Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

un bilancio

La security al tempo di Industria 4.0: nodi e norme che le aziende devono conoscere

Dalla gestione della privacy alla protezione dei dispositivi IoT, con l’industria 4.0 le aziende devono fare i conti con nuovi problemi e rischi. In aiuto di imprenditori e security manager intervengono le norme e alcune linee guida. Ecco un quadro completo

25 Feb 2019
C

Marco Crociani


L’Industria 4.0 richiede adeguati investimenti in security. La diffusione dell’utilizzo delle tecnologie dell’informazione infatti mette in risalto la presenza di criticità con cui le imprese devono fare i conti. Se da parte vi è un’accelerazione dell’innovazione nelle industrie, dall’altra si ha la corrispondente e proporzionale aumento dei punti vulnerabili ed un’altrettanta rapida evoluzione dei modelli di attacco.

Le criticità spaziano dalla gestione della privacy con il GDPR, a una necessaria valutazione del rischio non finanziario, dettato dalla necessità di protezione degli asset informativi, fino alla protezione dei mezzi di produzione, dai PLC ai dispositivi IIOT nell’evoluzione dell’informatizzazione dei mezzi di produzione dello scenario della Industria 4.0.

Privacy e corretto trattamento dei dati

Del GDPR si iniziano a vedere gli effetti che sta iniziando ad avere, sia per la diffusione di notizie pubblicate relative ai data breach di dati personali, che delle sanzioni che si ipotizzano verranno comminate ai grandi operatori per la mancata corretta gestione dei dati personali. Si inizia anche a vedere l’effetto che questo danno provoca sulla credibilità ed affidabilità degli stessi modificando le valutazioni sul mercato azionario degli stessi.

Le aziende, inoltre, dispongono e trattano anche altre informazioni, proprie della gestione di una impresa, che vengono trattate, depositate, custodite e condivise con i mezzi informatici. Questo tipo di informazioni, che viene dato per scontato che siano in qualche modo informazioni proprietarie e riservate, ed a volte lo sono realmente, manca però la consapevolezza che gli strumenti di custodia non siano i più adeguati per garantirne la confidenzialità, integrità e disponibilità; così come i canali che vengono usati per renderle agevolmente disponibili a tutti gli attori che avrebbero necessità di essere a conoscenza (come le mail, i servizi di condivisione di file, chat ecc.).

Tra queste informazioni si possono trovare i dati finanziari, di gestione economica, di mercato, le trattative in corso, i segreti industriali o di processo, o anche informazioni scambiate via mail su punti di debolezza e vulnerabilità che l’impresa stessa sta attraversando. Pur avendo idealmente la percezione della importanza delle informazioni il livello di consapevolezza del rischio cui sono esposte potrebbe essere non chiaro.

Diversi sono i fattori che possono concorrere alla esposizione del rischio, dalla più eclatante fuga di notizie involontaria allo spionaggio industriale, all’errore umano che può alterare dati tali da portare a compiere decisioni non adeguate, alla interruzione delle disponibilità del dato alla affidabilità stessa del fornitore cui, soprattutto vero nelle piccole realtà in cui la gestione delle informazioni è un supporto alla conduzione di attività diverse, si sono assegnati i servizi di gestione ed elaborazione dei dati (Centri servizi al Cloud).

Ognuno di questi fattori può avere come effetto dalla sola riduzione della efficienza e capacità produttiva di una impresa, nel caso di errori veniali come la mancanza di un backup recente e quello precedente non è troppo indietro nel tempo, fino alla compromissione della sua stessa capacità di operare, se per esempio, il processo di backup non esiste proprio ed il costo di ripristino risulta eccessivo.

I rischi nel gestire le informazioni

A questo scenario si aggiunge la estensione dei sistemi informativi al fuori del perimetro aziendale, ormai possibili con l’utilizzo dei dispositivi mobili di produttività individuale, come smart-phone, tablet, e portatili (a volte con un utilizzo promiscuo aziendale e personale), e la disponibilità dei servizi Cloud nelle sue declinazioni (IaaS, SaaS e PaaS) contrattualizzati, nella migliore delle ipotesi, fino all’utilizzo di quei servizi tramite App che entrano nella categoria dei servizi fantasma usati a livello personale ma che diventano parte di un processo di gestione di informazioni, senza che l’azienda abbia la consapevolezza della loro esistenza. Su questo tipo di attività Fantasma gravano le mancanze di:

  • garanzia della continuità della assistenza,
  • garanzia di esistenza nel tempo ed esistenza (le App potrebbe anche essere ritirate); la cui mancanza o indisponibilità è in grado di arrestare un processo.

