Smart manufacturing

Convergenza IT-OT: come strutturare un sistema integrato di cybersecurity aziendale

La convergenza IT-OT richiede un approccio integrato alla sicurezza aziendale: gli standard internazionali, le fasi della security lifecycle, come progettare un CSMS – CyberSecurity Management System

28 Mar 2022
Alessandro Maria Manfredini

Direttore di Group Security e Cyber Defence del Gruppo A2A

convergenza IT-OT, cybersecurity

Nelle attività industriali, la convergenza IT-OT, quindi tra Information Communication Technology (ICT) e Operational Technology (OT), è ancora una sfida.

Smart manufacturing, Industria 4.0, Industrial Internet of things: che si tratti davvero della quarta rivoluzione industriale o di una naturale evoluzione tecnologica, l’avvento della digitalizzazione sta profondamente cambiando il modo in cui le aziende dovrebbero approcciare alle tecnologie, ai processi e ai mercati, con impatti sugli aspetti organizzativi.

I rischi informatici creati dai fornitori e come gestirli

I reparti produttivi sono tradizionalmente restii ad adottare tecnologie che non siano più che consolidate e con orizzonte di utilizzo pluridecennale: una mentalità che ha storicamente reso complicati i tentativi di dialogo tra chi opera nei reparti IT e chi lavora nelle operations (OT).

Convergenza IT-OT: qualcosa sta cambiando

Nell’ultimo ventennio, però, le cose stanno cambiando: l’affermarsi di controllori industriali costruiti su tecnologia PC-based, l’avvento di Ethernet nello shopfloor sono state le prime avvisaglie di un fenomeno oggi inarrestabile, che vede imporsi, anche in fabbrica, l’uso di tablet, app, soluzioni cloud da sempre in uso tradizionalmente solo nel settore IT.

WEBINAR
25 Ottobre 2022 - 12:00
Tutto quello che devi sapere per sbloccare il potere del Digital Manufacturing
Acquisti/Procurement
Automotive

Logica conseguenza è che, almeno nelle aziende più illuminate, chi lavora nei reparti produttivi inizi a chiamare i colleghi dei reparti IT, a chiedere loro qualche consiglio, a collaborare per gestire la digital transformation, soprattutto in alcuni ambiti che, per chi opera in produzione, risultano oggi ancora ostici.

La convergenza IT-OT passa per alcuni temi: ad esempio, la gestione dei big data, che rischiano di diventare una montagna di bit senza senso se non si intraprendono gli step necessari a trasformarli in informazioni concretamente fruibili.

Il secondo tema ha invece a che fare con la continuità operativa: in ambito manifatturiero, soprattutto in determinati settori, ogni ora di downtime rischia di costare davvero troppo.

Altro fattore di fondamentale importanza, molto legato alla continuità operativa, è la capacità di ripartire in tempi rapidi quando, nonostante tutte le precauzioni, avviene un incidente. Non ultima, la cybersecurity.

La convergenza IT-OT si sta verificando per migliori visibilità e utilizzo dei dati, piena realizzazione del “ritorno di investimento” del sistema e del software e maggiore richiesta di sicurezza informatica.

Convergenza IT-OT: gli standard internazionali di sicurezza

Per organizzare i processi di security in modo integrato e olistico e gestire le minacce ibride che nascono nel mondo cibernetico ma che riverberano conseguenze nel mondo fisico, occorre affidarsi alle metodologie e agli standard di sicurezza internazionali.

Occorre progettare e implementare un sistema più complesso e sovraordinato, il CSMS-CyberSecurity Management System: il Sistema di Gestione della Sicurezza Informatica, l’insieme delle pratiche e delle azioni per identificare i rischi informatici e definire la strategia di contrasto sia nel dominio cyber ICT che in quello industriale OT.

Il mondo della sicurezza delle informazioni ha la norma di sistema 27001 ispirata ai modelli di qualità PDCA (Ciclo di Deming): per garantire livelli di sicurezza misurabili e riscontrabili oggettivamente anche sul mondo OT, occorre affidarsi alla norma IEC 62443, lo standard internazionale per la sicurezza dei sistemi di controllo industriale.

La norma nasce quasi venti anni fa da un gruppo di volontari del comitato SP99, istituito da ISA – International Society Automation & Control. È stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale: da qui la denominazione originale ISA 99/IEC 62443.

L’applicazione di questo standard è oggi facoltativa per il fabbricante, anche se si accenna alla futura obbligatorietà dei requisiti di CyberSecurity già nella proposta del Nuovo Regolamento Macchine; tuttavia, l’adozione della norma IEC 62443 renderebbe i sistemi di controllo industriale immuni dalle minacce cyber, quali guasto degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto. Lo standard internazionale nasce quindi per proteggere l’Industria 4.0, rendendo più sicura ed affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.

Lo standard internazionale IEC 62443 copre tutte le fasi del ciclo di vita previsto dagli IACS[1], partendo dalla fase di analisi e indagine delle vulnerabilità, fino al mantenimento nel tempo delle prestazioni di sicurezza contro le minacce cyber.

Convergenza IT-OT: le fasi della security lifecycle

Per poter garantire efficacemente la sicurezza degli IACS, occorre seguire i passi della cosiddetta Security Lifecycle[2], suddivisa in tre fasi distinte: Assess, Implement e Maintain.

La fase di analisi (Assess) si compone di attività legate all’individuazione dei rischi ad alto livello, analisi delle vulnerabilità e dei rischi a basso livello, per finire con l’allocazione dei requisiti minimi di sicurezza informatica stabiliti per ciascun componente del sistema IACS.

