Table of Contents Table of Contents
Previous Page  23 / 100 Next Page
Information
Show Menu
Previous Page 23 / 100 Next Page
Page Background

EVENTI

primo piano

23

Automazione e Strumentazione

Gennaio/Febbraio 2018

sono due pilastri definiti dalla

International

Society of Automation

. Uno è lo standard

internazionale ISA-95, che fornisce modelli

per integrare un’impresa con i sistemi di con-

trollo; l’altro è ISA-99 - poi utilizzato da IEC

per produrre la serie di standard IEC 62443

- che indirizza la security dei sistemi di auto-

mazione e controllo la cui compromissione

può determinare situazioni di varia gravità,

tra cui danni all’incolumità pubblica o degli

addetti, violazioni dei requisiti dei regola-

menti, perdita d’informazioni proprietarie

o riservate, danni economici, impatto sulla

sicurezza nazionale.

Nell’era della Industrial Internet le minacce

mutano con grande dinamicità, e, in un mer-

cato dov’è possibile reperire molti prodotti,

l’approccio alla cyber-security, chiarisce,

deve essere più orientato a realizzare una solu-

zione di sistema, tenendo conto delle evidenti

differenze settoriali esistenti, ad esempio, tra

un impianto petrolchimico e uno manifattu-

riero. “La cosa spesso difficile in ambito indu-

striale è la fase di ‘risk assessment’, che ha il

compito di

identificare i punti critici e quan-

tificare le vulnerabilità

, da cui poi deriva

l’allocazione del budget per creare piani di

mitigazione”. Una volta attuati i meccani-

smi di difesa,

non bisogna mai fermarsi

: in

queste iniziative, spiega, l’ideale è riuscire a

innescare un circolo virtuoso, su modelli come

PDCA (plan-do-check-act), che reiterati per-

mettono di raggiungere una maturità sempre

maggiore nella cybersecurity.

Analisi del rischio e azioni concrete

Con una serie di provocazioni, battute e casi

eloquenti, Matteo Flora, esperto di sicurezza

e fondatore di

The Fool

, società di tutela della

reputazione online e degli asset digitali, scuote

la platea: commissionare fantastiche, e costose,

analisi dei rischi di sicurezza è inutile, se poi

non si agisce, e

le vulnerabilità dell’infra-

struttura restano aperte

. Il problema cyber-

security parte molto più a monte dei sistemi di

controllo industriale, si radica in una sostanziale

inadeguatezza culturale, che sottostima i peri-

coli e trascura i principi base della sicurezza:

il ransomware

WannaCry

, ricorda Flora, non

si è diffuso per colpa di ‘hacker cattivi’ che

hanno disseminato codice malevolo, ma grazie

a macchine i cui sistemi operativi erano sprov-

visti delle patch di correzione di vulnerabilità

peraltro già

scoperte da lungo tempo

. “Questo

succede in tutti i settori, e in quel gran mondo

fatato che adesso si chiama IoT”. “Internet è

un posto che sa essere pericoloso”, aggiunge,

eppure non si ha la percezione del baratro fino

a quando non si incappa in problemi seri: come

scoprire che le nostre informazioni che crede-

vamo private sono state condivise con chi pro-

prio non volevamo, o quando il router, bella-

mente lasciato con password e login di default,

e porta Telnet pericolosamente aperta verso la

rete, viene irrimediabilmente ‘brikkato’. Molti

device IoT non sono stati concepiti pensando

alla security, e se poi le credenziali di default

per accedervi non si cambiano, tutto diventa

più facilmente violabile: sistemi di ‘home auto-

Sulla destra, Mario Testino,

ServiTecno

1 18 19 20 21 22 23 24 25 26 27 28 29 100  FlippingBook