La continua digitalizzazione dei processi nei settori produttivi ha fatto in modo che venisse predisposto, nella Legge di Bilancio 2017, il Piano Nazionale Industria 4.0 2017-2020 che sancisce, in Italia, la “nascita” della cosiddetta quarta rivoluzione industriale. La terza, nata nel 1970, era invece caratterizzata da una produzione semplicemente automatizzata.
Alla base dell’Industria 4.0 è lo sviluppo del fenomeno dell’Internet of Things (IoT), che consente agli “oggetti” di essere connessi alla rete e svolgere azioni a distanza. L’automazione, già avviata da decenni nei processi industriali, si è ulteriormente specializzata introducendo l’utilizzo di dispositivi intelligenti (IoT) interconnessi tra loro.
L’industria 4.0, nota anche come l’Industrial Internet of Things (IIoT), è un modo innovativo di fare imprenditoria, si può definire una forma di produzione, automatizzata e interconnessa, in cui i macchinari, oltre a ricevere, tradizionalmente, gli input dall’operatore umano, si scambiano ingenti quantità di dati tra loro (Big Data) che, grazie ad analisi complesse e allo stesso tempo veloci, permettono adattamenti alla produzione e la diminuzione dell’impiego di risorse umane rispetto a quelle virtuali.
Più precisamente, attraverso le informazioni acquisite e opportunamente elaborate, è possibile monitorare e analizzare in tempo reale la produzione, favorendo il riscontro immediato di eventuali anomalie, la manutenzione predittiva, la riduzione dell’errore umano, la riduzione dei costi nonché l’ottimizzazione dei carichi di lavoro e dei processi produttivi.
Nel nuovo scenario produttivo, la sicurezza informatica e la protezione dei dati acquistano, così, un valore ancora più rilevante. Infatti, nell’industria sempre più digitalizzata i dispositivi direttamente connessi alla rete o ai server sono la quasi totalità e ognuno di essi può subire un attacco informatico.
Lo scambio di dati nelle comunicazioni telematiche interne ed esterne alla stessa azienda (manutenzione e programmazione dei macchinari, acquisti on-line, ecc.) offrono la possibilità di nuovi e complessi fattori di rischio.
L’Agenzia dell’Unione Europea per la Sicurezza della rete e delle informazioni (ENISA) ha pubblicato nel 2019 “Industry 4.0 – Cybersecurity Challenges and Recommemdations” un documento in cui vengono fornite raccomandazioni per qualsiasi azienda che operi utilizzando gli ambienti Information Techonology (IT) – insieme di tecnologie utilizzate per la trasmissione e la elaborazione dei dati attraverso la rete – e Operational Technology (OT), l’insieme delle tecnologie di controllo e automazione.
Per il loro diverso campo di azione negli ambienti IT e OT la sicurezza è affrontata in modo differente: nel primo si deve garantire la riservatezza e l’integrità dei dati, in quanto l’utilizzo è indirizzato principalmente al business, mentre nel secondo, devono essere garantite la disponibilità e l’integrità del dato, in quanto utilizzato nei sistemi produttivi.
In questa moderna realtà produttiva, le opportunità di attacchi cyber sono moltissimi, basti pensare a quelle offerte dalle tecnologie dell’Internet of Things: macchinari industriali che sono connessi attraverso protocolli aperti, fruibili mediante internet, l’intelligenza artificiale utilizzata per il processo di raccolta e analisi dei dati, ecc.. Ci sono poi le opportunità offerte da altri elementi presenti in una impresa 4.0, come ad esempio gli smartphone, fonte di informazioni non solo private ma anche aziendali, l’utilizzo del Cloud computing per l’accesso e la funzionalità da remoto di hardware e software, nonché il fattore umano. Sembra un controsenso, ma nell’impresa digitale è stato verificato da più fonti che la maggioranza di quasi tutti i reati informatici è causato da errori umani.
È necessario precisare, quindi, che il diverso utilizzo della tecnologia nei due ambiti IT e OT non implica una trattazione separata della prevenzione degli attacchi informatici. Nell’Industria 4.0 la violazione della sicurezza informatica può passare dall’ambito IT a OT e viceversa con estrema facilità.
La promozione di una conoscenza trasversale tra la sicurezza operativa OT e la sicurezza informatica IT è alla base di ogni impresa manifatturiera moderna.
