Cybersecurity: siamo pronti a difendere i dati?

[…] Le reti e i sistemi informativi e le reti e i servizi di comunicazione elettronica svolgono un ruolo essenziale nella società e sono diventati i pilastri della crescita economica.

Le tecnologie dell’informazione e della comunicazione (TIC) sono alla base dei sistemi complessi su cui poggiano le attività quotidiane della società, fanno funzionare le nostre economie in settori essenziali quali la sanità, l’energia, la finanza e i trasporti e, in particolare, contribuiscono al funzionamento del mercato interno.

L’uso delle reti e dei sistemi informativi da parte di cittadini, organizzazioni e imprese di tutta l’Unione è attualmente molto diffuso.

La digitalizzazione e la connettività stanno diventando caratteristiche fondamentali di un numero di prodotti e servizi in costante aumento, e con l’avvento dell’Internet degli oggetti (Internet of Things - IoT) nel prossimo decennio dovrebbero essere disponibile in tutta l’Unione un numero estremamente elevato di dispositivi digitali connessi.

Sebbene un numero crescente di dispositivi sia connesso a Internet, la sicurezza e la resilienza non sono sufficientemente integrate nella progettazione, il che rende inadeguata la cybersicurezza […]. (1)

Nota (1)
Brani tratti dal regolamento (UE) 2019/881 relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione.

Macchine e processi industriali: interviene una Direttiva UE

IoT e Industry 4.0 hanno dato una spinta decisiva ai fini della connessione delle macchine ad Internet. Ma le macchine erano pronte ad essere connesse alla rete? I sistemi e i software di assistenza remota in uso sono idonei? Le domande aprono ad un nuovo scenario sul delicato tema della cybersicurezza. La sicurezza informatica è sempre stata gestita a livello IT, quindi con server, gestionali firewall, VPN, password complesse e doppia autentificazione: termini e procedure diventati di uso comune negli uffici, nella sfera infrastrutturale e finanziaria.

Per quanto riguarda le macchine e i processi industriali, invece, siamo già in ritardo. Solo ora la Direttiva (UE) 2022/255 (la NIS2), prevista in vigore entro il 17 Ottobre 2024 e orientata a implementare il livello di cybersicurezza nell'Unione, ha allagato il campo di applicazione ai fabbricanti di macchinari e inserisce il nuovo requisito di multirischio che coinvolge anche i fornitori di servizi collegati ai costruttori.

Si tratta quindi di individuare quali caratteristiche devono rispettare gli impianti e le macchine industriali per garantire un livello adeguato di cybersicurezza e qual è il grado di obbligatorietà.

Gestire le autorizzazioni in modo sicuro

La cybersicurezza o “ICT security” (Information and Communication Technology) non è un aspetto trattato dalla Direttiva Macchine 2006/42/CE in quanto principio di “security” e non di Safety. Tuttavia, ci sono delle commistioni come nelle norme ISO 13849-1, EN 415-10, ISO 61511, ISO10218-1, che riportano di fatto due principi cardine:

1. la connessione da remoto deve essere autorizzata da locale (con un selettore a chiave, una password, un codice o altro sistema di identificazione e autorizzazione);
2. non deve essere possibile modificare da remoto i parametri di safety senza che questi siano validati in locale. Se ne deduce che i nostri impianti sono più sicuri e, di conseguenza, è necessario iniziare ad agire in un’ottica di safety e security per proteggere le nostre macchine da possibili minacce esterne.

Quando una macchina è collegata in rete è opportuno chiedersi: “Chi può accedere alla mia rete? È autorizzato oppure no? Quando e come accede alla mia rete? E a quali risorse?”

Da questi assunti risulta evidente la necessità di governare alcuni servizi importanti come la teleassistenza e la connessione remota delle macchine, che rappresentano delle vere e proprie autostrade di accesso alle reti aziendali. Le macchine sono di norma collegate alla rete aziendale attraverso router o switch non gestiti, senza regole o filtri, o con software di teleassistenza che permettono al fornitore della macchina di collegarsi, in mancanza di regole definite, ogni qualvolta serva. Di fatto, così facendo, si permette anche l’ingresso, se non adeguatamente limitato o circoscritto, anche a hacker poco esperti che possono così accedere ai dati sensibili delle linee di produzione.

