Come realizzare una fabbrica connessa e sicura
Le strategie, le tecnologie e le best practice per realizzare impianti automatici di produzione connessi, garantendo la massima sicurezza dei dati, delle infrastrutture e delle persone.
Maurizio Cacciamani
La forte digitalizzazione delle macchine, unita all’aumento della connettività e della complessità dei sistemi, ha di molto ampliato i cyber-rischi, da cui è indispensabile difendersi.
Come difendersi dagli attacchi
Nel 2023 gli attacchi alle aziende in Italia (fonte Rapporto Clusit 2024) sono aumentati del 12% procurando per 89% dei casi danni gravi o gravissimi. per quanto riguarda le vittime il settore del manufacturing è al secondo posto con 13% il doppio rispetto al campione globale, gli attaccanti invece appartengono per il 64% al cybercrime in quanto puntano esclusivamente al ritorno economico e per 36% all’hacktivism. Gli attaccanti scelgono per l’attacco per il 59% i malware e per il 27% DDoS (Distributed Denial of Service ovvero si blocca un sistema inondandolo di traffico Internet).
Come difendersi dagli attacchi? Occorre, secondo Sofia Scozzari, (Hackmanac e Clusit) una strategia composita che preveda un’accurata analisi dei rischi e stabilire i necessari investimenti. Purtroppo si spende male con soluzioni non corrette o impiegate male.
Safety e security devono andare di pari passo
Occorre tener ben presente che, in caso di attacco, la safety presenta lati deboli. Ricordiamo che in tema safety lo scorso anno è stato pubblicato il Nuovo Regolamento Macchine, che entrerà in vigore tra 3 anni in sostituzione della ormai obsoleta Direttiva Macchine del 2006 e che imporrà alle aziende obblighi non banali. In questi anni si è assistito a un aumento esponenziale degli attacchi che la Direttiva Macchine non aveva assolutamente previsto. Lo scenario si complica ulteriormente con il rispetto da parte delle aziende del nuovo regolamento sull’Intelligenza Artificiale.
Le norme, spiega Anna Italiano (Partner4Innovation), stabiliscono come gestire i rischi ovvero valutare, aggiornare e comunicare gli attacchi (a clienti, fornitori e nel caso anche autorità), con lo scopo di stabilire un livello comune elevato di resilienza agli attacchi. Le nuove normative che coinvolgono interi settori produttivi, compresa la supply chain, vogliono garantire la continuità operativa, danno nuove regole di governance con il coinvolgimento del CDA per l’approvazione delle misure adottate, e obbligano le organizzazioni ad impegnarsi nella formazione a tutti i livelli aziendali.
Attenzione alle macchine “non 4.0”
Nella fabbrica moderna per garantire la sicurezza degli operatori non è più pensabile istallare soluzioni segregative, ma utilizzare nuove tecnologie come le telecamere 3D di sicurezza là dove operano robot e AGV. Non basta utilizzare prodotti sicuri, occorre disegnare anche ambienti sicuri (qui le nuove norme aiutano) con il supporto fin dall’inizio dei progetti, di consulenti. Fondamentale poi è poter disporre a livello globale di servizi che tengano conto delle necessità locali (anche legislative).
Per quanto riguarda la security, Marco Catizone (SICK) rimarca che oltre ovviamente a rispettare le norme (NISS2) occorre utilizzare componenti come i sensori progettati ex novo con security come requisito primario: i sensori sono sempre più connessi non solo all’OT ma ora anche all’IT per cui devono essere molto resilienti agli attacchi. Il retrofit delle macchine “non 4.0” richiede interventi spesso costosi e potenzialmente a rischio, se non si prendono le dovute precauzioni: ad esempio i nuovi sensori non andrebbero collegati all’automazione esistente ma a una struttura parallela che elabora i dati permettendo la creazione di link OT-IT senza rischi.
L’analisi dei rischi
Come nella safety, anche nella cybersecurity prima di adottare qualsiasi mitigazione occorre prendere atto dei rischi del proprio sistema. Invece coloro che provengono dall’OT, non avendo alcuna esperienza in IT, tendono a comprare dispositivi senza conoscere i rischi del proprio sistema. Marco Cosatto (Pilz) consiglia di impostare e di configurare i singoli componenti, valutare se ci sono entry point scarsamente mitigati oppure mitigati oltre le reali necessità o completamente dimenticati (ad es. wifi). Errori sono supporre che il provider di internet copra completamente le esigenze di sicurezza aziendale oppure non prendere in considerazione i rischi locali (chiavette dimenticate o wifi dei telefonini non protetti).
Solo con il risk assessment di una macchina si può decidere le mitigazioni migliori. In ogni caso la gestione della safety presuppone la presa in considerazione dei pericoli dovuti alla cibersecurity proprio perché richiesto dal regolamento macchine. Uno degli anelli più facilmente attaccabili è costituito dalla supply chain: ora, come richiesto dalle norme, dovrà garantire al produttore lo stesso livello di sicurezza pur utilizzando soluzioni tecniche diverse. I piccoli fornitori, restii per motivi di costi a implementare la security, se vorranno lavorare con aziende importanti, dovranno garantire la loro security: questo porterà in generale a ottenere livelli di sicurezza più elevati anche da parte di coloro cui non viene richiesto dalle norme (NISS2) di implementare sistemi di cyber security anche a livello organizzativo.
