Sicurezza nei sistemi industriali e manifatturieri: come affrontare la sfida

La sicurezza degli impianti industriali (cybersecurity OT) è molto diversa da quella informatica della parte IT. Anche se le pratiche di base sono simili, ci sono molte differenze che vanno affrontate in maniera specifica per non inficiare la qualità della produzione né il livello di protezione.

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Il tema della sicurezza informatica è sicuramente stato uno dei più caldi e dibattuti nel panorama aziendale negli ultimi mesi. Dopo anni di trascuratezza, finalmente i CDA hanno compreso l’importanza di una politica di prevenzione e gestione del rischio informatico, grazie anche a una situazione in cui i cyber-criminali impazzano, bloccando ogni giorno l’operatività di molte aziende tramite ransomware e attacchi di altro tipo.

La consapevolezza del rischio informatico, però, non è ancora altrettanto ben sviluppata in un settore che sta correndo verso la digitalizzazione come quello dei macchinari industriali e manifatturieri. Dalle fabbriche alle industrie tessili, passando per industrie meccaniche di precisione e distributori di energia, tutti i dispositivi sono a rischio compromissione soprattutto in virtù di un nuovo scenario che si è ormai affermato da qualche tempo e che coinvolge ogni aspetto delle aziende.

Il nuovo scenario vede una convergenza tecnologica da valutare attentamente

Con l’affermarsi del cloud e dei big data, molte aziende hanno dato il via al processo di digitalizzazione del business, con conseguenze importanti sia a livello dei processi, sia dei risultati conseguiti.

Per restare competitiva, infatti, un’azienda moderna ha bisogno di una integrazione digitale molto spinta, con ogni settore che contribuisce all’alimentazione del data lake e un reparto informatico molto forte in grado di analizzare e trasformare questi dati in ricchezza e strumenti di business.

Ma per contribuire al data lake, ogni pezzo dell'azienda deve esser connesso all’infrastruttura IT e questo costituisce un grande cambiamento rispetto al passato nel settore OT (Operation Technology).

“Una volta,” – dice Angelo Candian, Business Segment Manager – Digital Connectivity and Power di Siemens – “le macchine vivevano in una rete completamente separata da quella informatica e quindi difficilmente attaccabile in remoto. Oggi, invece, in azienda tutti gli aspetti devono esser collegati tra loro in modo da alimentare il software di gestione con i dati che arrivano dalla logistica, dal marketing, dalle vendite e ovviamente dalle macchine in forze al settore OT, siano esse di produzione o di gestione.”

“Questo” – continua Candian – “serve per garantire maggiore competitività, un time to market più breve, migliorare la trasparenza dei processi e ottimizzare le risorse. Per farlo, la parte OT deve ‘aprirsi’ a quella IT per permettere dialogo e passaggio di dati, ma il processo non è immediato né banale.  In un ambiente produttivo, tutto deve esser realizzato in modo da proteggere e garantire la capacità produttiva, 24 ore al giorno, sette giorni su sette.”

Per muoversi nel modo giusto, quindi, bisogna conoscere bene ogni aspetto dei processi produttivi, delle connessioni di rete e di sicurezza.

Le differenze tra ambiti IT e OT

Il primo, grosso problema che le industrie e le manifatture si trovano a dover affrontare riguarda proprio il personale che deve gestire il processo di integrazione su di una unica infrastruttura. “Molto spesso” – conferma Candian – “nelle aziende si trova un dualismo molto marcato: chi si occupa della infrastruttura IT conosce molto poco di come funziona quella OT e viceversa. Per questo, serve guidare il personale dei due mondi verso una comune via di mezzo dove possono iniziare a comunicare.”

Mentre in IT si usano protocolli che prediligono la velocità, in modo da poter spostare molti dati in tempi ristretti, nel settore OT si preferiscono protocolli meno performanti da un punto della larghezza di banda, ma molto più affidabili per quello che riguarda le latenze che devono essere assolutamente predicibili e costanti.

Del resto, una macchina può arrivare a produrre decine di pezzi al secondo e la sincronizzazione con quelle che la precedono e la seguono nel processo deve essere assoluta. Si devono poter spostare pochi kb di dati in pochi millisecondi, con una variazione nella latenza che deve restare nell’ordine dei microsecondi. Necessità completamente diverse da quelle che si riscontrano quotidianamente nel settore IT e non affrontabili con protocolli di rete tipici.

