Cyber- Security by design

E' importante partire da valutazione del rischio e considerare i problemi della sicurezza fin dalle prime fasi di progettazione dei nuovi processi produttivi integrati e connessi.

23 mag 2018

Dario Formenti, Icim

Articolo pubblicato su L'Industria Meccanica n. 715

La trasformazione digitale coinvolge tutti i settori produttivi. Un'industria che voglia sviluppare il proprio otenziale competitivo con produzioni integrate, flessibili e sempre più connesse non può però permettersi di sottostimare il rischio che l'interconnessione degli asset comporta. Com'è noto, nell'era dell'industria 4.0 qualsiasi dispositivo, oltre ad essere una preziosa fonte di dati, può trasformarsi in un potenziale pericolo, un punto di accesso alla rete aziendale da parte dei cybercriminali.

E non solo a causa di una scarsa protezione perimetrale. Se è vero, infatti, che IoT e Cloud allargano i confini aziendali, tutte le più recenti analisi dimostrano che gli attacchi arrivano ormai anche dall'interno delle organizzazioni e che il fattore umano conta almeno quanto quello tecnologico. La moderna anifattura è always on, sempre connessa, una modalità cui ci stiamo abituando anche a livello personale ma che, di fatto, aumenta la superficie di attacco cybercrime.

Sottrazione e perdita dei dati, infiltrazioni di malware, transazioni fraudolente, attacchi con effetti sulla produzione fino al fermo della stessa; le stime riferite al mercato globale della cyber security – per citare i numeri spiegati a fine anno dall'Ad di Leonardo, Alessandro Profumo – salgono dai 120 miliardi di euro nel 2017 a circa 180 miliardi di euro nel 2021; l'Europa rappresenta circa il 25% del mercato globale e se ne prevede una crescita a 44,6 miliardi nel 2021.

Sono cifre che, se da una parte rappresentano un'opportunità di business e di occupazione specializzata, dall'altra sgomentano le imprese non avvezze a misurarsi in contesti non protetti e già impegnate ad allocare risorse per investimenti tecnici e organizzativi necessari alla compliance con altre misure, ad esempio quelle previste dal Gdpr (General data protection regulation).

Risk Assessment per difendersi dal cybercrime

«Ma come difendersi? Serve, inanzitutto, consapevolezza della pervasività che consegue alla trasformazione 4.0 da parte di tutti, imprese e professionisti del settore industriale, che devono riconsiderare radicalmente la propria governance della cybersicurezza. Consapevolezza significa, in primis, dotarsi di una fotografia più reale possibile del proprio rischio. In Italia manca il concetto di prevenzione e si tende a investire, quasi sempre, a fronte di un evento disastroso. La prevenzione, e dunque il risk assessment, con il coinvolgimento di tutte le strutture aziendali nei processi di sicurezza, sono argomenti che dovrebbero, invece, essere sul tavolo di discussione di tutte le aziende.

Non si può dimenticare, tuttavia, che anche nel campo della cybersecurity è indispensabile fare i conti con la specificità tutta italiana della massiccia presenza delle Pmi, quel 95% di aziende inserite in numerose filiere produttive che rischiano di essere l'anello debole dell'intera supply chain.

Per mancanza di competenze specifiche al loro interno o per cultura, queste aziende hanno più difficoltà ad abbracciare la digital transformation e, in particolare, a recepire quanto sia importante prevedere una soglia più alta di sicurezza informatica e a non prendere scorciatoie nei requisiti non funzionali di progetto, in particolare quando l'accelerazione degli investimenti 4.0 porta all'inserimento a volte troppo rapido di nuove macchine su architetture esistenti.

All'interno delle grandi aziende, in particolare se certificate 22301 (Business Continuity) o 27001 (Sistema di Gestione per la Sicurezza delle Informazioni) l'analisi del rischio e la "manutenzione della sicurezza" sono concetti acquisiti; diversamente le Pmi non hanno un'organizzazione It al proprio interno e per le esigenze di innovazione e integrazione informatica si appoggiano a software house che, pur vantando una forte competenza nei processi produttivi e di approvvigionamento, non hanno expertise nella gestione della cyber security.

A disposizione delle piccole aziende esistono vari schemi di valutazione del rischio, come il framework nazionale per la cybersecurity, realizzato dal Cis-Sapienza e dal laboratorio nazionale di cybersecurity che fornisce 15 controlli essenziali di sicurezza informatica.

Sono, questi, strumenti estremamente utili ma le aziende, che non sono mai identiche tra loro, non dovrebbero farvi esclusivo affidamento: il rischio è di "flaggare" le varie voci di questi template senza alcuna intelligence innovativa e aggiornata sulle minacce, che può invece arrivare da operatori in grado di fornire servizi e strumenti completi di protezione, monitoraggio, rilevamento, avviso e reporting.