Lo stesso discorso vale anche per programmi, fogli di calcolo, che vengono utilizzati su PC acquistati fuori dalla gestione ordinaria degli acquisti (per esempio in nota spese) fuori da ogni tipo di controllo e dai relativi contratti di manutenzione ed un processo di gestione della obsolescenza.

È il caso di un pc, acquistato all’interno di un centro di costo, con sistema operativo installato e magari con antivirus, in cui non si contrattualizzano gli abbonamenti per i servizi di aggiornamento degli antivirus, dopo qualche tempo saranno non solo soggetti a danni ed attacchi, ma, se inseriti nella rete aziendale, portare un danno a tutta l’infrastruttura.

Security e Industria 4.0

Fino ad ora si è discusso dell’ambito IT. Il paradigma dell’Industria 4.0 sta estendendo il flusso e lo scambio di informazioni verso i sistemi e le linee di produzione. In questo scenario si aggiungono ulteriori considerazioni che devono e essere valutate.

Da una parte, le esigenze degli ambiti produttivi sono diverse dalla gestione dei flussi informativi: in esso vi concorrono differenti livelli di attività tipici delle linee di produzione, dai sistema di controllo, a quelli di automazione fino alla ultima frontiera che è quella relativa ai dispositivi di sicurezza fisica finalizzata alla prevenzione dei danni alle persone all’ambiente o all’impianto.

Così come anche sono diverse le esigenze operative dettate da necessità di essere sempre attive, con vincoli di esecuzione temporali molto stretti, con la possibilità di effettuare attività manutenzione in finestre temporali limitate e programmate , che devono essere coordinate con l’arresto di tutta una catena di produzione, con l’attenta ed accurata applicazione di correzioni ed aggiornamenti, poiché che possono , se non opportunamente validate, degradare le prestazioni, da un lato, sia per evitare il rischio di infiltrazione di malware nello svolgimento di questa attività (un caso potrebbe essere l’uso dei dispositivi USB non sanitizzati prima del loro impiego, per esempio) .

Altra grande sfida è legata al fatto che i dispositivi di automazione sono parte di un processo di investimento che è previsto debba essere operativo per molti anni, in cui i rischi legati l’obsolescenza del sistema operativo di supporto al software, per esempio, non deve presentarsi come un vincolo.

Inoltre, i canali per lo scambio di informazioni con la realtà IT, la cui natura si porta dietro i rischi suoi propri nel processo di gestione delle informazioni, per esempio quelli conseguenti a programmazioni di produzione basate su decisioni errate, da cui è evidente che un rischio informativo potrebbe avere un impatto sui risultati finanziari di impresa.

Si introduce anche il rischio, reale, che la connessione di un mondo chiuso come è quello della produzione industriale ad una rete informativa aziendale, che a sua volta si trova connessa ad internet, permetta che malware si insinuino nei dispositivi delle linee di produzione.

Pertanto si è rende necessario estendere il sistema di controllo della gestione della sicurezza dell’informazione aziendale, che non può più essere limitata ai singoli domini di sicurezza fisica o alle sole attività di qualche tecnico esperto, ma entrare ed essere uno degli attori della gestione del rischio aziendale, poiché ha assunto ormai rilevanza tale richiede un coinvolgimento sempre maggiore del management.

Esso deve poter disporre di fonti di informazioni complete ed affidabili da cui attingere le informazioni necessarie per: attuare delle decisioni; compiere delle azioni; per fronteggiare o prevenire dei rischi; nel quadro della gestione dei rischi di impresa.

Schemi normativi per fronteggiare i rischi

Alcune normative definiscono i requisiti che devono essere soddisfatti per poter garantire che lo specifico campo di applicazione sia protetto (il GDPR per i dati personali, PCI-DSS per il trattamento dei dati delle carte di credito alle norme IEC 62443 per gli ambienti di automazione industriale e poi quelli specifici di sicurezza e safety per i vari tipi di industria).

L’adozione ha motivazioni più o meno stringenti a seconda dei casi: in alcuni casi è obbligatoria per requisiti legislativi, in altri casi l’adozione più o meno obbligata, con il pericolo di essere dentro o fuori ad un mercato se non la si adotta, in altri ancora seguire uno schema normativo ed eventualmente certificarlo su base volontaria potrebbe essere una opzione.

Le informazioni reperibili da varie fonti specializzate (in Italia Clusit, gli osservatori del Politecnico di Milano ed altri osservatori, in Europa Enisa e anche le attività di Europol sul Crimine informatico) non presentano un quadro molto consolante sulla gestione della sicurezza delle informazioni per quello che riguarda le violazioni registrate e gestite (oltre alla categoria di quelle che sono state individuate ma non gestite per tempo).

