L'APPROFONDIMENTO

IoT 4.0: linee guida operative per l’implementazione dell’Internet of Things in ambito aziendale

Nell’epoca dell’Industria 4.0, all’interno della Smart Factory o c.d. azienda intelligente, risultano cruciali quindi 2 elementi in particolare strettamente interconnessi tra loro: le tecnologie IoT (Internet of Things) e i Big Data. Ecco le linee guida per l’implementazione dell’IoT 4.0 in ambito aziendale

11 Dic 2019
L
Luana Lanfranchi

Privacy Officer & Consulente della Privacy


Le tecnologie IoT (Internet of Things), insieme ai Big Data risultano cruciali all’interno della Smart Factory, la cosiddetta “azienda intelligente”. Nell’epoca dell’Industria 4.0 è dunque importante implementare correttamente l’IoT 4.0 in ambito aziendale.

Le tecnologie IoT 4.0 e il paradigma di Industria 4.0

Il termine “Industria 4.0” è stato coniato per la prima volta in Germania nel 2011 ad opera di 3 ingegneri; i quali avevano elaborato un progetto per l’industria del futuro (Industrie 4.0) che prevedeva importanti investimenti governativi su infrastrutture, energia, ricerca, enti ed aziende per modernizzare il sistema produttivo tedesco, attraverso la digitalizzazione del settore manifatturiero, e riportare così lo stesso in auge nei mercati mondiali.

Quando si parla di tecnologie digitali, riferite a Industria 4.0, non si può non menzionare il termine “Smart Manufacturing”, facendo riferimento all’iniziativa di matrice americana SMLC (Smart Manufacturing Leadership Coalition) che ha visto nel 2012 aziende, enti di ricerca, università e organizzazioni no profit impegnate nell’implementazione di standard e piattaforme condivise.

Due processi distinti, quindi, che hanno però entrambi contribuito a diffondere un unico paradigma di Industria 4.0, cioè di una vera e propria rivoluzione industriale globale (la quarta).

Nella spirale di questa quarta rivoluzione, l’Italia arriva nel settembre del 2016, ad opera del Ministro dello Sviluppo Economico Europeo del tempo Carlo Calenda, con il Piano Nazionale Industria 4.0, con lo scopo di introdurre incentivi per stimolare lo sviluppo di progetti e tecnologie a supporto del Piano.

Proprio a gennaio di quest’anno il tema centrale del WEF (World Economic Forum) è stata l’Industria 4.0 con le previsioni delle possibili problematiche sul tema e delle eventuali proposte risolutive. Questa “rivoluzione intelligente” ha alla propria base il c.d. Cyber – Physical Systems (CPS), cioè un sistema informatico (rete intelligente) in grado di interagire in modo continuo con il sistema fisco in cui opera (formato da oggetti intelligenti c.d “Smart Objects”).

Un sistema cyber-fisico, quindi, ha capacità computazionale, di elaborazione, di comunicazione e di controllo (cyber); integra hardware e software ad oggetti dotati di una propria “intelligenza” (smart); è costituito da tecnologie automatizzate ed intelligenti che operano in maniera autonoma ed in contatto con l’ambiente circostante (Internet of Things) le quali elaborano un’enorme flusso di informazioni trasformandole in know how aziendale predittivo (Big Data).

In particolare, quindi, questi 2 elementi strettamente interconnessi tra loro, le tecnologie IoT (Internet of Things) e i Big Data, nell’epoca dell’Industria 4.0 risultano cruciali all’interno della Smart Factory.

Tecnologie abilitanti della quarta rivoluzione industriale

A tal proposito, secondo uno studio di Boston Consulting Group, prestigiosissima multinazionale statunitense di consulenza strategica, la quarta rivoluzione industriale si centrerebbe sull’adozione di 9 tecnologie definite dalla stessa “abilitanti”, le quali vengono così classificate:

  1. Advanced manufacturing solution: sistemi avanzati di produzione interconnessi (es. robotica collaborativa o cobot);
  2. Additive manufacturing: sistemi di produzione che consentono una riduzione dei tempi di prototipazione ed esecuzione di un progetto (es. stampa in 3D);
  3. Realtà aumentata: sistemi di visione con realtà aumentata (es. realtà virtuale) per guidare meglio gli operatori nello svolgimento delle loro attività;
  4. Simulazioni: simulazione tra macchine interconnesse per ottimizzare i processi, consente la sperimentazione da un punto di vista analitico;
  5. Integrazione orizzontale e verticale: integrazione e scambio di informazioni non più su base piramidale, ma sia in orizzontale che in verticale tra tutti gli attori del processo produttivo;
  6. Industrial internet: interazione tra macchine, operatori ed impianti sia interni che esterni all’azienda grazie all’utilizzo di internet (Internet of Things ed Industrial Internet of Things);
  7. Cloud: implementazione di tutte le tecnologie cloud, le quali consentono l’archiviazione on- line di una grandissima mole di informazioni (es. cloud computing);
  8. Cyber security: l’aumento delle interconnessioni interne ed esterne aprono nuovi scenari sulla tematica della sicurezza delle informazioni e sulla resilienza dei sistemi;
  9. Big Data Analytics: la trasformazione dei dati in conoscenza, cioè tecniche analitiche e sistemi di gestione di grandissime quantità di dati, che permettono previsioni e predizioni in termini di strategie di business.

