96 / 116
APRILE 2017
AUTOMAZIONE OGGI 397
96
AO
attacchi DOS (denial-of-service) possono impattare sulla business
continuity. Esistono policy di sicurezza molto forti per la gestione
del Byod e dell’Internet of Things tali da garantire business conti-
nuity e proattività di risposta in caso di incidenti. In tutto questo
è fondamentale progettare sistemi di gestione che consentano
massima integrazione e minima complessità gestionale.
Monticelli:
Non si può ancora parlare di sicurezza intrinseca dei
singoli dispositivi, perché le tipologie sono potenzialmente in-
finite e perché nella stragrande maggioranza dei casi non sono
costruiti pensando alla sicurezza. Per questo, fatte salve attività
di formazione del personale e di sensibilizzazione degli utenti
che sono sempre rilevanti, ci sentiamo di consigliare l’adozione
di un approccio olistico alla sicurezza, che la consideri nel suo
complesso e non come semplice combinazione di tecnologie
puntuali. Puntare su soluzioni best-of-breed a nostro avviso non
è più sufficiente, perché non è possibile coprire ogni dispositivo
e ogni tipologia di uso. Mettere in sicurezza l’intero network, ab-
binando la visibilità sui singoli eventi e la capacità di correlarli tra
loro è l’approccio che riteniamo vincente in questo ambito.
Tieghi:
L’aggiunta in rete di dispositivi che non abbiano dei criteri
di security minimali comporterebbe un indebolimento della rete
nel suo complesso, compromettendone la protezione. Detto que-
sto, iniziano a esserci standard ai quali riferirsi quando si disegna
un’applicazione IIoT, come ad esempio quelli definiti da Cloud
Security Alliance per IoT; questo comporta la definizione di base-
line condivise e l’introduzione del concetto di security-by-design.
Tutti gli aspetti devono essere congrui in quest’ottica, dalla pro-
gettazione del modello di business alla qualifica dei progettisti,
dalla stesura di policy per la progettazione, per sviluppo e imple-
mentazione del POC, di testing, di scale-up e deployment, ma-
nutenzione fino al momento della dismissione per obsolescenza
degli oggetti.
Candian:
Non è possibile implementare una rete sicura, ad alta
disponibilità e flessibilità, utilizzando una soluzione standard con
prodotti a uso domestico. La questione della sicurezza gioca un
ruolo sempre più importante quando si tratta di collegare reti
industriali alla rete informatica aziendale. In ufficio, la massima
priorità è data alla sicurezza dei dati e la protezione verso l’e-
sterno; le reti industriali d’altro canto hanno tradizionalmente
collocato il loro punto chiave sull’affidabilità e la continuità
funzionale dell’impianto, al fianco della sicurezza del personale.
Tuttavia, una maggiore attenzione deve oggi essere rivolta alla
questione della sicurezza, in altre parole, le informazioni e la si-
curezza dei dati devono essere tenute in conto sin dalla fase di
progettazione di reti industriali.
Mancini:
Certamente il legislatore
dovrà e potrà fare molto sul tema
IoT laddove una delle principali
criticità sarà legata alla perdita dei
dati del consumatore sia in termini
di furto sia di interruzione di servi-
zio. A tal proposito anche il nuovo
Gdpr (EU 2016/679) introduce il
tema del data breach, per cui le
aziende che erogano servizi ai cit-
tadini devono impegnarsi affinché
non si verifichino sottrazioni di dati
dell’utente o che comunque que-
sto ne sia informato; a questo si aggiunge anche il tema che la
formazione/sensibilizzazione degli utenti diventa l’aspetto prin-
cipale per aiutare le aziende stesse a prevenire furti (ad esempio
tramite phishing).
A.O.:
Domotica faidatè, reti personali, il movimento dei ‘maker’: un
vero e proprio Far West dell’Internet delle Cose caratterizzato dalla
corsa al ribasso nei prezzi e dalla pressoché totale anarchia proget-
tuale. In un futuro sempre più carico di dispositivi che sacrificano gli
aspetti di sicurezza per tenere bassi i costi di sviluppo, quali misure pos-
sono essere adottate per garantire il ‘minimo sindacale’ di sicurezza?
Mancini:
La garanzia del cosiddetto minimo sindacale nella sicu-
rezza informatica non esiste, questo perché la sicurezza è un pro-
cesso che vede coinvolte varie componenti. Il punto di partenza
primario per una corretta gestione della sicurezza è la gestione
del rischio. È quindi importante che chi acquista o usa certi dispo-
sitivi per applicarli in contesti rischiosi, si preoccupi di compren-
dere i rischi connaturati al suo contesto e alle sue scelte. Premesso
ciò, la perdita di sicurezza fisica ha forti impatti sulla sicurezza
logica e viceversa, ma proteggere i web service non basta ed è
per questo che è altresì importante preoccuparsi dell’integrità
del messaggio e la comunicazione in sicurezza anche in livelli più
vicini a quello fisico.
Monticelli:
Tipicamente, i dispositivi IoT privilegiano una trasmis-
sione di dati costante e continua a ogni altro aspetto, compreso
quello della sicurezza. E spesso si tratta di oggetti dotati di limi-
tate capacità logiche, quindi poco aggiornabili e non per forza ge-
stibili da remoto. Per questo, la loro sicurezza e quella dei sistemi
estesi di cui fanno parte può essere garantita solo innalzando la
sicurezza dell’ambiente che li accoglie. Se questi dispositivi si tro-
vano all’interno di una rete, è importante avere il controllo e la
visibilità su quello che accade in quella rete, identificando e ge-
stendo in modo efficace e tempestivo eventuali anomalie.
Randieri:
La corsa a ribasso dei costi della domotica low cost
purtroppo si riflette in una vera e propria anarchia progettuale
che si traduce in mancanza di spiccata professionalità e cura
nella metodologia applicata nella realizzazione della soluzione
offerta. In determinati prodotti consumer è proprio l’hardware a
non essere sicuro poiché progettato e realizzato senza il minimo
rispetto delle normative fondamentali. Occorrerebbe una sorta
di ‘etichetta di sicurezza’ che, sulla falsa riga delle etichette per il
consumo energetico degli elettrodomestici, fornisca ai consuma-
tori un’indicazione del grado di protezione offerto dal dispositivo
in termini di affidabilità, sicurezza e privacy.
Tieghi:
Nelle applicazioni consumer o professionali il driver prin-
cipale è il costo a discapito di altri parametri, tra i quali la prote-
zione cyber. In ambito industriale si deve innanzitutto provvedere
al monitoraggio e alla gestione ordinaria della rete per la preven-
zione e il rilevamento delle minacce, utilizzando delle tecnolo-
gie specificamente pensate per l’ambiente manifatturiero. In tal
modo è possibile creare delle policy e attivare segnalazioni rela-
tive al traffico non autorizzato.
Candian:
In ambito industriale, le interruzioni spesso richiedono
soluzioni rapide e semplici. Per questomotivo i componenti di rete
di Siemens sono stati sviluppati da zero per garantire la massima
praticità di manutenzione e riparazione. È quindi sempre più fon-
damentale l’utilizzo nelle aree cruciali di rete di dispositivi come
gli switch gestiti che permettono di implementare meccanismi di
TAVOLA ROTONDA
Lucilla Mancini,
Business-e