SETTEMBRE 2016

AUTOMAZIONE OGGI 392

38

AO

PANORAMA

sare, al fine di non essere estemporanei

o al di fuori della realtà, che non tutte le

realtà industriali hanno caratteristiche

tali da pensare che possano essere coin-

volte da attacchi cyber-criminali mirati;

tutti però potrebbero potenzialmente

entrare ad esempio in una rete formata

da dispositivi informatici privati, infettati

da malware (senza che i proprietari ne

siano consapevoli), allo scopo di scate-

nare attacchi di tipo Denial of Service.

In ambito manufacturing la gran parte

degli incidenti informatici, come eviden-

ziato da varie ricerche, avviene in modo

non intenzionale: spesso i veicoli sono

PC, supporti esterni come chiavi USB, de-

vice mobili usati per lo sviluppo o manu-

tenzione dei sistemi. Le aziende devono

essere più diligenti nello sviluppare e

proteggere i loro business, attraverso

politiche interne di sicurezza, piattaforme

hardware e software in grado di evolversi

coerentemente con gli standard di mer-

cato e sfruttando le opportunità di inte-

grazione e sicurezza che le tecnologie IT

indiscutibilmente possono apportare ai

sistemi di automazione. L’obiettivo da

parte delle aziende quindi deve essere

quello di vedere il ‘problema’ della cyber-

security come motivo per implementare

nuovi strumenti atti a incrementare in

primis la disponibilità del sistema e con-

testualmente modernizzare e rendere

più efficienti le proprie infrastrutture di

rete. Si configura quindi una doppia re-

sponsabilità per il mantenimento della

sicurezza in ambito industriale: se l’utiliz-

zatore finale deve adottare o creare una

politica interna di sicurezza sul proprio si-

stema identificando ruoli e responsabilità

con autorizzazioni e privilegi, il fornitore

di tecnologia industriale e IT deve dare le

raccomandazioni, le metodologie da se-

guire per integrare in prodotti e soluzioni

le caratteristiche di security necessarie.

A.O.:

Sono utili gli standard di security, in-

dustriali o di mercato che siano? Possono

aiutare nella proposta commerciale? Ed

eventualmente quali sono gli standard più

richiamati e utilizzati?

Natale:

Gli standard di sicurezza sono

fondamentali per tutti gli attori del mer-

cato, dai produttori ai progettisti e agli

utilizzatori finali, e rappresentano un

livello minimo di qualità necessaria in

ogni prodotto, impianto, servizio e pro-

cesso. Tyco crede fortemente in questo

approccio evolutivo del mercato e non

solo utilizza gli standard per garantire la

massima sicurezza ai propri clienti, ma

partecipa anche attivamente ai gruppi

di lavoro nazionali (CEI, UNI) e interna-

zionali (ISO, IEC).

Tieghi:

Standard pienamente e universal-

mente condivisi al momento ce ne sono

pochi e spesso sono ignorati. In alcuni

settori si è un poco più avanti rispetto

ad altri. Ad esempio il mondo elettrico

(produzione, trasmissione, distribuzione)

ha già alcuni esempi di standard come il

Nerc CIP statunitense e alcuni documenti

emessi da Enisa e da alcuni enti governa-

tivi europei. Anche nel mondo life science

da tempo il tema cyber-security è molto

presente, soprattutto riguardo alla ‘Data

Integrity’. Noi come azienda, anche perché

personalmente coinvolti nel comitato che

lo promuove, da tempo parliamo di ISA99

ora divenuto standard IEC62443, in quanto

assolutamente ‘orizzontale’ e applicabile

a reti e sistemi in tutti i settori industriali.

Questo ci permette di differenziare la no-

stra proposta commerciale rispetto ad

altro presente sul mercato, di solito diretta-

mente derivato dal mondo IT (Information

Technology), che spesso non ha molta ap-

plicabilità in contesti OT che è la direzione

dove orientiamo competenza e le soluzioni

da noi distribuite e supportate.

Randieri:

La continua evoluzione dei ri-

schi in termini di minacce informatiche

per i sistemi di automazione suggerisce

che un elevato livello di sicurezza può

essere raggiunto con l’approccio di tec-

niche di security digitali meglio definite

con il termine di ‘sicurezza funzionale’.

I sistemi di controllo industriali, proprio

per la loro natura, hanno bisogno di im-

plementare alti livelli di security per la

sicurezza funzionale. Senza security il

raggiungimento delle funzioni di sicu-

rezza non può essere garantito. Per que-

sto motivo, se ad esempio un sistema

di automazione esegue una funzione di

sicurezza a seguito di un attacco cyber

classificato come potenzialmente peri-

coloso, il sistema di controllo deve es-

sere progettato e validato in accordo ai

migliori standard presenti nel mercato.

Tutto ciò al fine di garantire un adeguato

livello di security contro le minacce

esterne aumentando il livello di prote-

zione dei dati e l’affidabilità dei sistemi.

L’obiettivo chiaramente è quello di di-

minuire la vulnerabilità e la violazione

della sicurezza digitale e quindi ridurre

possibili danni pericolosi. A tal propo-

sito la serie degli standard IEC62443,

definiscono le line guida per incremen-

tare la sicurezza digitale degli impianti

industriali di automazione e dei sistemi

di controllo. Questi standard vantano

un’ampia applicazione poiché non si

limitano ai soli utilizzatori finali (es.

proprietari della rete), ma si estendono

anche ai system integrator, operatori di

security e costruttori di sistemi di con-

trollo. L’applicazione correttamente di

tali standard di norma prevede a priori la

conduzione di un Security Assessment al

fine di determinare il livello di sicurezza

più idoneo per i prodotti o i sistemi d’in-

teresse. I vantaggi ottenuto mediante

l’applicazione di questa tipologia di

assessment permettono anche di far

crescere la propria credibilità aziendale

sul mercato proporzionalmente a un

conseguente incremento delle vendite.

È ben noto infatti che la maggior parte

dei sistemi di comando e controllo sul

mercato richiedono una dimostrazione

del proprio livello di security.

Temi:

Gli standard sono utili per creare

un linguaggio comune e definire scenari

universali, ma non bisogna dimenticare

che la sicurezza informatica è prima di

tutto una pratica che deve essere eser-

citata continuamente. Creare una rete

o acquistare un apparato che soddisfa

un determinato standard è poco utile

se nessuno controlla in un secondo mo-

mento se la configurazione è stata fatta

correttamente oppure è stata modificata

per errore. È necessario controllare pe-

riodicamente la propria rete e i propri

apparati per scoprire tempestivamente

l’eventuale presenza di problemi che

potrebbero diventare catastrofici se non

corretti immediatamente.

Carlucci:

Schneider Electric propone in

ambito industriale soluzioni e architet-

ture che integrano la cyber-security in

molti elementi della sua offerta, facendo

riferimento ai gradi di security definiti

nella ISA99 e seguendo quello che è

l’approccio chiamato DiD (Defense in

Depth) per lo sviluppo delle infrastrut-

ture di rete. Questi standard in realtà

sono comunemente presi in considera-

zione perché utili come linee guida per

strutturare il design architetturale (DiD),

oppure (ISA99) per definire l’obiettivo di

protezione da raggiungere, elemento