Sul tema interviene anche il nostro Osservatorio Internet of Things della School of Management del Politecnico di Milano, il quale fornisce un’ulteriore classificazione di 6 tecnologie abilitanti, le c.d. “Smart Technologies” (Tecnologie Intelligenti), molto simili a quelle elaborate dal Boston Consulting Group, raggruppandole in 2 grandi categorie:

  1. le IT – Tecnologie dell’Informazione (Industrial Internet of ThingsIndustrial Analytics – Cloud Manufacturing);
  2. le OT – Tecnologie Operazionali (Advanced Automation – Advanced Human Machine Interface – Additive Manufacturing).

In base a ricerche condotte sempre dall’Osservatorio Internet of Things su un campione di 129 aziende italiane, il livello di conoscenza dell’IoT è ancora limitato o insufficiente, soprattutto tra le PMI, anche se il 95% delle imprese ne avrebbe sentito parlare almeno una volta.

Lo studio delinea, inoltre, anche come il livello di consapevolezza cambi a seconda della dimensione aziendale: il 58% del campione risulta aver avviato almeno un progetto di Industrial IoT nel triennio 2016-2018, ma la percentuale sale al 73% fra le medie e grandi aziende e scende al 29% fra le piccole.

Le tecnologie IoT più implementate risultano essere quelle legate principalmente alla gestione della fabbrica (Smart Factory, 62% dei casi) per il controllo in tempo reale della produzione e della manutenzione, seguite da quelle a supporto della logistica (Smart Logistics 27%) focalizzate sulla tracciabilità dei beni presenti in magazzino e nelle catene di montaggio e, infine, dallo Smart Lifecycle (11%) per l’aggiornamento dei prodotti e lo sviluppo di nuovi modelli di business.

Secondo l’analisi dell’Osservatorio, i principali fattori che spingono le aziende ad avviare progetti in ambito IoT sono 3: la possibilità di ottenere benefici di efficienza (75%) e di efficacia (58%), ma sono ancora tante le aziende che indicano la mancanza di competenze (59%) e la capacità di comprendere il valore delle soluzioni offerte (51%). Un terzo fattore che spinge le aziende ad avviare progetti in tal senso è rappresentato dagli incentivi del Piano Nazionale Industria 4.0 (45%), il quale negli ultimi anni ha permesso un ingente aumento degli investimenti delle imprese sulla digitalizzazione.

IoT 4.0: aumenta l’esposizione agli attacchi informatici

Se da un lato però la quarta rivoluzione industriale sta introducendo benefici per la produttività delle imprese, dall’altro non mancano i fattori di rischio, soprattutto riguardanti la cyber security; come rilevato dal Rapporto Clusit 2019 sulla Sicurezza ICT in Italia, ove si stiano introducendo nuove tecnologie IoT (Internet of Things), cioè digitali ed interconnesse, sta aumentando l’esposizione agli attacchi informatici.

Nel 2018 infatti si è registrato un aumento esponenziale globale degli attacchi informatici e anche l’Italia non è stata condonata, infatti, si è registrato un incremento del 37,7% di attacchi gravi rispetto al 2017 e del 77,8% nel quinquennio 2014 – 2018.

Come rilevano i risultati della ricerca condotta dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, gli obbiettivi principali dei cyber attacchi alle imprese sono stati finora truffe (83%), estorsioni (78%), spionaggio (46%) ed interruzione di servizio (36%).

In futuro, si prevedono altre tipologie di attacco più evolute, le quali mireranno a sfruttare le vulnerabilità delle Smart Technologies. La resilienza degli apparati c.d. “Smart” è basilare non solo per la sicurezza informatica in sé, ma anche per la protezione dei Big Data, dato il loro ingente valore economico sul mercato.

Come descritto dal Rapporto Clusit 2019, il 79% degli attacchi cyber crime in Italia è effettuato con lo scopo di acquisire direttamente denaro o di sottrarre informazioni allo scopo di monetizzarle.

Secondo l’Osservatorio Information Security e Privacy, inoltre, il 75% della spesa complessiva delle grandi imprese si concentra in progetti di adeguamento al Regolamento 2016/679 (GDPR) e nelle componenti più tradizionali della cyber security (come Network Security, Business Continuity, Disaster Recovery ecc.); mentre solo il 18% delle PMI segue il medesimo esempio. Il 23% delle imprese si è già adeguato al GDPR, il 59% ha progetti in corso, mentre l’88% ha un budget privacy specifico, all’interno del quale rientrano anche figure professionali dedicate: il Data Protection Officer (DPO), la cui presenza si attesta nel 71% delle imprese ed il Chief Information Security Officer (CISO) nel 59%.

Sempre secondo il nostro Osservatorio milanese, per le imprese che si stanno indirizzando verso l’Industria 4.0, le principali criticità sono rappresentate dalle tecnologie IoT, a causa della mancanza di una logica di security by design (73% delle imprese), della scarsa formazione da parte degli operatori su questi dispositivi (58%) e dell’assenza di standard tecnologici e di sicurezza (53%).

