La cyber security nell’automazione
Un buon livello di sicurezza informatica può essere raggiunto solo attraverso l’interazione di misure organizzative e tecniche all’interno dell’azienda e in collaborazione coi fornitori. Phoenix Contact supporta
i propri clienti lungo l’intero processo
di Lutz Jänicke
Come tutti sappiamo, la sicurezza informatica è oggetto di grande attenzione. Studi come quelli condotti dall’organizzazione tedesca VDMA (Verband Deutscher Maschinen- und Anlagenbau)(1) dimostrano come un gran numero di aziende abbia già dovuto affrontare problemi di questo tipo nella produzione. Detto questo, solo la metà delle imprese intervistate in un’indagine ZVEI (l’associazione tedesca dei produttori di componenti elettrici ed elettronici) ha effettuato un’analisi dei rischi nella propria area di produzione(2). Una sfida importante risiede proprio nella valutazione del rischio fondata non su incidenti accertati ma su potenziali attacchi futuri, non essendoci sufficienti informazioni per valutare la minaccia effettiva.
Dalla misura di buona prassi alla sicurezza delle informazioni
Per introdurre misure di sicurezza nella produzione, possono essere utilizzati gli approcci top-down o bottom-up provenienti dalle classiche strategie dell’ingegneria. Partiamo dalla buona prassi (bottom-up): a prescindere da un’analisi mirata delle minacce, ci sono numerose misure capaci di aumentare il livello di sicurezza, come ad esempio la segmentazione delle reti e la loro protezione mediante firewall, l’introduzione di una gestione utenti-password, la registrazione e l’analisi degli eventi. Grazie a queste attività è possibile raggiungere rapidamente un primo livello di sicurezza, tuttavia un ulteriore miglioramento richiede un approccio pianificato. L’ufficio federale tedesco per la sicurezza delle tecnologie dell’informazione (BSI) sostiene la sistematizzazione tramite lo strumento LARS (Light and Right Security)(3). Per quanto riguarda invece la gestione della sicurezza delle informazioni (top-down), una metodologia mirata è descritta nelle norme delle serie ISO/IEC 27000(4) e ISO/IEC 62443(5) in cui la valutazione inizia sempre con la definizione dei requisiti di protezione: cosa deve essere protetto e da quale minaccia? Sulla base di queste considerazioni, sarà possibile determinare le misure organizzative e tecniche necessarie.
Le misure per ulteriori sviluppi
Mentre in passato i sistemi di automazione erano isolati, oggi sono gestiti in stretta interconnessione col sistema informatico aziendale. Con l’evoluzione dei concetti di digitalizzazione e di Industry 4.0, l’interconnessione è diventata sempre più importante, comprendendo anche gli aspetti interaziendali e i servizi cloud. Anche la sicurezza informatica va implementata di pari passo.
Un sistema di gestione per la sicurezza delle informazioni (SGSI) esamina tutti gli aspetti della sicurezza informatica. Un livello di sicurezza sempre elevato è raggiungibile solo attraverso l’interazione organizzativa. L’SGSI, descritto nelle sue caratteristiche generali nella serie ISO/IEC 27000(4), è in fase di introduzione nell’IT di alcune grandi imprese. L’automazione però differisce dall’IT per numerosi criteri e richiede, all’interno di un SGSI, di particolare attenzione, come avviene nella parte 2-1 della norma ISO/IEC 62443(5). Per tener conto di queste specificità, le responsabilità vanno disciplinate di conseguenza. In questo contesto, una proposta è stata sviluppata nella piattaforma Industry 4.0(6). Il coordinamento generale delle attività rappresenta una componente importante, perché il livello di sicurezza desiderato può essere raggiunto solo attraverso un approccio coordinato.
L’importanza di identificare classificare i valori aziendali
Per un’efficace implementazione della sicurezza informatica, le risorse aziendali da proteggere (come sistemi, impianti e processi) devono essere identificate e classificate in base alla loro criticità. Prima di tutto bisogna identificare le potenziali minacce, e valutare i rischi connessi.
La valutazione del rischio che tiene conto dell’entità del danno e della probabilità che possa accadere è una sfida ardua. Mentre gli incidenti e i guasti tecnici possono spesso essere associati alla probabilità, gli attacchi mirati sfuggono a una stima statistica. L’ISO/IEC 62443(5) utilizza quindi i livelli di sicurezza da 1 a 4 che si orientano sulle capacità dei potenziali aggressori. Sarà necessario prevenire aggressioni professionali, o basterà proteggersi da attacchi semplici o non mirati come i virus? Anche se l’analisi della minaccia richiederà il coinvolgimento di esperti esterni, rappresenta la base per un’ulteriore definizione delle priorità e, quindi, un opportuno investimento economico. In base ai risultati della valutazione del rischio, verranno adottate le misure necessarie.
Quali sono i campi d’azione
nel settore dell’automazione
Nel settore dell’automazione si possono identificare diversi campi d’azione. Il sistema di automazione dovrebbe essere suddiviso in zone organizzate secondo compiti, disposizioni o requisiti di protezione. Le transizioni tra le singole zone richiedono particolare attenzione. Si consiglia poi di separare le reti di automazione in diversi segmenti che possono essere allineati alle zone. I firewall permettono poi di controllare il flusso delle informazioni tra i segmenti. I sistemi selezionati dovrebbero includere ovviamente le necessarie caratteristiche di sicurezza. Ad ogni modo, la sicurezza informatica non può essere raggiunta al 100%, per cui bisognerà classificare gli aggiornamenti software/patch per le varie criticità e installarli. Per poter rilevare gli attacchi i dati devono essere raccolti e analizzati, e dovrebbe essere elaborato anche un piano di emergenza per la difesa o il ripristino.