Ma le differenze non si fermano qui e si estendono anche alla tipologia dell’area di lavoro. La maggior parte delle macchine IT, infatti, è collocata in un ufficio o comunque in un ambiente pensato per il lavoro principalmente da colletto bianco. Le macchine OT, invece, sono spessissimo in ambienti difficili, dove incontrano temperature elevate o bassissime, in zone polverose, umide o anguste, che rendono difficile rispettare i parametri fisici di funzionamento.  Non a caso, molte macchine OT sono dei PLC o dispositivi rugged.

Infine, nel settore OT c’è un aspetto quasi completamente assente in quello IT: la sicurezza fisica degli operatori che lavorano sulla macchina o nell’ambiente circostante. Una macchina deve controllare il proprio stato e quello delle comunicazioni in tempo reale, in modo da bloccarsi all’istante in caso di malfunzionamento.

Fai un salto sul sito dedicato al tema dell'integrazione tra reti IT e OT curato da Siemens per approfondire il tema e scaricare il whitepaper dedicato!

Come sviluppare le competenze necessarie

Per far fronte all’enorme quantità di competenze necessarie per mettere in sicurezza una infrastruttura OT, quindi, si dovrà creare un team composto da elementi che provengano sia dal mondo IT sia da quello OT e prepararlo in maniera adeguata. Il partner che segue l’azienda in questo processo è di solito in grado di fornire sia la consulenza relativa alla parte organizzativa, sia la formazione necessaria.

“L’approccio che abbiamo in Siemens” – dice Candian – “è proprio quello di accompagnare l’azienda in questa trasformazione, affiancando del personale preparato sia nella parte tecnica, sia in quella organizzativa, in modo da portare ogni impianto alla piena compatibilità con lo standard IEC 62443.”

Il compito non è facile anche perché quando si parla di OT si raggruppa sotto lo stesso cappello una quantità enorme di soluzioni che vanno invece a coprire ambiti molto diversi tra di loro.

“Quello che viene installato in una acciaieria” – dice Emanuele Ermini, Sales Specialist DCP Team Leader di Siemens – “è molto diverso da quello che viene installato in ambito energia o logistica. Gli ambienti sono molto diversi, così come lo sono le temperature e condizioni di esercizio. E in più c’è da tener presente il caso della messa in sicurezza di parchi macchine già esistenti.”

Anche parchi macchine già esistenti e, magari, molto datati possono esser messi in sicurezza e portati a norma dello standard con l’aggiunta della giusta infrastruttura.

“Negli ambiti industriali” – ci dice Mauro Cerea, Cybersecurity OT Manager di Siemens – “è molto frequente trovare macchine con sistemi operativi obsoleti, finanche Windows XP, che non vengono patchati per evitare problemi durante le operazioni che controllano o per i quali non sono più disponibili aggiornamenti. In questi casi, spesso ricorriamo a tecniche di 'whitelisting' per aggirare tutte le limitazioni tecniche e garantire la sicurezza. In altri ambiti, invece, dove si ha a che fare con protocolli ancora più precedenti, magari analogici, si inseriscono delle macchine che fanno da ‘ponte’ tra le vecchie tecnologie e quelle nuove, digitalizzando i dati in uscita e trasformando in analogico i comandi in entrata. In questo modo, si possono preservare parchi macchine che nonostante l’età hanno ancora molto da dare”.

Coprire tutte le possibilità, quindi, è un compito davvero complesso e il modo migliore per affrontarlo è quello di sfruttare le competenze di partner che abbiano grande esperienza sul mercato e possano sfruttare le trasformazioni già affrontate per trovare le soluzioni più adatte a ogni nuovo singolo caso, in modo da portare le infrastrutture OT ad offrire la dovuta resilienza alle sfide che gli scenari che il cyber-crimine sta disegnando in questi difficili anni.

Per saperne di più, consulta il sito dedicato alla sicurezza nell'interazione tra reti IT e OT. Inoltre, non mancare l'evento gratuito dedicato a questo tema in cui potrai ascoltare i consigli di esperti del settore e porre loro le tue domande!