Quando si parla di digitalizzazione nel mondo delle operations e della produzione si solleva sempre un “senso di allarme”. La convergenza tra i due domini pone un tema di apertura e di integrazione sul quale IT e OT sono culturalmente e organizzativamente da sempre separati. Le visioni sono diverse perché sono diverse le prospettive. Se il mondo dell’IT è abituato da anni a muoversi verso i temi dell’apertura e ha vissuto in tutte le sue dimensioni anche la grande apertura verso il mondo della rete Internet e del Cloud, per le operations la prospettiva è diversa. I “mondi” della produzione sono “chiusi” per garantire, da sempre, la massima protezione. Il dato della produzione nasce e conclude il suo ciclo di vita aziendale nel perimetro degli stabilimenti e corre su reti proprietarie con una governance rigorosa che non prevede forme di apertura. La digitalizzazione va, come ben noto, verso una diversa direzione, IT e OT non solo devono dialogare, ma devono integrarsi e devono farlo a livelli sempre più alti, come supply chain e filiere. Con una immagine forse un po’ schematica si può vedere un IT che spinge verso la completa integrazione e un OT che frena chiedendo garanzie a livello di sicurezza dei dati, di sicurezza operativa, di accesso alle reti e ai dati. Quel che appare certo è che resta un tema di tempi e soprattutto di modalità: con i prodotti connessi la produzione non solo deve misurarsi con una digitalizzazione finalizzata a trasformare i processi produttivi, ma con una catena del valore in cui il prodotto non “abbandona mai” la fabbrica, anzi, la alimenta costantemente di dati preziosi sul suo utilizzo, sul suo funzionamento, sul suo comportamento in varie e diverse situazioni. Non ultimo, questo approccio permette a design e produzione di intervenire sull’evoluzione dei prodotti stessi con dati sempre più precisi. Un percorso obbligato dunque che pone sul tappeto il tema della sicurezza in tutte le sue dimensioni e che abbiamo voluto affrontare con Umberto Cattaneo, EMEA Cyber security technical sales consultant di Schneider Electric in occasione del Forum Software Industriale di ANIE Automazione e ANIE Automazione.
Qual è la visione di Schneider Electric sui temi della sicurezza e, in senso più ampio, del risk management rispetto alle prospettive dell’Industria 4.0
Dobbiamo premettere che la cybersecurity è secondo noi sempre più legata a temi generali di security complessiva delle imprese. È cioè fondamentale affrontarla con un approccio olistico. Safety e security per fornire garanzie devono avere anche una profonda protezione di tipo cyber. Quando si parla di digitalizzazione di stabilimento e di produzione si deve pensare anche alla quantità di linee e di livelli di digitalizzazione che possono trasformarsi in potenziali vulnerabilità e ad ambiti che possono essere oggetto di attacchi. Ecco perché si devono mettere in campo soluzioni di sicurezza complessive che sappiano comprendere tutte le dimensioni di ogni ambito industriale.
È necessario poi definire architetture che siano compliant alle best practice; per ogni ambiente ci devono essere dei livelli di sicurezza target e su queste basi si devono scegliere e integrare tecnologie e processi. Occorre poi seguire il cliente in tutte le fasi: analisi e discussione delle aree da mettere in sicurezza; design; implementazione; manutenzione e continuo aggiornamento. La cybersecurity e la sicurezza non sono un prodotto, bensì un lifecycle. Si deve entrare in una logica di continua evoluzione perché sono le minacce che evolvono continuamente e i processi che devono a loro volta accompagnare e prevenire i rischi legati a questa evoluzione.
In questo tipo di progettualità, ci sono figure di riferimento anche a livello di collaborazione IT/OT?
La parte operation spesso non dispone dell’expertise adeguata per comprendere fino in fondo le tematiche nell’ambito del digitale. Possiamo dire che ci troviamo in questa fase in una situazione transitoria. Ci sono naturalmente i CISO che hanno un background prevalentemente IT. C’è poi oggi un grande tema di evangelizzazione, di comprensione di tutte le dimensioni della sicurezza e di diffusione di una nuova sensibilità e di nuovi livelli di attenzione. A questo si aggiunge la compliance e l’adeguamento alle normative. Ma c’è un tema di best practice da portare nelle aziende.
Che relazione vedete tra sicurezza, cybersecurity e Risk Management?
Il Risk Assessment relativo alla parte cyber è fondamentale e anche in questo caso si devono considerare tutti gli aspetti legati ai rischi aziendali, sia quelli evidentemente collegati al digitale, sia quelli che possono invece essere governati con il digitale. C’è tutto il tema dei rischi legati all’accesso controllato, ai possibili fermi di macchine gestite su piattaforme digitali e di disaster recovery.
Il tema delle best practices è particolarmente importante se consideriamo anche tutta la parte legata ai comportamenti che rappresentano spesso uno degli anelli più deboli. Abbiamo per questo, come Schneider Electric, dei training dedicati a diversi livelli che vanno dall’awareness a livelli più alti come programmi di education e di governance comportamentale.
Rispetto agli elementi infrastrutturali, quanto la lettura e quindi la parte di assessment è importante nel dimensionare un progetto di sicurezza? È vero che più è ricca la potenzialità digitale di un’azienda e più aumenta la sua esposizione ai rischi?
In molti casi è proprio così e prima si realizza una valutazione degli asset e della loro prospettiva di digitalizzazione prima si ha una vera stima dei fattori di rischio. Ad esempio, è fondamentale ad oggi conoscere esattamente quali sono le versioni del software, quali aggiornamenti devono essere effettuati, quali altri non possono essere adeguati e quali applicativi è necessario eliminare ecc. Poi c’è il discorso delle vulnerabilità, e della valutazione delle minacce. In particolare, rispetto ai livelli di vulnerabilità di ciascun componente si devono affrontare anche le stime sui possibili danni. Da tutto questo deve risultare una valutazione delle priorità degli interventi, delle azioni e naturalmente dei costi.
Alla base di tutto, come Schneider Electric vediamo un approccio che prevede lo sviluppo di prodotti in modalità Secure by design e che si aggancia poi a tutte le attività sopra descritte volte a fare in modo che il contesto nel quale si collocano possa essere il più possibile e il meglio possibile orientato alla gestione della sicurezza.
Dal punto di vista degli ambiti, quali sono i settori nei quali rilevate una maggiore attenzione?
Nelle grandi aziende manifatturiere certamente: l’industria 4.0 porta la digitalizzazione come ben sappiamo nelle linee di produzione e richiede di affrontare nuove minacce. Ci sono poi le utilities che a loro volta possono trarre grandi benefici da una digitalizzazione spinta, ma che nello stesso tempo si trovano ad affrontare nuove vulnerabilità. Il settore dell’energia più in generale e poi il mondo del facility, e della building automation. La gestione di intelligenza nell’ambito di edifici con problematiche legate tanto alla sicurezza del dato quanto al rispetto della privacy delle persone stanno cambiando radicalmente le gestione di questi ambienti.
Occorre infine osservare che si rileva una convergenza tra la misurabilità dell’incidenza dei fattori di rischio e la gestione della compliance: due fattori che concorrono direttamente a determinare una maggiore o minore sensibilità nel decidere e indirizzare investimenti su sicurezza, cybersecurity e risk management.
