Il percorso verso l’Industria 4.0, la “Fabbrica” sempre più digitale ed interconnessa, sembra iniziare a concretizzarsi ma, per un progredire efficiente, è necessario mantenere alto il focus sulla sicurezza tramite l’utilizzo di adeguate misure contro gli attacchi digitali, al fine di evitare effetti disastrosi per l’intera fabbrica e per tutte le realtà ad essa collegate.
Se dati e connessione sono elementi fondamentali e fondanti per il corretto funzionamento delle linee di produzione dell’industria automatizzata – in cui tutti i supporti devono essere in grado di comunicare tra di loro e generare, trasmettere e interpretare le informazioni in modo adeguato ai fini del business – i dati devono però essere protetti in tutto il processo. Un processo complesso e articolato che comprende la rete, il cloud, i sistemi di interconnessione che permettono una comunicazione tra i componenti della linea produttiva e gestionale, oltre che sui singoli device, con un’attenzione particolare al contesto in cui il device dovrà operare. E se si vuole ottenere una corretta ed efficace protezione, le misure di sicurezza devono essere ben chiare e poste in essere già nel momento della progettazione e realizzazione delle singole componenti e della architettura generale.
L’intero network in un contesto di Fabric Cybersecurity deve essere a prova di attacco, e per questo risulta necessario un monitoraggio costantemente, attraverso sistemi di controllo in grado di recepire ogni singolo malfunzionamento o scostamento dagli standard definiti, al fine di permettere un intervento tempestivo sulle criticità. Criticità che, peraltro, in questo caso hanno effetti concreti anche sulla realtà e possono portare a danni fisici rilevanti, sino alla distruzione di macchinari ed attrezzature e alla possibilità di ledere l’incolumità degli addetti.
I generi di attacchi possibili sono molteplici e differenti, come analizzato da Industry4business nell’articolo Cosa si intende per Factory Cybersecurity, elemento vitale per un’Industria 4.0: dal virus informatico, al malware, all’APT, il mining, il phishing, gli attacchi DDoS, lo spam, i ransomware e, non per ultimo, lo spionaggio industriale, un fenomeno tutt’altro che marginale e secondo i dati in crescita del 46%.
La crescente digitalizzazione e la compenetrazione dell’IT in tutte le fasi del processo aumentano enormemente le potenzialità e la portata di possibili attacchi e pongono tutti i settori, compreso quello della Fabric, di fronte a grandi sfide.
Un supporto ad una corretta implementazione già in fase di progettazione arriva, inaspettatamente forse, anche dalle necessità di adeguamento al nuovo regolamento UE per la protezione dei dati, che richiede una valutazione dell’impatto sulla protezione dei dati per l’attuazione di misure tecniche e organizzative adeguate.
Sono molte le realtà che proprio a seguito delle necessità di adattarsi alle normative, spesso per la prima volta si confrontano con i documenti di analisi dei rischi. E le metodologie espresse già nella ISO 29134, lo standard internazionale per la valutazione d’impatto sulla protezione dei dati, soprattutto se viste in ottica di interazione con la ISO 31000, lo standard internazionale per il risk management in generale, offrono la possibilità di concepire già dall’origine un approccio sistematico alla gestione dei vari rischi di un’organizzazione (finanziari, tecnologici, ambientali, sociali, organizzativi, legislativi ed altri).
Proprio le linea guida, ISO 29134, ISO / IEC 27001 e ISO 31000, ampiamente esaminate nell’articolo Protezione dei dati, come fare bene l’analisi dei rischi di AgendaDigitale, offrono un punto di partenza più che adeguato non solamente per aderire alle necessità di adeguamento normativo, ma anche e soprattutto per concepire un sistema di nuova generazione progettandolo dal giorno zero per essere pienamente aderente ai dettami di quella “sicurezza by design” necessaria in un contesto così delicato e dove le minacce hanno davvero un potenziale distruttivo devastante.
A cura di Marta Lai, Information & Cyber Security Advisor presso P4I – Partners4Innovation e Gaia Rizzato, Information & Cyber Security Back office Management Partners4Innovation
