ENISA

Proteggere Industria 4.0 dal rischio cyber, ecco le 3 aree chiave

L’introduzione di tecnologie di nuova generazione nel comparto manifatturiero apre a nuovi scenari sul versante sicurezza e protezione dati. Una panoramica dei rischi e le raccomandazioni dell’Enisa per scongiurare danni economici

22 Ago 2019
Annarosa Mallozzi

Senior IT Architect for "Piattaforma Logistica Nazionale" & UIRNet Security and Data Privacy Office

quarta-rivoluzione-industriale

Industria 4.0 è diventata sinonimo di digitalizzazione del comparto manifatturiero. Rappresenta la quarta rivoluzione industriale ed è caratterizzata dall’utilizzo di tecnologie abilitanti quali IoT, Industrial Analytics, Cloud Manufacturing, ecc. la cui introduzione in ambienti operativi tradizionali rende necessaria una serie di riflessioni sulle barriere all’adozione di processi e standard per la sicurezza e la protezione dei dati. Vediamo i principali aspetti sfidanti della sicurezza nell’Industria 4.0 e alcune raccomandazioni in merito.

Sicurezza e protezione dati, le aree individuate da Enisa

La sicurezza e la protezione dei dati sono ormai riconosciuti come aspetti chiave che non devono mancare nell’agenda di una qualsiasi realtà aziendale e, in particolare, diventano ancora più critici nell’ambito di realtà tecnologicamente ed organizzativamente complesse quali quelle dell’Industria 4.0.

WHITEPAPER
Intelligent enterprise: dall’azienda estesa alla filiera integratae collaborativa
IoT
Manifatturiero/Produzione

L’”Agenzia dell’Unione Europea per la Sicurezza della rete e delle informazioni” (ENISA), nella pubblicazione del suo recente studio “Industry 4.0 – Cybersecurity Challenges and Recommendations“, ha cercato di identificare le principali criticità nell’adozione di processi e standard volti a garantire la sicurezza e la protezione dei dati negli ambiti IT e OT dell’Industria 4.0. Lo studio si focalizza sulle tre aree “Persone”, “Processi” e “Tecnologia” e fornisce utili raccomandazioni generali, senza penalizzare l’aspetto innovativo proprio dell’Industria 4.0. Tali considerazioni e raccomandazioni sono generalizzabili ad una qualsiasi realtà aziendale che eroghi servizi attraverso l’utilizzo di sistemi e servizi IT.

Area “persone”: focus sullo skill mismatch

 Gli aspetti critici rilevanti identificati per questa area sono rappresentati dalle competenze, dalla consapevolezza e dall’organizzazione. Vediamoli nel dettaglio.

  1. Insufficienti competenze e consapevolezza

L’introduzione di tecnologie innovative nell’Industria 4.0 ha determinato un disallineamento tra i nuovi skill richiesti e le effettive competenze ed esperienze disponibili. Le persone operanti nell’IT/OT si sono trovate ad adattarsi ad una nuova realtà “di fatto” senza avere una adeguata formazione atta a garantire quei requisiti di sicurezza indispensabili in un ecosistema sempre più complesso.

A titolo esemplificativo possiamo evidenziare alcuni punti di criticità nell’ambito delle competenze e della consapevolezza quali:

  • Conoscenza e skill operativi per monitorare, prevenire e identificare anomalie dovute a violazioni di sicurezza;
  • Aspetti di sicurezza legati alle nuove tecnologie proprie dell’Industry 4.0;
  • Metodi per l’integrazione sicura di nuove componenti tecnologiche con i sistemi legacy;
  • Gestione degli aspetti di sicurezza su sistemi sempre più innovativi nell’ambito di catene produttive sempre più complesse.

Queste criticità sono ancor più aggravate dalla sempre più diffusa attitudine delle aziende di utilizzare soluzioni di sicurezza per l’Industry 4.0 piuttosto che focalizzarsi sul training del personale (interno e terze parti) che lavora in ambito OT.

Raccomandazioni: Promuovere la conoscenza cross-funzionale nell’ambito della sicurezza IT e OT attraverso un adeguato training sulle tematiche della cybersecurity e della protezione dei dati. In primis, focalizzarsi sui percorsi di educazione e sensibilizzazione delle generazioni più giovani in modo da contribuire a lungo termine alla crescita di tale consapevolezza.

  1. Policy e processi organizzativi incompleti e riluttanti ai fondamentali della sicurezza

Gli operatori dell’Industria 4.0 presentano solitamente delle strutture di governance non appropriate per un’implementazione sicura delle nuove tecnologie abilitanti e per la gestione sicura delle tecnologie esistenti. In aggiunta, i ruoli e le responsabilità in ambito sicurezza non sono ben definiti, con il risultato di una scarsa resilienza e la presenza di un alto grado di vulnerabilità a fronte di minacce sempre più articolate.

Tale situazione nasce dal fatto che le aziende, e non solo quelle dell’Industria 4.0, si sono occupate di incrementare il valore del business focalizzandosi in modo marginale sugli aspetti della sicurezza. Si aggiunga, come elemento di criticità, l’adozione di soluzioni di Cloud pubblico o ibrido in assenza di una chiara strategia e architettura di sicurezza da calare sulla scelta delle specifiche soluzioni e piattaforme.

Alla base di tutto, i fondi limitati pianificati per gli investimenti in ambito Cybersecurity e una non corretta valutazione dei danni economici e di immagine che un incidente in ambito sicurezza può creare.