Il fiorente mercato del cybercrimine

Rispetto al classico ransomware, i cybercrimini aziendali hanno lo scopo specifico di crittografare i dati per poi chiederne il riscatto. Si pensi ai vari furti dei programmi PLC e CNC, delle “ricette” in macchina o, ancor peggio, al sabotaggio della produzione stessa.

Come riportato da una ricerca effettuata nel 2022 dall’Agenzia dell’Unione Europea per la cybersicurezza (ENISA), tra le prime dieci minacce si classificano gli attacchi alla catena di approvvigionamento che prendono di mira la relazione tra aziende e fornitori. Le organizzazioni, infatti, stanno diventando più vulnerabili a causa di sistemi sempre più complessi e di una catena di fornitori piuttosto difficile da controllare.

È ormai palese che ci si trova di fronte a nuove forme di attacco alle aziende, tuttavia, dobbiamo interpretare questo incremento esponenziale degli attacchi informatici anche sotto un’altra prospettiva: quella industriale, che coinvolge non solo il settore IT, ma anche quello OT.

Gli operatori e i tecnici IT e OT devono collaborare

Il 94% degli attacchi a sistemi IT (mondo office) ha causato anche blocchi nei sistemi OT (mondo industriale), provocando interruzioni di produzione e di conseguenza l’arresto di intere linee. Un accesso non autorizzato dalla rete OT delle macchine, ormai tutte interconnesse, può infatti portare a un’invasione del mondo IT. Il tema è oggetto di ampie discussioni, in particolare con i nuovi requisiti del Regolamento Macchine (UE) 2023/1230 (Direttiva NIS2), all’interno nelle norme della famiglia IEC 62443.

Gli strumenti a difesa dei dati

Per difendere i propri dati, le imprese hanno dunque bisogno di strumenti di analisi, di controllo e di soluzioni tecniche per regolamentare gli accessi e mantenere appieno tutti i benefici dell’Industry 4.0. Un’importante linea guida per la protezione delle macchine è contenuta nella norma IEC TS 63074 Safety of machinery - Security aspects related to functional safety of safety related control systems, che introduce il concetto di Securty Analisi Dei Rischi e cita come riferimento le norme della famiglia IEC 62443, in particolare la IEC 62443-2-1 e la IEC 62443-3-2.

Il palinsesto normativo è ormai pronto e precursore del Regolamento Macchine (UE) 2023/1230 in vigore a partire dal 1° gennaio 2027 che, con il nuovo RES 1.1.9 “Protezione dall'alterazione”, introduce il requisito essenziale per la cybersicurezza e un nuovo principio di intervento legittimo o illegittimo sulla macchina.

Negli USA con il NEC 2023 inerente alle macchine industriali, entrato in vigore lo scorso gennaio, il requisito è di fatto già mandatorio in 12 stati. Si tratta di una realtà concreta che ha anticipato i tempi. Anche l’Europa, infatti, vedrà concretizzato questo regolamento con la NIS 2 nel 2024 e nel 2027 con il regolamento macchine (EU) 2023/1230, rendendo necessarie delle attività specifiche sulle macchine, impianti e fornitori di servizi, in termini di cybersicurezza, già dai prossimi mesi.

Si riporta di seguito un estratto del documento NEC 2023, dove il requisito fondamentale è la conformità alle famiglie delle norme ANSI/ ISA 62443.

(8) Cybersecurity for network-connected life safety equipment to address its ability to withstand unauthorized updates and malicious attacks while continuing to perform its intended safety functionality Informational Note No. 3: See the ANSI/ISA 62443 series of standards for industrial automation and control systems, the UL 2900 series of standards for software cybersecurity for network-connectable products, and UL 5500, Standard for Remote Software Updates, which are standards that provide frameworks to mitigate current and future security cybersecurity vulnerabilities and address software integrity in systems of electrical equipment.

Matteo Marconi, A.C.&E. (Verona, Italy)