Lo stato complessivo della sicurezza migliora, il numero di minacce ed attacchi aumenta, ed è proporzionale (se non esponenziale non certo in forma lineare) all’aumento dei dispositivi ed i punti accesso alla infrastruttura di una impresa e quindi dei rischi.

Ogni impresa ha diverse categorie di rischi da dover fronteggiare, da quelli finanziari legati alla fruibilità di credito o della gestione della liquidità, alla disponibilità delle forniture e di materiali, le variazioni di mercato, a quelli legati ai mezzi di produzione; ed attua diverse strategie. La scelta la fa il management dell’impresa o, nel caso delle piccole e medie industrie l’imprenditore stesso.

La capacità che l’imprenditore ha di poter effettuare delle scelte è data dalla capacità di poter disporre di dati il più accurati possibili. In questo quadro ormai anche tutto l’alveo della sicurezza della gestione delle informazioni aziendali ha assunto la necessità di essere una componente della gestione del rischio aziendale.

Per fare ciò deve essere messo in atto una modalità sistematica di gestione, controllo e raccolta dello stato di sicurezza dei vari trattamenti di dati. Il modo migliore è partire da quello che si ha, e che magari, obtorto collo, si è dovuto fare, per iniziare un percorso di strutturazione di questo processo.

La norma che ha visto la maggiore risonanza è sicuramente stato il regolamento europeo per la protezione dei dati personali (GDPR) a cui tutte le imprese in qualche modo hanno dovuto fare i conti, non foss’altro che per sapere se, indipendentemente dalla dimensione, si era oggetto della applicazione della norma o meno.

In questo contesto si sono verificati, come in ogni momento di transizione, diversi fenomeni, alcuni che possono avere portato a eccessi di applicazione con relativi costi operativi superiori al necessario, altri ad una applicazione leggera ed incompleta della norma nell’ottica del mero adempimento ad una norma senza coglierne l’opportunità. In modo molto semplificato la normativa ha suggerito alcune cose:

  • censire i trattamenti dei dati da personali, che significherebbe fare un esame dei propri dati (informazioni e flussi) per vedere se sono dei trattamenti oggetto del regolamento;
  • valutare il rischio rispetto alla normativa, ma anche rispetto all’impatto che ha sulla azienda;
  • porre in atto le soluzioni più idonee per ridurlo e documentarlo, per poter dimostrare che si è fatto il ragionevole per fronteggiarlo;
  • attuare le misure di controllo e contrasto come prescritto;
  • rifare periodicamente, o ad ogni variazione dei flussi, della tecnologia o della organizzazione, un riesame dei flussi dei dati personali;
  • documentarli per poter dimostrare (e ricordare) le motivazioni che hanno portato a determinate scelte ed escluse delle altre.

Nessun obbligo cui ottemperare

Il legislatore ha imposto di svolgere delle attività che, per non inventare nulla sono in linea con le migliori pratiche per un corretto sistema di gestione, sembrano molto, per non dire che lo sono, al ciclo PDCA di Deming descritto per un SGSI (Sistema di Gestione per la Sicurezza Della Informazione) ossia ISO 27001.

Il ciclo è lo stesso adottato anche per i sistemi di valutazione del rischio, per la gestione della qualità. Se l’impresa è costretta a farlo a causa di un obbligo di legge per la gestione di una classe particolare di informazioni, perché non pensare di estenderlo a tutti gli ambiti in cui vengono trattate informazioni.

Se si è stati ligi con quanto detto fino ad ora, si dovrebbe già essere entrati nella modalità di approccio, sempre che, a seconda della visione da parte di chi gestisce il processo (continuo) del trattamento dei dati personali non lo abbia fatto solo rigidamente e limitatamente all’adempimento.

In tale contesto, non essendoci obblighi da ottemperare, è possibile procedere per passi discreti, ma intanto si estende la conoscenza, inizialmente grezza del campo di rischio, e si inizia un processo virtuoso di censimento e gestione dei rischi. Lo stesso vale anche per altri ambiti, con le diverse declinazioni di rischio e di sicurezza dove ognuno deve poter fare ed agire per il proprio campo specifico.

Probabilmente si troveranno dei punti di sovrapposizione con diverse percezioni di rischio e di corrispondente valutazione. A maggior ragione, è necessario che sia tutto ricondotto almeno ad uno stesso modello di lavoro per fare in modo che chi deve decidere abbia in mano, se non tutte ma almeno il massimo, le informazioni possibili per prendere delle decisioni in merito ai rischi e sia a fronte della legge o di tutti gli stakeholder della impresa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5