolare attenzione al ruolo dei fattori umani nella cyber security, spesso indicati come una delle principali cause degli attacchi informatici. In Hermeneut abbiamo sviluppato un nuovo strumento pensato per le aziende: una metodologia per valutare e quantificare i rischi e i costi connessi alla cyber security, e per individuare facilmente la migliore strategia per difendersi.

A giugno Hermeneut terrà un “Workshop sulla cyber security nella filiera dell’Industria 4.0”. Al workshop parteciperanno importanti industrie, anche multinazionali, del settore manifatturiero. Durante il workshop si discuterà degli effetti a cascata di un ipotetico attacco informatico sui beni di un’azienda della filiera dell’Industria 4.0, sia materiali (come macchinari, strumentazioni, edifici) che immateriali (ad esempio, dati personali di clienti, fornitori o dipendenti; brevetti; segreti industriali; la reputazione o il marchio di un’organizzazione). Particolare attenzione sarà rivolta a valutare i costi generati dal subire un attacco informatico, indipendentemente dall’impatto effettivo sui beni aziendali, e ad evidenziare gli effetti a cascata sull’ecosistema di filiera (fornitori, clienti, ecc.), identificando i punti deboli e possibili azioni di mitigazione.

Giorgio Sestili
giorgio.sestili@dblue.it

R&D Communication Specialist and Consultant