Raccomandazioni: Pianificare investimenti per la sicurezza, non considerando la Cybersecurity come un mero costo ma piuttosto come un’opportunità di business in quanto essa introduce un vantaggio competitivo per il business in termini di prodotti e servizi sicuri ed affidabili. La maturità e la mentalità delle organizzazioni operanti nell’Industria 4.0 hanno bisogno di crescere attraverso azioni quali:

  • Adozione di una strategia aziendale di Cybersecurity, anche avvalendosi di esperti del settore, supportata da adeguati investimenti economici;
  • A livello organizzativo aziendale, definizione di ruoli e processi atti a supportare l’implementazione della strategia in ambito IT/OT;
  • Acquisizione di certificazioni di sicurezza;
  • Promozione della collaborazione Pubblico-Privato per stabilire un dialogo multi-stakeholder e pertanto un approccio sinergico volto alla riduzione dei rischi e alla condivisione delle esperienze e delle conoscenze.

Area “processi”: responsabilità e standard

Gli aspetti critici rilevanti identificati per questa area sono rappresentati dalle responsabilità, dalla frammentazione degli standard tecnici e dalla complessità di gestione. Vediamoli nel dettaglio.

  1. Non chiara definizione delle responsabilità

L’aspetto delle responsabilità nell’Industria 4.0 è un problema aperto a causa della complessità dell’ecosistema stesso legato al grande numero di stakeholder coinvolto nella catena produttiva e nel ciclo di vita dell’Industria 4.0. Basti pensare che molti prodotti sono costruiti a partire da componenti di diversi produttori e, pertanto, attribuire la responsabilità ad uno o più produttori in caso di incidente di sicurezza diventa una vera sfida.

Raccomandazioni: Chiarire le responsabilità tra gli attori dell’Industria 4.0. Siano essi sviluppatori, produttori, fornitori, operatori post-vendita, fornitori di terze parti, per fare solo alcuni esempi, vanno chiarite le responsabilità di tutti i principali attori attraverso:

  • Contratti ed ingaggi in cui siano qualificati chiaramente le responsabilità e i livelli di servizio;
  • Una chiara definizione degli obblighi legali e delle responsabilità di ciascun operatore, nel rispetto della normativa in materia.
  1. Frammentazione degli standard tecnici dell’Industria 4.0

Le aziende dell’Industria 4.0 hanno solitamente siti localizzati in diversi territori e ciò favorisce una situazione frammentata a livello di adozione di standard comuni. Il risultato è generalmente una situazione in cui i diversi siti non collaborano sulle tematiche di sicurezza e non condividono l’esperienza e le soluzioni in ambito Cybersecurity.

Raccomandazioni: Armonizzare gli effort locali al fine di ridurre i gap e le sovrapposizioni, anche condividendo approcci e soluzioni comuni in ambito Cybersecurity. In generale, è necessario avere un indirizzo ed una strategia condivisi tra i vari siti, sviluppando uno schema di adesione agli standard globali di sicurezza prescelti.

  1. Complessità di gestione della catena produttiva e distributiva

L’Industria 4.0 presenta catene produttive e distributive dinamiche, flessibili ed interdipendenti per poter potenziare gli aspetti di performance, scalabilità e riduzione dei costi. Per fare ciò, tipicamente le aziende si appoggiano ad altre nell’espletamento di specifiche attività. In tale quadro, avere un controllo effettivo su tutta la catena è essenziale in quanto non essere capace di tracciare ogni componente dalla sua sorgente può minare la fiducia nei confronti degli aspetti di sicurezza del prodotto in quanto gli incidenti di sicurezza possono verificarsi a diversi livelli e in diversi momenti della catena. È evidente che un evento di sicurezza in qualsiasi punto della catena può avere impatti negativi sulla sicurezza del prodotto finale. La complessità della catena produttiva e distributiva non fa altro che esacerbare tale aspetto.

Raccomandazioni: Adottare processi di gestione sicura su tutto il processo end-to-end e indirizzare la complessità e i rischi attraverso l’individuazione dei punti critici. Condurre assessment dei rischi ad intervalli periodici su tutta la catena. Affidarsi a fornitori che garantiscano riconosciuti standard e certificazioni di sicurezza. Utilizzare processi, prodotti e servizi sicuri.

Area “tecnologia”: interoperabilità e limiti

Gli aspetti critici rilevanti identificati per questa area sono rappresentati dall’interoperabilità e dai limiti tecnologici. Vediamoli nel dettaglio.

  1. Interoperabilità dei dispositivi, delle piattaforme e dei framework dell’Industria 4.0

Con l’introduzione e l’integrazione di dispositivi, piattaforme e framework dell’Industria 4.0 nasce il problema dell’interoperabilità, soprattutto in presenza di protocolli proprietari, e della sicurezza dell’interconnessione utilizzando standard di sicurezza comuni.

Raccomandazioni: Stabilire delle baseline per un’interoperabilità sicura. Utilizzare framework di interoperabilità che promuovono un linguaggio comune di sicurezza e utilizzano protocolli sicuri.

  1. Limiti tecnologici per la sicurezza nell’Industria 4.0

A causa della complessità e della necessità di scalabilità dell’ecosistema dell’Industria 4.0, nasce la criticità legata ai limiti tecnici dei dispositivi e dei sistemi industriali nel supportare gli aspetti relativi alla sicurezza. Si aggiunga che gli strumenti e le soluzioni a supporto della cybersecurity per i sistemi 4.0 sono generalmente troppo pochi o troppo costosi.

Raccomandazioni: Definire un’architettura di sicurezza che applichi i principi di security e privacy by design e by default e che cerchi di superare i limiti tecnologici legati a tutti i componenti, dispositivi, servizi, protocolli, comunicazione e processi in gioco. Adottare strategie di governance e controllo in ambito Cybersecurity con processi periodici di assessment del livello di rischiosità e maturità.

WHITEPAPER
Industry 4.0 con IoT e RTLS: tra sfide e vantaggi!
IoT
Supply Chain Management
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Link