L’IoT 4.0 e le sfide in materia di sicurezza

Consapevole del potenziale dell’IoT e delle relative sfide in materia di sicurezza, nel marzo 2015 la Commissione europea ha lanciato l’Alleanza per l’innovazione dell’Internet of Things (AIOTI) con l’obiettivo di creare un ecosistema IoT europeo innovativo; è diventata la più grande associazione IoT in Europa, illustrando l’intenzione dell’UE di collaborare con le parti interessate al fine di stabilire un mercato IoT europeo competitivo e sviluppare nuovi modelli di business.

Due mesi dopo, nel maggio 2015, l’UE ha adottato la strategia per il mercato unico digitale (DSM). Nell’aprile 2016, per soddisfare le esigenze del DSM, la Commissione europea ha pubblicato un documento di lavoro, nel quale delinea una vision sullo IoT basata su tre pilastri: un ecosistema IoT fiorente, un approccio IoT incentrato sull’uomo e un mercato unico per l’IoT.

Come l’Internet of Things, la sicurezza informatica è un’altra priorità del DSM in termini di sviluppo degli standard (ad es. l’ENISA nel 2017 ha sviluppato il documento “Baseline Security Recommendations for IoT”).

Attraverso queste iniziative, l’UE mira a promuovere l’innovazione e prepararsi per nuovi prodotti e servizi, poiché l’IoT e la digitalizzazione del settore si basano sullo scambio, l’elaborazione e l’archiviazione di grandi quantità di dati, il recente Regolamento Europeo 2016/679 sulla protezione dei dati personali (GDPR) non può non essere menzionato quando si discute della politica 4.0 dell’UE.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Passando dal panorama europeo al contesto internazionale, nel 2017 lo statunitense IoT Cybersecurity Improvement Act è stato introdotto per affrontare i problemi di sicurezza dell’IoT.

Ancora più recentemente, il governatore della California ha firmato la prima legge sulla sicurezza informatica dell’IoT negli Stati Uniti che dovrebbe entrare in vigore nel 2020; essa richiede ai produttori di dotare i dispositivi collegati di ragionevoli caratteristiche di sicurezza.

Oltre a questo esempio, anche il Dipartimento della sicurezza nazionale degli Stati Uniti, il NIST (National Institute of Standards and Technology) e altre entità hanno lavorato sull’indirizzamento dei problemi di sicurezza informatica associati all’IoT e alla produzione intelligente attraverso lo sviluppo di linee guida, quadri e altri documenti.

Esempi autorevoli di queste iniziative includono gli “Strategic Principles for Securing the Internet of Things”del Dipartimento nazionale statunitense ed il “Cybersecurity Framework” del NIST.

Industria 4.0 e IoT 4.0: linee guida e raccomandazioni per operatori

L’analisi delle iniziative dell’UE e internazionali consente di evidenziare diverse proposte connesse alla sicurezza dell’IoT. Tuttavia, la sicurezza di questi apparati nell’ambiente industriale è ancora considerata una questione da regolamentare da parte delle istituzioni, poiché i concetti di Industria 4.0 e Smart Manufacturing che utilizzano l’IoT risultano essere ancora recenti ed in fase di elaborazione.

Dello studio di tali insinuose peculiarità del mondo 4.0 e dell’implementazione sicura delle tecnologie IoT in ambito aziendale, si occupa da tempo l’ENISA (European Union Agency for Network and Information Security) che nel novembre 2018 ha pubblicato le linee guida per la sicurezza dell’IoT aziendale (Good practices for Security of Internet of Things in the context of Smart Manufacturing).

L’Agenzia definisce l’Internet of Things (IoT) come: “Un ecosistema cyber-fisico di sensori e attuatori interconnessi, che consente un processo decisionale intelligente”. Lo scopo dello studio è di fungere da punto di riferimento per promuovere la collaborazione tra Industria 4.0 e Sicurezza dell’IoT in tutta l’Unione Europea e la sensibilizzazione sulle minacce e i rischi rilevanti nell’era della digitalizzazione.

Lo sviluppo di misure di sicurezza per l’IoT nella produzione intelligente è stato uno dei punti focali dello studio dell’ENISA.

L’idea alla base era quella di fornire linee guida e raccomandazioni per operatori, produttori e utenti delle tecnologie IoT in ambito industriale che, se applicate, può aiutare a prevenire o rispondere adeguatamente a potenziali attacchi informatici e garantire sicurezza e protezione dell’ambiente IoT sia in termini di cyber security che in termini di privacy.

Nel suo “Good practices for Security of Internet of Things in the context of Smart Manufacturing”, l’ENISA definisce l’IIoT (Industrial Internet of Things) come l’IoT (Internet of Things) applicato in ambiente aziendale.

L’industria 4.0, invece, a sua volta, è un concetto molto più ampio che comprende IIoT e Produzione Smart allo stesso modo. L’Agenzia, infatti, definisce l’Industria 4.0 come:”Un passaggio di paradigma verso l’abilitazione di catene di valore digitalizzate, integrate e intelligenti distribuite nel processo decisionale della produzione, incorporando nuove tecnologie cyber-fisiche come l’IoT”.

Sulla base dei precedenti rapporti ENISA per la sicurezza dell’IoT e delle Infrastrutture intelligenti, l’ENISA ha sviluppato un ulteriore strumento online interattivo volto a guidare gli operatori e le industrie dell’IoT e delle Infrastrutture intelligenti nella conduzione delle valutazioni del rischio in qualsiasi tipologia di ambiente smart.