In questa fase del processo, bisognerà effettuare l’analisi del rischio attraverso un Risk Assessment per perimetrare gli oggetti o i processi da prendere in considerazione e su cui applicare, ad esempio, attività di Vulnerability Assessment o Penetration Test.

Attraverso attività, anche tradizionali, di Threat Modeling si misurerà poi l’esposizione ai rischi, e ispirandosi alle metriche proposte dallo standard si misurerà anche il livello di sicurezza per ogni asset o processo inserito in perimetro.

È durante la fase di implementazione (Implement) che l’azienda che desidera proteggersi dagli attacchi cyber deve strutturare l’intero CSMS, il proprio Sistema di Gestione della Sicurezza Informatica, adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di conseguenza, i propri sistemi industriali.

In questa fase verrà attuata la strategia di difesa che era stata pianificata e definita nella Security Policy, tra l’altro prevista anche dallo standard ISO 27001: pertanto, in un sistema unico ed integrato, sarà possibile redigere una sola policy che riunisca i requisiti per entrambi i domini IT ed OT).

Durante questa fase sarà possibile anche verificare la congruità tra i livelli di sicurezza previsti e quello che si riscontra direttamente dal campo. Per fare un parallelismo con il Ciclo di Deming, saremmo nella fase del “check” del PDCA, che continuerà ad essere attuato anche nella successiva fase di mantenimento.

Come tutti i sistemi orientati al miglioramento continuo, anche la CyberSecurity OT è un processo che necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento (Maintain) del livello di sicurezza degli impianti industriali.

Solo così il flusso di dati condivisibili verso l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze potenzialmente disastrose per le aziende. Anche qui valgono le tradizionali regole o standard per effettuare attività di audit (soprattutto in questo periodo anche verso la supply chain) e i necessari follow up.

L’applicazione di questo standard internazionale rappresenta dunque una garanzia per la sicurezza dei dati OT condivisibili con l’IT e per l’intero comparto produttivo. Con l’applicazione di questo standard è possibile inoltre limitare le contaminazioni provenienti da mondi esterni potenzialmente infetti.

Le azioni pratiche per la sicurezza integrata

L’applicazione dunque di questi sistemi di gestione (ISO 27001 e IEC 62443) nei loro rispettivi ambiti di competenza, ICT (dal livello 5 al livello 3 del Purdue Model ISA99) e OT (dal livello 3 al livello 0) ci porta ad avere una visione integrata ed omogena dello spazio cibernetico.

Poiché la security, secondo la definizione della norma UNI 10459, è un’attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali e immateriali) dell’Organizzazione a potenziali effetti lesivi e/o dannosi, appare evidente come debba essere organizzata in modo olistico.

Attraverso un presidio centralizzato che garantisca una forte governance dei processi, ad iniziare da quello di gestione del rischio, si abbatteranno i muri che fino a qualche anno fa vedevano compartimentate la sicurezza fisica da quelle cibernetiche: un unico framework di riferimento per l’analisi del rischio ci aiuterà ad armonizzare i risultati delle attività di assessment nei diversi ambiti, che dovranno mantenere le necessarie verticalità e peculiarità.

Una pianificazione comune ed integrata degli interventi da adottare per mitigare i rischi, unitamente a politiche unitarie ed integrate, consentirà di avere una visione manageriale del fenomeno e una gestione sostenibile degli interventi da mettere a terra.

Per tenere poi sotto controllo gli interventi e gli eventi, alla governance dovrà essere affiancato un monitoraggio di security puntuale e continuativo che, soprattutto per gli ambiti cibernetici, dovrà essere svolto attraverso l’uso di piattaforme che nella maggior parte dei casi sono impiegate nei nostri SOC – Security Operation Center.

Il monitoraggio continuo inoltre consentirà di prevenire e/o gestire gli eventi/incidenti di security: in tale quadro i SOC amplieranno le loro competenze ed abilità diventando CERT – Computer Emergency Response Team o CSIRT – Computer Security Incident Response Team.

Questa impostazione multilivello dovrà tenere anche in considerazione i diversi ambiti di riferimento, lo spazio fisico e lo spazio cibernetico (ICT e OT).

Abbinando poi un piano di verifiche strutturato (verifiche ispettive, Vulnerability Assessment, penetration test, ecc.) completeremo la nostra fase di Check prevista dal ciclo di Deming, con la finalità di verificare i gap rispetto a quanto avevamo pianificato nella fase Plan e che ci porterà, attraverso l’implementazione di un nuovo piano, al miglioramento continuo (Act).

________________________________________________________________________________

Note

  1. IACS: letteralmente Industrial Automation Control System. Uno IACS è un sistema di controllo di automazione industriale, anche chiamato ICS, Industrial Control System. In un significato più ampio IACS è sinonimo di OT (Operational Technology), in quanto tecnologia che si interfaccia con un processo operativo. In questo senso, il termine è utilizzato per distinguere uno IACS dai device IT, volti alla sola ricezione e trasmissione di informazioni. Esempi di IACS sono quindi i dispositivi industriali come PLC, HMI e SCADA.
  2. IACS Security Lifecycle: è il ciclo di vita della sicurezza, ossia l’insieme delle fasi che è necessario percorrere affinché la protezione degli IACS sia conforme con quanto stabilito dallo standard IEC. Le fasi del ciclo di vita della sicurezza di uno IACS sono Assess, fase di analisi, Implement, fase di implementazione, ed infine, Maintain, fase di mantenimento.

WHITEPAPER
Transizione 4.0 e PNRR: incentivi e agevolazioni, tutto quello che c'è da sapere
Logistica/Trasporti
Smart manufacturing
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4