Padroneggiare l'Industria 4.0 in modo sicuro
Prima o poi ogni azienda affronta il tema dell'Industria 4.0, perché offre un immenso potenziale, ma pone anche delle difficoltà. Le vulnerabilità nei dispositivi sono (purtroppo) onnipresenti e il numero di malware ed exploit è in continuo aumento. Tuttavia, l'IoT e l'IIoT sono ancora tra le minacce più sottovalutate nel campo della sicurezza informatica. Per stabilire la sicurezza informatica nella rapida crescita dell'Industria 4.0 sono necessari approcci olistici.
Parole d'ordine come Industrial Internet of Things (IIoT), Industrial Control System (ICS) o sistemi SCADA sono solo alcuni termini che si riferiscono a sotto-aree della produzione in rete o dell'Industria 4.0. Gli esperti stimano che in pochi anni otto aziende svizzere su dieci utilizzeranno componenti (I)IoT. La connettività collega quindi aree aziendali che prima erano indipendenti l'una dall'altra. In passato, gli ambienti di produzione venivano solitamente pianificati e implementati come soluzioni stand-alone offline. Molte di queste soluzioni isolate vengono ora "modernizzate" e ridotte alla comunicazione digitale. La questione della sicurezza è raramente considerata a sufficienza. Il motivo non è solo il vantaggio dell'integrazione digitale, ma anche la preoccupazione per la competitività e gli investimenti esistenti negli impianti di produzione. Purtroppo, ad oggi, nessun sistema digitale è assolutamente sicuro, soprattutto le macchine e i controlli che non sono stati progettati e sviluppati per comunicare con i sistemi esterni. Tuttavia, questo aumenta anche il pericolo che proprio questi sistemi vengano manipolati¹. Furto, frode, ricatto e manipolazione sono possibili conseguenze. Tuttavia, i principi di sicurezza di base che per anni sono stati considerati best practice nell'IT tradizionale spesso non trovano spazio nel ciclo di sviluppo e manutenzione dei sistemi IIoT.
La fiducia è fondamentale nell'Industria 4.0
Spesso sicurezza e protezione sono ancora viste come mondi separati, il che porta a squilibri. Mentre per la sicurezza si applicano linee guida chiare e devono essere eseguite valutazioni elaborate, il tema della sicurezza è fortemente trascurato. Con l'IIoT, tuttavia, gli ambienti di produzione si stanno evolvendo in un "mondo OT" (tecnologia operativa) aperto, in cui i sistemi critici non sono più isolati. E così sorgono improvvisamente nuove domande:
- Come si proteggono le macchine in rete dall'accesso di terzi?
- Quali dati volete davvero mantenere in azienda?
- Quali dati condividete con i partner commerciali?
- Quali dati potrebbero essere pubblicati integralmente?
Con l'Industria 4.0, il successo dipende dalla sicurezza. Perché solo chi gode della fiducia di clienti e partner in materia di sicurezza e protezione dei dati può agire con successo. I clienti hanno un'affinità molto maggiore in questo senso rispetto a qualche anno fa.
Sicurezza con sistema, responsabilità e competenza
La sicurezza informatica dovrebbe quindi essere in cima a ogni agenda, e non solo quando qualcosa è andato storto. Chiunque si occupi di IIoT e Industria 4.0 deve affrontare anche il tema della sicurezza. Gli standard internazionali (ad esempio la serie ISO/IEC 270xx o il Cyber Security Framework del National Institute of Standards and Technology) offrono modelli riconosciuti per la creazione, l'implementazione, la revisione e il miglioramento continuo basati su un sistema di gestione della sicurezza delle informazioni (ISMS). Se si vuole stabilire un ISMS nel contesto di Industrie 4.0, è necessario un approccio olistico che comprenda il paesaggio IT tradizionale, l'IT di sviluppo e di produzione. Questo è l'unico modo per raggiungere gli obiettivi di sicurezza delle informazioni, ridurre al minimo i rischi aziendali e soddisfare i requisiti normativi.
L'implementazione di un ISMS richiede la definizione di ruoli e responsabilità. Il CISO è responsabile delle questioni relative alla sicurezza delle informazioni. Assume inoltre la funzione di governance tra le divisioni aziendali. È responsabile, progetta e controlla la sicurezza nell'IT tradizionale e nell'IT di sviluppo e produzione. Questa funzione deve essere integrata nell'organizzazione e dotata delle competenze necessarie. Infine, ma non per questo meno importante, le persone giocano un ruolo decisivo nella creazione di una sicurezza olistica. Di conseguenza, tutti i dipendenti devono essere sensibilizzati e formati.
