Sicurezza

Industria 4.0 e impatto sulla sicurezza delle informazioni in ambito industriale

I potenziali rischi possono riguardare il blocco degli impianti, azioni di danneggiamento o terroristiche, furto di informazioni e know-how. È sufficiente concedere l’accesso da remoto a un fornitore non verificato per consentire a un hacker di entrare attraverso la rete del fornitore. Un problema legato a volte all’obsolescenza dei sistemi

20 Mag 2020

Paolo Gianoglio

direttore Progetto I4.0 - ICIM SpA

L’emergenza Covid-19 ha segnato una brusca interruzione degli investimenti in tecnologie innovative, e sicuramente le imprese saranno costrette nei prossimi mesi a dedicare la maggior parte delle risorse al recupero delle perdite provocate dal blocco delle attività produttive.

Le “lezioni” del lock down

Il lock down ha posto in evidenza innanzitutto come un più elevato livello di digitalizzazione avrebbe permesso alle imprese di mantenere un migliore presidio almeno su alcune aree, attivando lo smart-working. Posto che la produzione e la logistica richiedono e richiederanno in futuro la presenza fisica dell’uomo, una fabbrica digitale potrebbe operare con un minore numero di addetti “in presenza”, e quindi con migliori condizioni di distanziamento sociale. La fabbrica digitalizzata è quindi una fabbrica già pronta per gestire al meglio la cosiddetta “fase 2” nella quale le imprese dovranno attrezzarsi per convivere con la presenza del virus e con le misure di contenimento necessarie per contrastarne la diffusione.

La seconda “lesson learned” dal lock-down è che le attività criminose perpetrate attraverso strumenti digitali non si fermano nemmeno in periodi di grave crisi planetaria. E se fanno notizia gli attacchi hacker a grandi istituzioni, meno clamore generano i crimini informatici che ogni giorno hanno come vittime le imprese di ogni settore e tipologia e che purtroppo mostrano un trend in costante crescita.

Il problema della sicurezza dei sistemi interconnessi

Il processo di digitalizzazione che da alcuni anni sta interessando l’industria impone che le macchine siano sempre più interconnesse con sistemi informativi interni ed esterni all’azienda. In particolare, in Italia la legge che prevede la possibilità di godere degli incentivi fiscali (iperammortamento e ora credito d’imposta) per determinate categorie di beni prevede non solo interconnessione e integrazione logistica all’interno dell’azienda, ma anche la possibilità di integrazione logistica con la rete di fornitura (fornitore a monte e/o cliente a valle) e l’obbligo di sistemi di telemanutenzione o telediagnosi oppure di sistemi di controllo in remoto.

Questo significa che per soddisfare i requisiti previsti per accedere agli incentivi fiscali è necessaria un’interconnessione con sistemi esterni all’azienda, sui quali la stessa può esercitare un controllo solo parziale. Allo stesso tempo, la logica stessa dell’interconnessione comporta che attraverso la macchina sia potenzialmente possibile accedere al know how aziendale in termini di prodotto (disegni, part program, ricette di produzione), processo (fasi di lavorazione, tempi e di conseguenza costi), performance (cicli eseguiti, pezzi prodotti, OEE etc.).

Con questa interconnessione l’azienda è stata costretta ad assumersi nuovi rischi, spesso in modo inconsapevole, senza valutare adeguatamente l’impatto e le potenziali conseguenze, senza adottare misure di riduzione o eliminazione del rischio. I potenziali rischi possono riguardare il blocco degli impianti (per sabotaggio o riscatto), azioni di danneggiamento o terroristiche, furto di informazioni e know-how. È sufficiente concedere l’accesso da remoto a un fornitore del quale non sia stata preventivamente verificata la sicurezza informatica per consentire a un hacker di entrare nella nostra rete attraverso la rete del fornitore.

Non si tratta però solo di un tema tecnologico, ma una questione molto più ampia che riguarda competenze, comportamenti, strumenti organizzativi. La tecnologia può contrastare l’attacco effettuato dall’esterno verso la rete aziendale, ma può ben poco contro il furto di informazioni operato da chi, a vario titolo, può essere autorizzato ad accedere alle informazioni presenti sulle macchine e sugli impianti. Le imprese, dalle più piccole alle più grandi e organizzate, dimostrano attenzione verso la tutela dei dati che afferiscono alla parte gestionale e amministrativa (area commerciale, database clienti, ciclo attivo e passivo) e ai dati riguardanti la progettazione, ma sembrano ancora poco consapevoli delle implicazioni di sicurezza connesse alla digitalizzazione della produzione e della logistica. La mancanza di consapevolezza è il primo fattore di rischio in quanto le imprese non hanno ancora prestato attenzione a esaminare il nuovo contesto e prendere in esame la possibilità e l’impatto di eventi sfavorevoli.