È bene sottolineare che nell’industria digitale, oltre agli attacchi derivanti da semplici cyber criminali, che mirano a guadagnare rapidamente denaro – ad esempio con il furto delle credenziali bancarie – si distinguono gli attacchi di sabotaggio verso imprese considerate non in linea con alcuni principi (quali l’ecologia o la vivisezione) e spionaggio industriale (furto di brevetti, progetti, ecc.), le cui finalità sono da considerarsi economiche, ma, in alcuni casi, anche politiche.
Consigli per una gestione in sicurezza
Adottare un framework di sicurezza informatica
A supporto della protezione degli ambienti OT è nato, in Italia nel 2015, da una collaborazione tra Cyber Intelligence and Information Center (CIS) dell’Università La Sapienza e il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio interuniversitario nazionale per l’informatica) il Framework Nazionale per la Cybersecurity.
Si tratta, in sostanza, di uno strumento operativo focalizzato principalmente all’organizzazione dei processi di cybersecurity, utilizzabile dalle imprese di qualunque dimensione nonché dalle organizzazioni pubbliche.
Al fine di agevolare la diffusione del Framework Nazionale sono stati realizzati:
- Cyber Security Framework Tool, un insieme di strumenti per aiutare una impresa a organizzare un percorso di gestione del rischio cyber.
- Controlli Essenziali di Cybersecurity sono 15 tipologie di controlli che riguardano, tra gli altri:
- inventario dispositivi e software
- governance
- protezione da malware
- gestione password e account
- formazione e consapevolezza di tutto il personale
- protezione dei dati
- protezione delle reti
- prevenzione e mitigazione.
A febbraio del 2019, a seguito dell’entrata in vigore del Regolamento Generale per la protezione dei dati (General Data Protection Regulation – GDPR) è stata presentata la nuova versione “Framework Nazionale per la Cybersecurity e la Data Protection”.
Aggiornamento necessario in quanto i dati personali sono trattati con strumenti informatici nella quasi totalità dei casi di gestione amministrativa e pertanto soggetti a reati cyber, quali l’acquisizione fraudolenta, l’illecita comunicazione e diffusione, ecc.
È utile sapere che il “Il Framework Nazionale per la Cybersecurity e la Data Protection” è disponibile, gratuitamente, sul sito web https://www.cybersecurityframework.it
Sul sito, inoltre, sono a disposizione anche tutorial e slide sull’uso del Framework ed una e-mail dedicata per chiarimenti ed informazioni.
Utilizzare il sistema firewall Unified Threat Management - UTM
Si tratta di una gestione unificata delle minacce informatiche che possono venire sia dall’esterno che dall’interno dell’azienda.
In sostanza il sistema UTM permette un controllo globale dell’intera rete aziendale attraverso la protezione, in particolare:
- del servizio di posta elettronica
- della rete wi-fi
- dei dispositivi in grado di connettersi alla rete aziendale, cosiddetti endpoint
- della navigazione web.
Formazione del personale
La scarsa preparazione del personale è la causa di oltre la metà degli incidenti informatici.
Uno strumento utile è l’applicazione di policy di sicurezza informatica che devono essere condivise con tutte le risorse umane, i cui contenuti riguardano i possibili rischi e i comportamenti che devono essere adottati sia dai dipendenti interni all’azienda, che dai collaboratori esterni, per ridurre al minimo eventuali rischi informatici.
Individuare il Responsabile CISO - Chief Information Security Officer
All’interno di ogni impresa, e più che mai nell’Industria 4.0, la figura del responsabile di sicurezza informatica diventa fondamentale.
Il ruolo di questa nuova figura professionale è la tutela dei dati aziendali e di quelli dei clienti, mediante la prevenzione dagli attacchi informatici. In generale dovrà mettere in atto un piano operativo le cui principali azioni sono:
- definire quali sono i dati/informazioni in possesso della organizzazione pubblica o privata da proteggere
- individuare dove si trovano i dati e chi ne è responsabile
- definire una strategia di protezione
- controllare le attività dei dipendenti e dei collaboratori esterni
- contribuire alla diffusione di una cultura della sicurezza fornendo utili indicazioni.
La figura professionale del CISO è certificata dall’istituto statunitense EC-Council con il programma Certified CISO che si articola in più campi applicativi.
Attivare una polizza assicurativa specifica per il rischio cyber
Anche se ancora in fase embrionale, ma comunque in espansione nel settore assicurativo, esistono polizze che coprono i danni dovuti alla perdita o alla diffusione di dati sensibili derivati da una interruzione di produzione o servizi, oppure a seguito di un attacco informatico.