Un ruolo importante può essere svolto anche dalle associazioni, spesso il punto di riferimento per i corsi di formazione sui rischi della fabbrica digitale.

Il risk assessment deve portare a sviluppare un approccio predittivo e non meramente reattivo, con un occhio alla sicurezza e uno alle prestazioni, e deve prevedere uno specifico vulnerability assessment mirato a identificare la percentuale di rischio di penetrazione del proprio sistema azienda. Tra gli interlocutori più qualificati allo svolgimento delle analisi dei fattori di rischio, occupano una posizione di rilievo gli enti di certificazione accreditati che possono vantare competenze multidisciplinari e profonda conoscenza dei processi industriali.

Il risk assessment deve essere perciò uno strumento "vivo", con scadenze ravvicinate in virtù del fatto che solo un aggiornamento veloce e continuo del sistema consente all'azienda di proteggersi dalle minacce cyber – basti pensare che il timeframe tra il rilascio di una nuova patch e il rilascio di un nuovo virus è diventato sempre più stretto – e, soprattutto, impegnandosi a rispettare le linee guida che ne derivano: tentare di creare una strategia di sicurezza senza questa conoscenza significa bruciare le proprie risorse, per non dire dei possibili problemi di natura legale legati, ad esempio, alla sicurezza di proprietà dei dati.

Un approccio che parte dalla fase progettuale

A livello di implementazione, l'unica, valida soluzione sembra essere la security by design, ovvero considerare i problemi della sicurezza fin dalle prime fasi di progettazione dei nuovi processi produttivi integrati e connessi.

Il personale It interno, così come i consulenti informatici esterni, devono essere coinvolti nel percorso di digital innovation intrapreso dall'azienda già dalla fase progettuale. Il loro contributo è fondamentale per monitorare i fornitori che progettano e installano macchinari produttivi di ultima generazione (o che ne programmano l'aggiornamento per l'interconnessione 4.0) senza essere in grado di prendere in adeguata considerazione il grado di rischio introdotto e sottovalutare così i rischi connessi alla connettività.

E in ogni caso, quale che sia l'investimento in infrastrutture per la sicurezza, esso non può considerarsi risolutivo ma deve includere, necessariamente, il servizio di gestione e sorveglianza, con assistenza strutturata su diversi livelli e capacità di intervento h24.

Della security by design fa parte anche il concetto di difesa in profondità. Con l'approccio Did - defence in depth, si realizza un piano di security "multistrato" che indica potenziali vulnerabilità, procedure, policy di recupero da eventuali incidenti e ci si assicura che le procedure siano operate correttamente da chi lavora in azienda.

A partire dal piano, si predispone la separazione delle reti che riguardano l'automazione del processo e il controllo dei sistemi da altre reti interne o esterne, creando delle zone sicure in cui possa essere indirizzato solo il traffico autorizzato, arrivando anche a segmentare internamente le reti. Questo non impedisce l'interazione fra la fabbrica e altri processi, ma consente di aumentare al massimo la possibilità di proteggersi dai rischi.

Sono concetti familiari alle realtà industriali – avvezze a proteggere impianti, reti e sistemi secondo le norme ISA 99 e IEC 62443, gli standard più importanti per la sicurezza nel settore dell'automazione industriale – ora di stringente attualità anche nella smart factory 4.0.

Per dirla più semplicemente, è un'architettura "a cipolla", con diversi livelli di accesso, che vede la protezione del sistema come parte integrante della progettazione dei prodotti: chiaramente ciò porta alla necessità di avere disponibilità (interna o esterna) di personale specificamente qualificato per la cybersecurity nei team It anche in ambito produttivo e industriale.

Investire in sicurezza

Mentre si attestano sempre più esempi di intelligenza artificiale in grado di riconoscere, con latenza estremamente ridotta, comportamenti anomali all'interno dei pattern di processo, per un pronto intervento a difesa dei sistemi, l'unico modo per mettere in atto le opportune procedure di difesa e di recovery è attivare un'azione di monitoraggio continuo: degli allarmi e degli eventi che avvengono in rete, così come dei dispositivi e dei macchinari utilizzati.

Ne deriva la conseguenza, o meglio, la premessa, che siano allocate alla cybersecurity le risorse necessarie, al punto che una quota parte del saving derivato dall'iperammortamento deve necessariamente diventare investimento per la sicurezza.

La sicurezza informatica non va considerata come un costo, ma va vissuta come un investimento che nel medio-lungo termine può garantire la sostenibilità del nuovo modello produttivo di Industria 4.0. In altre parole, la cybersecurity deve includere – by design – un budget adeguato.

Energia, Edilizia, Alimentare, Movimentazione e logistica, Sicurezza e ambiente, Industria varia, Industria, automazione