Industria 4.0 è diventata sinonimo di digitalizzazione del comparto manifatturiero. Rappresenta la quarta rivoluzione industriale ed è caratterizzata dall’utilizzo di tecnologie abilitanti quali IoT, Industrial Analytics, Cloud Manufacturing, ecc. la cui introduzione in ambienti operativi tradizionali rende necessaria una serie di riflessioni sulle barriere all’adozione di processi e standard per la sicurezza e la protezione dei dati. Vediamo i principali aspetti sfidanti della sicurezza nell’Industria 4.0 e alcune raccomandazioni in merito.
Sicurezza e protezione dati, le aree individuate da Enisa
La sicurezza e la protezione dei dati sono ormai riconosciuti come aspetti chiave che non devono mancare nell’agenda di una qualsiasi realtà aziendale e, in particolare, diventano ancora più critici nell’ambito di realtà tecnologicamente ed organizzativamente complesse quali quelle dell’Industria 4.0.
L’”Agenzia dell’Unione Europea per la Sicurezza della rete e delle informazioni” (ENISA), nella pubblicazione del suo recente studio “Industry 4.0 – Cybersecurity Challenges and Recommendations“, ha cercato di identificare le principali criticità nell’adozione di processi e standard volti a garantire la sicurezza e la protezione dei dati negli ambiti IT e OT dell’Industria 4.0. Lo studio si focalizza sulle tre aree “Persone”, “Processi” e “Tecnologia” e fornisce utili raccomandazioni generali, senza penalizzare l’aspetto innovativo proprio dell’Industria 4.0. Tali considerazioni e raccomandazioni sono generalizzabili ad una qualsiasi realtà aziendale che eroghi servizi attraverso l’utilizzo di sistemi e servizi IT.
Area “persone”: focus sullo skill mismatch
Gli aspetti critici rilevanti identificati per questa area sono rappresentati dalle competenze, dalla consapevolezza e dall’organizzazione. Vediamoli nel dettaglio.
- Insufficienti competenze e consapevolezza
L’introduzione di tecnologie innovative nell’Industria 4.0 ha determinato un disallineamento tra i nuovi skill richiesti e le effettive competenze ed esperienze disponibili. Le persone operanti nell’IT/OT si sono trovate ad adattarsi ad una nuova realtà “di fatto” senza avere una adeguata formazione atta a garantire quei requisiti di sicurezza indispensabili in un ecosistema sempre più complesso.
A titolo esemplificativo possiamo evidenziare alcuni punti di criticità nell’ambito delle competenze e della consapevolezza quali:
- Conoscenza e skill operativi per monitorare, prevenire e identificare anomalie dovute a violazioni di sicurezza;
- Aspetti di sicurezza legati alle nuove tecnologie proprie dell’Industry 4.0;
- Metodi per l’integrazione sicura di nuove componenti tecnologiche con i sistemi legacy;
- Gestione degli aspetti di sicurezza su sistemi sempre più innovativi nell’ambito di catene produttive sempre più complesse.
Queste criticità sono ancor più aggravate dalla sempre più diffusa attitudine delle aziende di utilizzare soluzioni di sicurezza per l’Industry 4.0 piuttosto che focalizzarsi sul training del personale (interno e terze parti) che lavora in ambito OT.
Raccomandazioni: Promuovere la conoscenza cross-funzionale nell’ambito della sicurezza IT e OT attraverso un adeguato training sulle tematiche della cybersecurity e della protezione dei dati. In primis, focalizzarsi sui percorsi di educazione e sensibilizzazione delle generazioni più giovani in modo da contribuire a lungo termine alla crescita di tale consapevolezza.
- Policy e processi organizzativi incompleti e riluttanti ai fondamentali della sicurezza
Gli operatori dell’Industria 4.0 presentano solitamente delle strutture di governance non appropriate per un’implementazione sicura delle nuove tecnologie abilitanti e per la gestione sicura delle tecnologie esistenti. In aggiunta, i ruoli e le responsabilità in ambito sicurezza non sono ben definiti, con il risultato di una scarsa resilienza e la presenza di un alto grado di vulnerabilità a fronte di minacce sempre più articolate.
Tale situazione nasce dal fatto che le aziende, e non solo quelle dell’Industria 4.0, si sono occupate di incrementare il valore del business focalizzandosi in modo marginale sugli aspetti della sicurezza. Si aggiunga, come elemento di criticità, l’adozione di soluzioni di Cloud pubblico o ibrido in assenza di una chiara strategia e architettura di sicurezza da calare sulla scelta delle specifiche soluzioni e piattaforme.
Alla base di tutto, i fondi limitati pianificati per gli investimenti in ambito Cybersecurity e una non corretta valutazione dei danni economici e di immagine che un incidente in ambito sicurezza può creare.
Raccomandazioni: Pianificare investimenti per la sicurezza, non considerando la Cybersecurity come un mero costo ma piuttosto come un’opportunità di business in quanto essa introduce un vantaggio competitivo per il business in termini di prodotti e servizi sicuri ed affidabili. La maturità e la mentalità delle organizzazioni operanti nell’Industria 4.0 hanno bisogno di crescere attraverso azioni quali:
- Adozione di una strategia aziendale di Cybersecurity, anche avvalendosi di esperti del settore, supportata da adeguati investimenti economici;
- A livello organizzativo aziendale, definizione di ruoli e processi atti a supportare l’implementazione della strategia in ambito IT/OT;
- Acquisizione di certificazioni di sicurezza;
- Promozione della collaborazione Pubblico-Privato per stabilire un dialogo multi-stakeholder e pertanto un approccio sinergico volto alla riduzione dei rischi e alla condivisione delle esperienze e delle conoscenze.