Nel condurre il suo prestigioso studio, l’ENISA ha identificato e analizzato lo stato attuale di tutta la documentazione (linee guida, raccomandazioni, best practice ecc.) disponibile a livello globale sulla sicurezza in IoT, Industrial IoT, Industry 4.0 e Smart Manufacturing, evidenziando così gli argomenti citati frequentemente nella sicurezza IoT.

L’Agenzia, inoltre, ha raccolto contributi di numerosi autorevoli esperti in materia attraverso una serie di interviste. Tutto questo lavoro di analisi e studio ha portato alla conseguente elaborazione di un elenco finale di 20 domini di sicurezza che forniscono il panorama completo di Industry 4.0 e che indicano le aree che richiedono protezione.

Per organizzare tali domini in modo logico, essi sono stati classificati in 3 macro gruppi principali (Policies, Misure organizzative e Misure tecniche), i quali a loro volta sono stati suddivisi in sottogruppi, formando le misure di sicurezza per l’implementazione dell’IoT in ambito aziendale:

  1. le Policies formate da Security by design – Privacy by design – Gestione delle risorse e Gestione dei rischi e delle minacce;
  2. le Misure organizzative costituite da Ciclo di vita degli endpoint – Architettura di sicurezza – Gestione degli incidenti – Gestione delle vulnerabilità – Formazione e consapevolezza – Gestione di terze parti;
  3. le Misure tecniche rappresentate da Gestione della fiducia e dell’integrità – Cloud security – Business continuity and recovery – Sicurezza Machine-to-Machine (M2M) – Protezione dei dati personali – Aggiornamenti software/firmware – Controllo degli accessi – Reti, protocolli e crittografia – Monitoraggio e audit – Gestione delle configurazioni.

Analizziamoli in dettaglio.

IoT 4.o: Policies

Questo primo gruppo di misure di sicurezza si riferisce principalmente a politiche e procedure che dovrebbero essere stabilite all’interno delle organizzazioni per contribuire a garantire un buon livello di sicurezza informatica dove sono state utilizzate soluzioni IoT.

I produttori, inoltre, dovrebbero assicurare che le loro tecnologie non violino le norme sulla privacy e gli operatori dovrebbero essere sensibilizzati sull’utilizzo e sulle criticità dei dispositivi, al fine di evitare di esporre tutte le informazioni personali trattate ai rischi correlati.

Security by design

A questo sottogruppo fanno capo tutte le misure di sicurezza che dovrebbero essere applicate sin dalla progettazione e nello specifico:

  • trattare la sicurezza informatica dell’IoT come un ciclo di vita e non come un processo end-to-end, adottando, in base alla progettazione, un approccio dal punto di vista dei dispositivi e dell’infrastruttura in ogni fase di produzione;
  • indirizzare la sicurezza informatica attraverso le funzionalità integrate degli endpoint anziché solo sulla rete;
  • equipaggiare, come ritenuto appropriato dopo una valutazione sulla sicurezza, anche i più elementari dispositivi collegati con capacità di elaborazione molto limitate (ad es. convertitori) con funzionalità di identificazione e autenticazione e garanzia di compatibilità con le soluzioni di classe IAM (Identity and Access Management);
  • eseguire un’analisi dei rischi e delle minacce sulla sicurezza informatica, che coinvolga esperti in materia, sin dalle prime fasi del processo di progettazione del dispositivo, per scoprire quali funzionalità di sicurezza saranno necessarie;
  • in ciascun documento di progettazione è incluso un capitolo relativo alla sicurezza di tutte le informazioni e dei sistemi di controllo.

Privacy by design

Rientrano in questa categoria, le misure di sicurezza relative alla protezione dei dati personali, le quali dovrebbero essere applicate fin dalle prime fasi di sviluppo del prodotto. Occorre in particolare:

  • risolvere i problemi relativi alla privacy in base alle normative locali e internazionali applicabili, come ad esempio il Regolamento generale sulla protezione dei dati (GDPR);
  • definire l’ambito dei dati che verranno elaborati dal dispositivo e l’obiettivo di questa elaborazione durante la fase di progettazione, evitando la raccolta o la fornitura inutile di dati sensibili;
  • stabilire una posizione fisica di archiviazione dei dati e limitare l’accesso ai dati personali raccolti solo a soggetti autorizzati;
  • eseguire un’analisi dell’impatto sulla privacy (PIA) per i dati che verranno elaborati dal dispositivo;
  • separare i dati che possono essere utilizzati per identificare un individuo da altre informazioni e garantirne la sicurezza (ad es. attraverso la crittografia di tutti i dati personali trasferiti all’interno dell’ambiente IoT).

Gestione delle risorse

In questo sottogruppo rientrano, invece, quelle misure di sicurezza in materia di individuazione, amministrazione, monitoraggio e manutenzione degli asset, cioè:

  • utilizzare strumenti a supporto della gestione patrimoniale in grado di rilevare, identificare ed enumerare risorse specifiche per l’organizzazione e l’ambiente industriale;
  • assicurarsi che la propria azienda disponga di un inventario delle risorse coerente e aggiornato;
  • in ambienti industriali complessi con sistemi legacy, utilizzare ovunque dispositivi di monitoraggio passivo o precedere con una fase di test se si considerano strumenti di monitoraggio attivi;
  • utilizzare un inventario centralizzato delle risorse per l’intero ambiente informatizzato;
  • considerare sicura l’amministrazione degli assets con la gestione dell’infrastruttura e la sicurezza dei dispositivi tramite una rete di gestione dedicata;
  • introdurre un nuovo dispositivo nel sistema soltanto in base a un processo gestionale aziendale di cambiamento stabilito, accettato e comunicato;
  • evitare l’uso di dispositivi rimovibili disabilitando le porte USB se non sono accettati i requisititi aziendali.

