AO_415

SETTEMBRE 2017 AUTOMAZIONE OGGI 408 15 AO IL PUNTO GIUGNO-LUGLIO 2019 AUTOMAZIONE OGGI 415 offerta di piattaforme cloud computing, per usi industriali e per la gestione dei servizi, è sempre più larga e i costi sono ormai accessibili. Quelle di Amazon, Mi- crosoft, Google, Aruba sono solo le più famose e pubblicizzate, ma ve ne sono molte altre altrettanto competitive. Si tratta di spazi facilmente accessibili tra- mite protocolli di trasmissione standard, ritenuti sicuri, come Mqtt ecc. Sarebbe, quindi, interessante analizzare e capire l’atteggiamento degli end user e dei fornitori di sistemi d’automazione circa l’uso della nuvoletta. In teoria gli uni e gli altri, usandola, potrebbero trarne si- gnificativi vantaggi: portare in cloud e affidare a un gestore di servizi attività di routine, tradizionalmente svolte local- mente, significa non avere più l’onere delle infrastrutture necessarie per svol- gere tali attività; si può utilizzare in altro modo il personale addetto; non ci si deve più occupare della manutenzione e dell’obsolescenza dell’hardware e del software. Certo, non tutte le attività routinarie potranno essere, verosimil- mente, portate nel cloud: si dovrà valu- tare quali dovranno continuare a essere gestite localmente e quali invece potranno essere decentrate. Tipicamente i controlli dell’impianto e della produzione rimarranno, il monitoraggio, le applicazioni per la manutenzione predittiva e per la gestione amministrativa, delle scorte ecc. potranno essere remotizzate. Lavorare con il cloud però significa connettersi, e connettersi significa assumere un ri- schio d’intrusione, più omeno importante, per i propri impianti e per le proprie attività. È vero che già oggi, con Industria 4.0, ma soprattutto nel mondo che verrà, la rete è e sarà il sistema nervoso del business. Tuttavia una certa diffidenza fra gli addetti c’è ed è giusto che ci sia. È bene allora affrontare il problema della sicurezza con razionalità e metodo per prendere le decisioni opportune su come e quanto investire. Come stimare la convenienza degli investimenti in sicurezza? Il ROI (Return on Investe- ment): Guadagno dall’investimento - Costo dell’investimento /Costo dell’investimento non è adeguato per misurare il guadagno da un investimento in sicurezza. La sicurezza non è un investimento che produce un profitto. La sicurezza è piuttosto un investi- mento finalizzato alla prevenzione di perdite; quando si investe in security non ci si aspetta un profitto, ma piuttosto di ridurre i rischi che minacciano il nostro business. L’European Network and Information Security Agency (Enisa), nel 2012, ha introdotto il Rosi (Return on Security Investment). Rosi valuta quante perdite si possono evitate grazie a un investimento. Per definizione i parametri da assumere sono: il rischio prima dell’investimento /soluzione (Rp); il rischio dopo l’investimento /soluzione (Rd); il costo dell’investimento/soluzione (C); l’efficacia dell’investimento /soluzione: (e). Proviamo a fare l’esempio dell’acquisto di un software per controllo accessi: • Rischio: rivelazione e alterazione di dati riservati • Costo per la ricostruzione dei dati: € 1.000,000 • Probabilità di accesso non autorizzato: 10% per anno • Rischio Rp: 100 K€ • Controllo: software per controllo degli accessi • Probabilità di accesso non autorizzato si riduce del 60% => 6% annuo • Rischio Rd = 60 K€ • Costo del controllo: 25 K€ • Rosi = (100 – 60) – 25 / 25 = 60% Ovviamente Rosi è soltanto una linea guida, è difficile stimare la probabilità e l’im- patto di un attacco, e le statistiche si prestano a manipolazioni. L’accuratezza dei dati statistici è essenziale, ma le organizzazioni sono riluttanti a fornire informazioni sui propri security incident. È bene quindi essere consapevoli dei limiti insiti anche in questo approccio. L’ Fra rischio e sicurezza Evaldo Bartaloni Comitato Tecnico Automazione Oggi e Fieldbus&Networks

RkJQdWJsaXNoZXIy MTg0NzE=