Il rischio “0” non esiste
In questi ultimi anni il traffico delle imprese si è spostato in modo irreversibile sempre più su internet (smart working, accesso da remoto alle macchine, dati sul cloud) così che è pressoché impossibile garantire un controllo di sicurezza perimetrale. Poiché le reti IT e OT tendono a convergere, risulta complicato, malgrado la loro segmentazione, garantire la sicurezza della fabbrica. Bisogna quindi scegliere reti con architetture più moderne spostando i controlli di sicurezza all’interno della rete degli operatori.
Tim Enterprise, spiega Michele Vecchione, sta investendo in questa direzione non solo dal punto di vista tecnologico ma anche dei servizi professionali e delle competenze. Il 5G garantisce più sicurezza fisica (ovvero la safety dei dipendenti) ma anche cybersicurity con misure tecniche (criptografia), regole di certificazione più stringenti (il Cyber Resilince Act di prossima approvazione).
La nuova Nis2 non è una norma tecnica ma manageriale
La fabbrica oggi è connessa per le transazioni alle banche, ai fornitori, a chi fa manutenzione, a chi fa logistica: alla fine tutti devono avere la stessa resilienza e, per fare questo, l’azienda deve obbligatoriamente organizzarsi con con procedure e anche con figure professionali nuove. In caso di verifica, la Nis 2 (entrerà in vigore il 17 ottobre) prevede sanzioni fino al 2% del fatturato con un massimale di 10 milioni di euro. Le aziende poi, dati i costi, dovrebbero cercare di accedere ai finanziamenti e agevolazioni per la cybersecurity, che va studiata e realizzata non sulla singola impresa ma sull’ecosistema.
Tenere conto delle competenze e della capacità di spesa
Nel manufacturing la realtà è molto variegata: c’è chi, spinto dal regolatore, sta prendendo coscienza della cybersecurity, chi ha già installato soluzioni di protezione, chi invece non ancora preso a cuore il problema. Il primo passo è avere un buon IT segregato con buone pratiche di gestione. Il passo successivo è scegliere soluzioni pensate specificatamente per la rete OT che devono garantire la continuità della produzione eliminando gli elementi di disturbo. L’approccio deve essere graduale e risk based, che tenga conto delle competenze aziendali e della capacità di spesa. Non va dimenticata la formazione dei dipendenti dato che, in ambito OT (soprattutto tra gli operatori) la consapevolezza dei rischi è bassa e qualsiasi attività in questo campo porta a risultati immediati.
Spesso le reti OT vengono banalmente colpite, causando gravissimi danni, da malware anche di tipo vecchissimo che si muovono indisturbati, a causa di sistemi operativi obsoleti o dell’impossibilità di aggiornare i controlli delle macchine. Appositi software, è un suggerimento di Fabio Sammartino (Kaspersky Italia), possono ridurre drasticamente gli effetti di questi attacchi. Sono in aumento le infezioni da internet, in diminuzione quelle da email, mentre il rischio randsomware (parte finale di una catena di attacco) è stabile anche se, comunque, gli attacchi sono in aumento ma “bloccabili” in anticipo.
Le novità del piano Transizione 5.0
Il nuovo piano Transizione 5.0 è stato al centro di un dibattito a 360SummIT Forum, cui hanno preso parte tra gli altri rappresentati di Confindustria, associazioni di categoria, rappresentati del ministero ed enti finanziari
Argomento attuale e delicato visto il complicato iter del relativo decreto legge e la laboriosa preparazione dei relativi decreti attuativi necessari per l’approvazione dei progetti e ottenere i relativi finanziamenti. Ricordiamo che Transizione 5.0 premia la digitalizzazione e il contenimento dei consumi incentivando le imprese italiane a investire in tecnologie software e hardware innovative. Dalla produzione alla logistica, queste tecnologie possono infatti svolgere un ruolo cruciale nell’ottimizzazione delle operazioni e nella riduzione dell’impatto ambientale. I vari interventi hanno spiegato le differenze tra Transizione 4.0 e Transizione 5.0; le caratteristiche e i pregi del nuovo piano che è ben strutturato e ben coperto finanziariamente; cosa fare per accedere ai finanziamenti; i crediti di imposta disponibili; le certificazioni da presentare; come verranno effettuati i controlli. Per ulteriori dettagli rimandiamo all’articolo curato da Milena Bernardi, intitolato “Via libera al piano di transizione 5.0”, ItaliaImballaggio, maggio 2024.
Fonte: Spunti dalla tavola rotonda coordinata da Franco Canna (Innovation Post) “Finanziare l’innovazione al servizio della transizione digitale e green: le novità del piano Transizione 5.0” tenutasi a Industry4.0 360SummIT Forum.