Gestione dei rischi e delle minacce

In quest’ultimo sottodominio delle Policies, sono elencate le seguenti misure di sicurezza relative al processo di gestione dei rischi e delle minacce adattato all’ambiente Industria 4.0:

  • adottare un approccio alla gestione dei rischi dedicato all’Industria 4.0 e alla produzione intelligente considerando nuovi parametri, minacce e scenari di attacco;
  • per le infrastrutture critiche negli ambienti di produzione, stabilire una serie di aree di gestione del rischio completamente allineate con gli aspetti aziendali, di sicurezza ed ambientali. Valutare e caratterizzare minacce, vulnerabilità e misure di protezione contro tali aree di gestione del rischio;
  • stabilire un processo di gestione dei rischi e delle minacce in base alle esigenze e alla sicurezza dei requisiti specifici dell’azienda;
  • eseguire analisi dei rischi che includano gli aspetti della sicurezza informatica almeno una volta all’anno ed integrarle con altri processi, come la gestione delle modifiche, degli incidenti e delle vulnerabilità. La valutazione del rischio dovrebbe comprendere la verifica tecnica e procedurale dell’efficacia delle politiche di sicurezza e dei processi;
  • Integrare il processo della minaccia intelligente con l’approccio della gestione delle minacce dell’azienda facendo affidamento su varie fonti di informazione e condividendo le informazioni con partners di fiducia, ISACs (Information Sharing and Analysis Centres) e CERT (organizzazioni incaricate per la raccolta di incidenti informatici);
  • dal punto di vista organizzativo, monitorare le minacce selezionate e determinarne l’impatto sui sistemi eseguendo un’analisi dei rischi approfondita;
  • per quanto riguarda il processo di gestione dei rischi, adottare due diversi approcci contemporaneamente: top-down, affrontando la sicurezza informatica dal punto di vista dell’intera organizzazione e bottom-up, fornendo una visione molto dettagliata della situazione aziendale.

IoT 4.0: misure organizzative

I principi organizzativi e la governance aziendale sono fattori indispensabili, ma generalmente critici in termini di sicurezza aziendale. Le seguenti misure spiegano come le aziende 4.0 dovrebbero operare, quali regole organizzative e responsabilità dovrebbero seguire e quale approccio dovrebbero adottare nei confronti dei propri dipendenti e collaboratori terzi per gestire efficacemente gli incidenti di sicurezza informatica, gestire le vulnerabilità e garantire la sicurezza delle soluzioni IoT in tutto il loro ciclo di vita.

Ciclo di vita degli endpoint

Questa misura è relative alla sicurezza nelle diverse fasi del ciclo di vita del prodotto (compresi i dispositivi finali e l’infrastruttura) dal processo di acquisizione, alla catena di fornitura, alla fase di consegna, allo sfruttamento ed al termine del suo utilizzo. In ogni fase del ciclo di vita degli endpoints occorre attenzione alla sicurezza di software e hardware, considerare gli aspetti di sicurezza durante l’intero processo di acquisizione definendo misure di sicurezza e requisiti ad hoc per i dispositivi. È importante, inoltre, condurre test sulla cyber sicurezza rispetto alle specifiche tecniche durante le differenti attività di convalida o le fasi del ciclo di vita del prodotto. Durante la fase di consegna del processo di implementazione del progetto, infine, trasferire correttamente tutta la documentazione e le procedure sulla sicurezza informatica.

Architettura di sicurezza

Per garantire la sicurezza in un ecosistema computerizzato, secondo l’ENISA occorre adottare un approccio olistico basato sull’architettura e sviluppare un’architettura di sicurezza allineata al rischio in base ai requisiti aziendali e, nello specifico:

  • durante la definizione dell’architettura della sicurezza, assicurarsi che essa comprenda tutti gli aspetti di sicurezza rilevanti circa problematiche organizzative o di implementazione fisica;
  • assegnare e comunicare chiaramente ruoli e responsabilità sia per i sistemi OT che per i processi di sicurezza;
  • integrare i controlli sulla conformità con l’architettura di sicurezza consolidata e garantire che tutti i prodotti soddisfino i requisiti definiti al suo interno.

Gestione degli incidenti

Di questa categoria fanno parte le misure di sicurezza relative al rilevamento e alla risposta ad incidenti che possono verificarsi nell’ambiente dell’Industria 4.0 e, in particolare:

  • definire gli incidenti informatici rilevanti per la propria organizzazione in base all’area ed al funzionamento dell’azienda e classificarli secondo gli standard applicabili;
  • prendere in considerazione la creazione di un Cybersecurity Operations Center (SOC) composto da specialisti OT ed IT per supportare gli incidenti di sicurezza informatica dividendoli in specifiche linee di supporto con appropriati ruoli e responsabilità;
  • istituire un processo per la gestione degli incidenti che consiste nell’identificazione delle risorse interessate, della classificazione delle vulnerabilità, dell’incremento e della notifica;
  • rilevare ed indagare prontamente su ogni evento insolito o anomalo relativo alla sicurezza.