Area “processi”: responsabilità e standard
Gli aspetti critici rilevanti identificati per questa area sono rappresentati dalle responsabilità, dalla frammentazione degli standard tecnici e dalla complessità di gestione. Vediamoli nel dettaglio.
- Non chiara definizione delle responsabilità
L’aspetto delle responsabilità nell’Industria 4.0 è un problema aperto a causa della complessità dell’ecosistema stesso legato al grande numero di stakeholder coinvolto nella catena produttiva e nel ciclo di vita dell’Industria 4.0. Basti pensare che molti prodotti sono costruiti a partire da componenti di diversi produttori e, pertanto, attribuire la responsabilità ad uno o più produttori in caso di incidente di sicurezza diventa una vera sfida.
Raccomandazioni: Chiarire le responsabilità tra gli attori dell’Industria 4.0. Siano essi sviluppatori, produttori, fornitori, operatori post-vendita, fornitori di terze parti, per fare solo alcuni esempi, vanno chiarite le responsabilità di tutti i principali attori attraverso:
- Contratti ed ingaggi in cui siano qualificati chiaramente le responsabilità e i livelli di servizio;
- Una chiara definizione degli obblighi legali e delle responsabilità di ciascun operatore, nel rispetto della normativa in materia.
- Frammentazione degli standard tecnici dell’Industria 4.0
Le aziende dell’Industria 4.0 hanno solitamente siti localizzati in diversi territori e ciò favorisce una situazione frammentata a livello di adozione di standard comuni. Il risultato è generalmente una situazione in cui i diversi siti non collaborano sulle tematiche di sicurezza e non condividono l’esperienza e le soluzioni in ambito Cybersecurity.
Raccomandazioni: Armonizzare gli effort locali al fine di ridurre i gap e le sovrapposizioni, anche condividendo approcci e soluzioni comuni in ambito Cybersecurity. In generale, è necessario avere un indirizzo ed una strategia condivisi tra i vari siti, sviluppando uno schema di adesione agli standard globali di sicurezza prescelti.
- Complessità di gestione della catena produttiva e distributiva
L’Industria 4.0 presenta catene produttive e distributive dinamiche, flessibili ed interdipendenti per poter potenziare gli aspetti di performance, scalabilità e riduzione dei costi. Per fare ciò, tipicamente le aziende si appoggiano ad altre nell’espletamento di specifiche attività. In tale quadro, avere un controllo effettivo su tutta la catena è essenziale in quanto non essere capace di tracciare ogni componente dalla sua sorgente può minare la fiducia nei confronti degli aspetti di sicurezza del prodotto in quanto gli incidenti di sicurezza possono verificarsi a diversi livelli e in diversi momenti della catena. È evidente che un evento di sicurezza in qualsiasi punto della catena può avere impatti negativi sulla sicurezza del prodotto finale. La complessità della catena produttiva e distributiva non fa altro che esacerbare tale aspetto.
Raccomandazioni: Adottare processi di gestione sicura su tutto il processo end-to-end e indirizzare la complessità e i rischi attraverso l’individuazione dei punti critici. Condurre assessment dei rischi ad intervalli periodici su tutta la catena. Affidarsi a fornitori che garantiscano riconosciuti standard e certificazioni di sicurezza. Utilizzare processi, prodotti e servizi sicuri.
Area “tecnologia”: interoperabilità e limiti
Gli aspetti critici rilevanti identificati per questa area sono rappresentati dall’interoperabilità e dai limiti tecnologici. Vediamoli nel dettaglio.
- Interoperabilità dei dispositivi, delle piattaforme e dei framework dell’Industria 4.0
Con l’introduzione e l’integrazione di dispositivi, piattaforme e framework dell’Industria 4.0 nasce il problema dell’interoperabilità, soprattutto in presenza di protocolli proprietari, e della sicurezza dell’interconnessione utilizzando standard di sicurezza comuni.
Raccomandazioni: Stabilire delle baseline per un’interoperabilità sicura. Utilizzare framework di interoperabilità che promuovono un linguaggio comune di sicurezza e utilizzano protocolli sicuri.
- Limiti tecnologici per la sicurezza nell’Industria 4.0
A causa della complessità e della necessità di scalabilità dell’ecosistema dell’Industria 4.0, nasce la criticità legata ai limiti tecnici dei dispositivi e dei sistemi industriali nel supportare gli aspetti relativi alla sicurezza. Si aggiunga che gli strumenti e le soluzioni a supporto della cybersecurity per i sistemi 4.0 sono generalmente troppo pochi o troppo costosi.
Raccomandazioni: Definire un’architettura di sicurezza che applichi i principi di security e privacy by design e by default e che cerchi di superare i limiti tecnologici legati a tutti i componenti, dispositivi, servizi, protocolli, comunicazione e processi in gioco. Adottare strategie di governance e controllo in ambito Cybersecurity con processi periodici di assessment del livello di rischiosità e maturità.