AO_422

MAGGIO 2020 AUTOMAZIONE OGGI 422 108 AO TUTORIAL Sergio Galeani a crescente interconnessione fra sistemi industriali è un fattore tecnologico chiave per ottenere processi pro- duttivi altamente ottimizzati e dalle prestazioni inim- maginabili fino a qualche tempo fa. Al tempo stesso, ormai a nessuno sfugge che anche in questo caso, pa- rafrasando il noto motto ‘da grandi opportunità derivano grandi rischi’, l’avere sistemi sempre più interconnessi e interdipendenti offre il fianco ad attacchi informatici sempre più evoluti e sub- doli. Ne consegue che il tema della cybersecurity, da argomento per ambiti tecnici e circoscritti ai dipartimenti di IT, si è trasfor- mato in una preoccupazione diffusa, soprattutto per gli alti livelli aziendali. La complessità dei processi industriali, che si riflette nella com- plessità delle infrastrutture e dei sistemi che permettono di ge- stirli, moltiplica i possibili lati deboli esposti e, quindi, i possibili scenari per un cyber attacco. Per questo, l’operazione di mettere in sicurezza un sistema industriale può facilmente dare l’impres- sione di essere una battaglia persa in partenza in quanto troppo complessa. Se da un lato tale punto di vista contiene un fondo di verità (la sicurezza completa è un ideale utopico, sostanzialmente irraggiungibile), dall’altro è proprio questo il punto di partenza per riformulare il problema su basi più realistiche e individuare gli strumenti più opportuni per affrontarlo nel migliore dei modi possibili. Un approccio solido alla cybersecurity Il punto di partenza fondamentale è comprendere che la sicu- rezza non è una meta da raggiungere una volta per tutte, ma un processo che accompagna l’intera vita di un sistema industriale. A livello operativo, le conseguenze sono molteplici. Prima di tutto, invece di puntare alla sicurezza ‘tout court’, occorre pun- tare alla minimizzazione del rischio, considerando il sistema nel complesso e avendo ben chiare le aree più critiche, da proteg- gere con più alta priorità e impegno. È chiaro che i sistemi che, se compromessi, possono portare al blocco della produzione o alla distruzione delle macchine, avranno priorità più alta rispetto, per esempio, al sito web aziendale… In secondo luogo, poiché inevitabilmente prima o poi un attacco riuscirà a penetrare le difese, occorre dedicare risorse opportune al monitoraggio e alle contromisure, in modo che l’insorgere di condizioni anomale sia rilevato tempestivamente e la risposta sia quanto più possibile immediata. Il problema della sicurezza va affrontato come un compito quotidiano, con un investimento costante di risorse che, seppure oneroso, può essere facilmente giustificato a fronte dei possibili effetti devastanti di un attacco non intercettato, e soprattutto va realizzato introducendo un’op- portuna disciplina che minimizzi i margini di rischio e di errore. Una solida base per introdurre tale disciplina è fornita dallo stan- dard IEC 62443, che fornisce una serie di raccomandazioni, me- todi e tecniche per la protezione dai cyber attacchi, applicabili in un’ampia gamma di realtà industriali. Prima di discutere lo standard per acquisire la comprensione di al- cuni dei suoi aspetti chiave, essenziali per una corretta implemen- tazione nei processi, una premessa è d’obbligo: l’introduzione di un tale standard all’interno di un processo produttivo, sia che si parta da zero, sia che si abbiano già in essere delle contromisure, ma non aderenti allo standard stesso, è tutt’altro che immediata. E anche ove si voglia affrontare l’investimento di creare un team di esperti in house, è bene partire appoggiandosi a società già esperte del settore, che tipicamente procederanno individuando le aree che necessitano di attenzione, assegnando le opportune priorità e selezionando gli strumenti adatti ad affrontare le cri- ticità emerse. L’ausilio di tali società nell’introdurre in azienda un’adeguata cultura della sicurezza e nell’accompagnarla verso la certificazione di conformità allo standard è preziosissimo, spesso insostituibile. Inoltre, costituisce un buon investimento, in quanto la certificazione, oltre a essere sicuramente un elemento impor- tante per l’azienda in sé, è anche e soprattutto una carta vincente nell’offerta dei propri servizi ad altre realtà industriali e non, in quanto garantisce il cliente circa la sicurezza dei servizi acquistati. Lo standard IEC 62443: origine e struttura Lo standard IEC 62443, elaborato dall’International Electrotechni- cal Commission (IEC), è il risultato del lavoro del Comitato ISA S99 e si basa sulle raccomandazioni Ansi/ISA 62443, prodotte dall’In- ternational Society for Automation (ISA) e pubblicate dall’A- merican National Standard Institute (Ansi). In realtà, si tratta di uno standard multiplo, che mira a fornire una visione sistemica L Sicurezza certificata IEC 62443 Si delineano qui i concetti base per l’implementazione dello standard IEC 62443 che fornisce una serie di raccomandazioni, metodi e tecniche per la protezione dai cyber attacchi, applicabili in un’ampia gamma di realtà industriali Foto tratta da www.pixabay.com