Gestione delle vulnerabilità

Le misure di sicurezza appartenenti a questa categoria incidono sul processo di gestione, sulle attività e sulla divulgazione delle vulnerabilità:

  • definire un processo completo di gestione delle vulnerabilità all’interno dell’organizzazione che comprenda l’utilizzo di strumenti automatici e manuali risultanti dall’analisi dei rischi;
  • eliminare le vulnerabilità, iniziando da quelle più critiche tenendo conto delle risorse e dei sistemi;
  • stabilire un processo completo e ben definito per la divulgazione delle vulnerabilità;
  • condurre Penetration Test di nuove soluzioni IoT in ambiente controllato prima o durante la fase di messa in servizio ed anche regolarmente e dopo importanti aggiornamenti di sistema;
  • stabilire una stretta collaborazione tra le aree OT ed IT garantendo la loro collaborazione anche con i titolari di sistemi di impresa, con i responsabili di differenti settori e con tutti gli stakeholders interessati.

Formazione e consapevolezza

Quest’area è relativa alla consapevolezza dei dipendenti, a tutti i livelli organizzativi, che lavorano con dispositivi IoT ed al loro far fronte alle nuove minacce dell’Industria 4.0 attraverso specifici piani formativi. Le linee guida di ENISA ci dicono che occorre:

  • fornire a tutti i nuovi dipendenti assunti in azienda una formazione sulla sicurezza informatica prima dell’inizio del lavoro;
  • garantire che la formazione sulla sicurezza sia continua, regolare e aggiornata;
  • formare gli utenti di IoT sull’uso sicuro dei propri dispositivi spiegando loro nel dettaglio queste nuove tecnologie per proteggere l’intero ecosistema;
  • considerare la possibilità di comunicare con altre società a livello settoriale e partecipare agli eventi internazionali di sicurezza creati per consentire discussioni, cooperazione e condivisione dell’intelligence tra le organizzazioni per migliorare la consapevolezza della sicurezza.

Gestione di terze parti

Le misure di sicurezza prevedono:

  1. un controllo rigoroso degli accessi di terzi alla produzione per uno scopo specifico ed in una finestra temporale dedicata;
  2. non fornire una connessione diretta per il fornitore a un sistema in un livello di controllo o di produzione, ma solo alle funzioni necessarie;
  3. richiedere ai fornitori informazioni sulla sicurezza dei loro processi;
  4. produrre e sviluppare requisiti di sicurezza dedicati per tutti i fornitori;
  5. definire chiaramente a livello contrattuale tutti gli aspetti rilevanti della partnership con terze parti, compresi quelli relativi alla sicurezza, all’interno

IoT 4.0: misure tecniche

Oltre all’attuazione di politiche e delle misure organizzative, le misure di sicurezza tecniche elencate qui di seguito costituiscono un ultimo tassello del puzzle che costituisce la sicurezza di un ambiente IoT industriale.

Questa sezione fornisce una panoramica delle best practice che dovrebbero essere implementate nei dispositivi, nonché dei metodi raccomandati per la produzione intelligente delle aziende per garantire la resilienza della propria infrastruttura e la continuità dei processi produttivi.

Gestione dell’affidabilità e dell’integrità

Secondo l’ENISA, la gestione dell’affidabilità e dell’integrità dei dati e dei dispositivi si basa su:

  • la verifica dell’integrità dei software prima dell’installazione, assicurandosi che sia affidabile (es. firmata dal venditore);
  • l’autorizzazione di tutti i dispositivi IoT all’interno della rete OT utilizzando metodi appropriati (es. certificati);
  • la definizione dei canali di scambio dati tra i dispositivi IoT sotto forma di white list e scegliere solo canali sicuri;
  • l’implementazione e la revisione delle white list delle applicazioni, da rivedere almeno una volta l’anno in caso di modifiche di sistema;
  • garantire l’integrità dei dati di produzione mediante l’utilizzo di appropriati meccanismi crittografici e chiavi di archiviazione su misura;
  • il monitoraggio delle informazioni di produzione a riposo e in transito per identificare potenziali dati non autorizzati.

Sicurezza cloud

Queste misure di sicurezza riguardano vari aspetti della sicurezza del cloud computing e, nel concreto:

  1. basare la scelta del cloud sulla valutazione d’impatto privacy (DPIA) prendendo anche in considerazione le leggi e i regolamenti applicabili ai fornitori di servizi di sicurezza cloud;
  2. includere gli aspetti di sicurezza e disponibilità negli accordi con il provider di sicurezza cloud (se applicabile);
  3. nel contesto di applicazioni basate su cloud e sistemi centralizzati individuare le criticità e precedere all’implementazione dell’analisi dei rischi se si considera l’utilizzo di un cloud pubblico;
  4. per mitigare il rischio relativo agli attacchi cloud, adottare un protocollo di sicurezza “a conoscenza zero” e proteggere tutti i dati all’interno del cloud e in trasferimento.