Comprensione trasversale della sicurezza
Ma questo da solo non basta. Per la sicurezza e la gestione sostenibile dei rischi nell'Industria 4.0, è indispensabile che un'azienda conosca gli asset critici che vale la pena proteggere. Questi includono, ad esempio, impianti e macchinari, processi e procedure di produzione o dati su parametri di produzione, ricette e know-how di processo. Questi devono essere documentati di conseguenza e aggiornati a intervalli regolari. In questo modo, è importante mostrare le possibili minacce e correlazioni per i singoli asset. In base alla probabilità di accadimento e all'entità prevista del danno, si ricavano la criticità e la necessità di protezione, nonché le misure da adottare. Nel contesto di Industria 4.0, ciò richiede una comprensione trasversale tra le aziende e una classificazione uniforme dei dati. Questo è l'unico modo per garantire la sicurezza al di là dei confini aziendali ed eliminare le incomprensioni.
Segmentare, identificare e autenticare
Dal punto di vista tecnologico, la chiave della sicurezza risiede nell'autenticazione, nell'architettura e nella zonizzazione adeguate delle reti Industrie 4.0. La segmentazione nell'IT e nella produzione IT spesso descrive una separazione verticale. Le sottoreti di impianto, invece, possono essere separate anche orizzontalmente. Le zone con esigenze di protezione simili devono essere identificate e separate l'una dall'altra con mezzi tecnici. In questo contesto, è importante stabilire diverse linee di difesa e quindi proteggere i dati e le strutture grazie alla segmentazione degli ambienti, dei flussi di dati e dei processi operativi, nonché monitorare contemporaneamente le transizioni di zona.
Le identità sicure sono l'inizio della catena di fiducia nella comunicazione automatizzata. Ogni partner di comunicazione coinvolto nella rete del valore ha bisogno di un'identità (sicura) adatta al suo scopo, che consenta un'identificazione unica e, se necessario, l'autenticazione. La gestione dell'identità è già una pratica comune nell'IT di oggi. Questa gestione delle identità deve essere estesa alla produzione e garantita oltre i confini dell'azienda. Questo è l'unico modo per garantire la sicurezza nel panorama dei sistemi altamente collegati in rete di Industria 4.0. Sia la segmentazione che la gestione delle identità non richiedono di reinventare la ruota. Anche in questo caso è importante orientarsi su approcci di comprovata efficacia e adattarli.
Fornitori e partner nella catena del valore
Nell'Industria 4.0 e nel panorama IT tradizionale, tutti i componenti hardware e software devono essere inventariati e documentati. Su questa base, è possibile stabilire regole per l'introduzione di aggiornamenti software o di nuovi componenti software e hardware. È consigliabile stabilire chiari requisiti di sicurezza per i fornitori e stabilire una gestione mirata del rischio dei fornitori. Questo perché le lacune nella catena del valore possono diventare rapidamente un rischio per la sicurezza di tutte le parti coinvolte. Allo stesso tempo, i servizi e le funzioni inutilizzate dei componenti hardware e software devono essere disattivati e quindi resi più resistenti. I fornitori devono pertanto fornire una documentazione adeguata sui componenti forniti e sui meccanismi di sicurezza implementati. Inoltre, prima di entrare in funzione, i nuovi sistemi devono essere testati e controllati, ad esempio con un test di penetrazione.
La sicurezza IIoT non è una questione sporadica, poiché la situazione dei rischi è in continua evoluzione. Le aziende devono monitorare costantemente l'attuale situazione delle minacce e ottimizzare e migliorare continuamente la propria posizione di sicurezza, tenendo conto delle nuove minacce e vulnerabilità. Tra gli elementi importanti della governance della sicurezza vi sono quindi le valutazioni del rischio, gli audit organizzativi, i test di sicurezza dei sistemi, i test di penetrazione e le scansioni delle vulnerabilità. Allo stesso tempo, le aziende devono essere in grado di rilevare gli incidenti di sicurezza in qualsiasi momento, reagire rapidamente e ridurre al minimo l'impatto.
Per il ripristino sono necessari concetti di emergenza specifici, come il guasto di componenti hardware, la modifica dei dati a causa di influenze esterne, cyberattacchi o "semplicemente" un'interruzione di corrente. Ciò include anche un backup regolare dei dati e dei programmi relativi alle parti rilevanti per la produzione. La sicurezza non è quindi un argomento che viene affrontato a posteriori, eventualmente solo dopo che si è verificato un incidente. Chiunque si occupi di Industria 4.0 deve anche occuparsi di sicurezza informatica. Questo è l'unico modo per creare fiducia al di là dei confini aziendali tra tutte le parti coinvolte.
Autore
Markus Limacher
Responsabile della consulenza sulla sicurezza, InfoGuard AG