Per fare solo un esempio, è raro che i contratti di manutenzione che prevedono le modalità di intervento da remoto prendano in esame e regolino le responsabilità dell’azienda incaricata per quanto concerne l’accesso e il trattamento dei dati accessibili attraverso la macchina o l’impianto. Spesso l’argomento non è nemmeno trattato dal contratto, e quindi non è nemmeno regolata la proprietà dei dati di funzionamento. È corretto che l’azienda che ha prodotto la macchina possa effettuare analisi predittive sulla base dei dati di funzionamento delle macchine installate presso la nostra azienda? Qualunque sia la risposta che riteniate corretta, oggi questa questione non è quasi mai regolata dai contratti, ed è quindi indefinita.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

In molte imprese la digitalizzazione è stata il frutto di un progresso non progettato a livello strategico, ma spesso “trascinato” dalle potenzialità offerte dalla tecnologia. In molti casi i processi di progettazione, produzione, manutenzione e logistica non sono stati rivisti alla luce della trasformazione digitale, ma si sono modificati in modo spontaneo sfruttando le nuove caratteristiche di macchine e impianti. Ciò può aver portato ad una perdita di know-how (nessuno in azienda è più in grado di eseguire un determinato processo senza l’ausilio dei sistemi digitali) e aumentato la vulnerabilità e la dipendenza dalla continuità dei servizi IT.

Vulnerabilità e obsolescenza

Spesso la vulnerabilità è legata anche a temi di obsolescenza: tipicamente la vita utile di una macchina è molto superiore a quella dei sistemi informativi che ne regolano il funzionamento e alla compatibilità di questi ultimi con i sistemi gestionali utilizzati, che a loro volta sono in costante evoluzione. La garanzia che i dati trattati e i protocolli di trasmissione possano essere compatibili anche con il sistema gestionale che sarà utilizzato tra 5, 10 o 15 anni è un altro tema critico che raramente viene considerato nella fase di acquisizione di un nuovo macchinario.

Occorre infine riprogettare i sistemi di archiviazione e conservazione dei dati. Paradossalmente, l’archiviazione cartacea – onerosa, scomoda, voluminosa – costringeva le organizzazioni a definire un processo per capire quali informazioni conservare e come reperirle in modo relativamente rapido quando fosse necessario. I sistemi digitali, in cui tutto è apparentemente semplice da mantenere, apparentemente poco costoso e facile da reperire, generano spesso sistemi di archiviazione che crescono a dismisura, con corrispondente crescita dei costi e difficoltà di recupero delle informazioni utili nel momento in cui servono.

L’esempio tipico è il file di dati (per esempio dati di produzione o elaborazioni su misure riguardanti la qualità del prodotto) che anziché essere condiviso viene inviato come allegato a diversi soggetti. Ogni soggetto lo archivia in una propria directory e spesso lo elabora, magari mantenendo lo stesso nome del file originale. Conclusa l’elaborazione, il file utilizzato per assumere una determinata decisione sarà presente in versioni diverse, in archivi diversi, spesso con nomi identici ma contenuti differenti.

Nella vita privata capita che solo nel momento in cui perdiamo lo smartphone ci accorgiamo che non solo non abbiamo eseguito alcun back up dei dati, ma che l’agenda su cui abbiamo riportato i numeri di telefono è aggiornata al 2001, e le uniche foto del battesimo di nostro nipote erano archiviate solo su quel dispositivo. Per consolarci cerchiamo le foto del battesimo di nostra figlia e ci rendiamo conto che il vecchio proiettore di diapositive non funziona più e nessuno vende la lampada di ricambio…

In azienda corriamo il rischio che possa accadere qualcosa di analogo. La digitalizzazione delle informazioni che riguardano produzione e logistica è avvenuta in un periodo relativamente breve, prestando attenzione – come è ovvio e naturale – alle prestazioni del nuovo sistema focalizzate sui benefici di breve e medio periodo. È opportuno che ora si apra una seconda fase, in cui le imprese rivalutino i nuovi processi implementati per domandarsi se le informazioni che sono raccolte e gestite siano adeguatamente conservate e protette contro errori umani e attacchi esterni, ma anche correttamente archiviate e amministrate per non lasciare gratuitamente a disposizione di provider un patrimonio che potrebbe essere utilizzato per ricavarne valore e infine salvaguardate dall’obsolescenza dei sistemi di lettura e archiviazione.

@RIPRODUZIONE RISERVATA
G
Paolo Gianoglio
direttore Progetto I4.0 - ICIM SpA

Articolo 1 di 3