Business Continuity and Recovery

Fanno parte di questo sottoinsieme le misure di sicurezza relative allo sviluppo, al collaudo ed alla revisione del piano aziendale allo scopo di garantire la resilienza e la continuità delle operazioni in caso di incidenti di sicurezza:

  • garantire la resilienza dei sistemi Industry 4.0 creando un Business Continuity Plan (BCP)
    ed un Disaster Recovery Plan (DRP), testando periodicamente entrambi ed adattandoli in base ai risultati dei test ed agli incidenti di sicurezza reali;
  • definire i processi aziendali e tecnologici critici e determinare in che misura influenzano il business continuity;
  • eseguire la valutazione delle minacce e dei rischi e sviluppare procedure scritte su come ripristinare velocemente lo stato di sicurezza;
  • definire i piani di emergenza e testarli regolarmente, adattandoli in modo appropriato all’ambiente;
  • definire i parametri importanti per la continuità aziendale della propria azienda, come i tempi di recupero, l’interruzione massima tollerabile eccetera.

Sicurezza M2M (Machine-to-Machine)

Queste misure sono relative alle chiavi di archiviazione, alla crittografia, alla convalida dell’input e alla protezione della sicurezza delle comunicazioni da macchina a macchina. L’ENISA descrive le seguenti linee guida in merito:

  • archiviazione a lungo termine delle chiavi di livello di servizio (Service-Layer) diverse da quelle pubbliche, in un server HSM (Hardware Security Module) presente nell’infrastruttura aziendale;
  • stabilire algoritmi crittografici comprovati e sicuri tra entità comunicanti per fornire reciproca autenticazione, integrità e riservatezza;
  • utilizzare i protocolli di comunicazione che includono la funzionalità per rilevare se tutto o parte di un messaggio non è autorizzato;
  • utilizzare convalide positive di input (es. white list) per proteggersi da script e comandi provenienti da siti non autorizzati.

Protezione dei dati personali

Le misure di sicurezza riguardano vari livelli di un’organizzazione aziendale e la gestione degli accessi agli stessi. Secondo l’Agenzia occorre:

  • proteggere i dati inattivi, sia nella memoria volatile che non volatile, in transito e in uso;
  • categorizzare i dati relativi al sistema OT in base all’analisi dei rischi, valutarne le criticità e definire le misure di sicurezza che garantiscano un livello adeguato;
  • concedere l’accesso a determinate categorie di dati a terzi con profili autorizzativi con bassi privilegi e documentare gli accessi;
  • per i dati ad alta riservatezza (es. categorie particolari) implementare sistemi di crittografia ed una gestione delle chiavi in modo che le informazioni possono essere lette solo dagli utenti autorizzati e utilizzare soluzioni di prevenzione per l’eventuale perdita di dati;
  • anonimizzare e proteggere qualsiasi dato personale diretto o indiretto trattato all’interno dell’azienda (ad es. attraverso il controllo degli accessi e la crittografia) avendo considerato tutti i requisiti legali.

Aggiornamenti software / firmware

Tra le misure di sicurezza relative a verifica, test ed esecuzione di patch, l’ENISA tra le linee guida sulla sicurezza IoT inserisce gli aggiornamenti software / firmware.

Come in ogni sistema computerizzato che rispetti, occorre verificare l’autenticità e l’integrità del software / firmware degli endpoints, l’origine dell’aggiornamento (eseguire le procedure di aggiornamento automatico solo se basate sull’analisi del rischio) e le patch per dispositivi IoT, attraverso test, prima di implementarle nella produzione aziendale.

Si dovrebbe consentire a terzi di eseguire le patches solo se essi sono in grado di provare che sono state testate e che non porteranno a conseguenze negative sul dispositivo. Per i sistemi di controllo che non possono essere aggiornati, infine, occorrerà applicare misure di compensazione.

Controllo degli accessi

Le misure di sicurezza, riguardanti il controllo di accesso remoto, l’autenticazione, i privilegi degli accessi, gli account e gli accessi fisico, descrivono le seguenti good practice:

  • sviluppare un insieme di regole per il controllo della comunicazione remota;
  • garantire un livello minimo di autenticazione per i dispositivi e i sistemi IoT ed assicurarsi che l’autorizzazione consenta l’accesso solo ad un determinato segmento del sistema;
  • implementare la funzionalità di autenticazione a più fattori nelle soluzioni IoT;
  • modificare le credenziali di autenticazione (user-id e password) durante il primo impiego, utilizzare una password non di semplice identificazione e richiederne l’impostazione di una nuova dopo un periodo definito;
  • creare singoli account per ogni utente, applicando minor privilegi possibili ed in base alle competenze, assicurandosi che essi siano approvati da un’adeguata professionalità;
  • implementare una funzionalità di blocco degli account nei dispositivi IoT industriali;
  • in caso di reti estese e diversificate con un gran numero di dispositivi, adottare una soluzione di gestione degli accessi (PAM – Privilege Access Management);
  • nell’ambito del controllo e dei profili autorizzativi degli accessi, considerare anche gli aspetti dell’accesso fisico a edifici, aree, stanze e armadi.

Reti, protocolli e crittografia

Le misure di sicurezza possono aiutare a garantire la sicurezza delle comunicazioni attraverso l’implementazione di protocolli adeguati, crittografia e segmentazione della rete; l’ENISA delinea quindi chiaramente le seguenti determinazioni:

  • proteggere i canali di comunicazione relativi alle soluzioni IoT e crittografare la comunicazione in caso di dati importanti (ove tecnicamente possibile);
  • segmentare le reti di impianti industriali in base a un modello di zonizzazione predefinito che include l’istituzione di zone de-militarizzate (DMZ) ed il controllo del traffico tra zone (ad es. secondo il Modello Purdue degli anni ‘90);
  • seguire l’approccio di micro segmentazione, ovvero costituire piccoli segmenti all’interno di una singola rete che comunica tra loro e controlla il traffico di rete tra i segmenti stessi;
  • se possibile, isolare le reti di sicurezza dalle reti business e di controllo;
  • per le soluzioni IoT implementare protocolli con funzionalità di sicurezza note, cioè scegliere protocolli basati su raccomandazioni tecniche e che hanno dimostrato di saper affrontare i problemi di sicurezza (ad es. TLS 1.3) ed evitare quelli con vulnerabilità note (ad es.
    Telnet, SNMP v1 o v2);
  • garantire le capacità di sicurezza ed interoperabilità tra i protocolli durante l’implementazione per vari dispositivi all’interno dello stesso sistema;
  • se possibile, limitare il numero di protocolli implementati in un determinato ambiente e disabilitare i servizi di rete predefiniti non utilizzati;
  • garantire un ambiente sicuro per lo scambio e la gestione delle chiavi evitando la condivisione delle chiavi crittografiche su più dispositivi;
  • garantire l’uso corretto ed efficace degli algoritmi di crittografia per proteggere la riservatezza, l’autenticità e/o l’integrità delle informazioni (compresi i messaggi di controllo), in transito e a riposo e verificare la solidità dell’implementazione.

Monitoraggio e audit

La raccolta del traffico di rete, registri e revisioni, e la sua analisi e verifica nel tempo, è fondamentale per il monitoraggio di eventuali anomalie sia provenienti dall’interno che dall’esterno.

Implementare una soluzione di monitoraggio passivo negli ambienti IT e OT per creare una baseline del traffico di rete industriale; raccogliere i log di sicurezza ed analizzarli in tempo reale utilizzando tool dedicati (ad es. applicativi di classe SIEM – Security Information and Event Management all’interno di un Security Operation Center); eseguire revisioni periodiche dei registri di rete, dei privilegi di controllo degli accessi e delle configurazioni delle risorse e monitorare la disponibilità dei dispositivi IoT in tempo reale (ove tecnicamente possibile) sono le misure delineate dall’ENISA per questa penultima categoria.

Gestione della configurazione

Queste ultime misure di sicurezza riguardano la configurazione della sicurezza e dei dispositivi, la gestione delle modifiche alla configurazione e la verifica del backup e, nel particolare:

  • stabilire le configurazioni di sicurezza di base su misura per diversi tipi di risorse;
  • implementare meccanismi e strumenti di supporto che consentano la gestione della configurazione;
  • implementare e documentare le modifiche nella configurazione secondo polizie di gestione, sviluppate dall’organizzazione sulla base dell’analisi dei rischi;
  • sviluppare una procedura dedicata per l’analisi dell’impatto ed eseguirla prima di implementare modifiche di sistema;
  • includere robuste soluzioni IoT forti nelle policies di gestione dei cambiamenti;
  • creare e applicare un piano di backup completo, comprese le disposizioni per i test periodici, su misura per i diversi tipi di attività aziendali.

Conclusioni

Lo studio dell’ENISA, attualmente, parrebbe costituire la più completa guida operativa all’implementazione dell’Internet of Things in ambito aziendale contando misure di sicurezza sia in ambito cyber che in termini di privacy.

Come rilevato dalle tante ricerche sin qui menzionate e dalle linee guida dell’ENISA, occorrono precisi standard di riferimento per un’implementazione uniforme di tecnologie IoT ed a tal proposito, è stata pubblicata nel 2018 la ISO / IEC 30141:2018, la quale fornisce l’architettura di riferimento, a livello internazionale, dei dispositivi interconnessi basati su Internet of Things.

La definizione ufficiale dell’IoT formulata dall’ISO e dalla Commissione elettrotecnica internazionale (IEC) è “Un’infrastruttura di entità, persone, sistemi e risorse di informazione interconnesse insieme a servizi che elaborano e reagiscono alle informazioni dal mondo fisico e dal mondo virtuale“.

Lo standard ISO/IEC 30141:2018 nasce con lo scopo di definire le linee guida per l’integrazione dei dispositivi IoT in modo affidabile e sicuro, ponendo particolare attenzione anche alla sicurezza dei dati personali ed alla protezione dell’identità, alla resilienza ed all’affidabilità dei sistemi.

Entro il 2020 i ricercatori e gli studiosi dell’IoT prevedono la connessione di ben oltre 20/30 miliardi di dispositivi in tutto il mondo; nonostante sia una realtà consolidata, l’Internet of Things è ancora agli inizi, a prescindere dalle predizioni e dalle sue implementazioni in differenti ambienti.

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

Il mondo IoT dovrà affrontare a livello tecnico ancora innumerevoli minacce e trovare nuove soluzioni sia per la mitigazione dei rischi che per la capacità dei sistemi di rispondere prontamente alle criticità operative. A livello, invece, organizzativo dovrà far fronte agli sviluppi che il mondo 4.0 continuerà a generare velocemente, molti dei quali, forse, neanche gli esperti del “Cyber Smart Crime” ancora sembrano immaginare.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5