F&N_109

NOVEMBRE 2021 FIELDBUS & NETWORKS 8 Fieldbus & Networks La gravità del danno Un attacco cyber può arrecare danni al personale, può compromettere il fun- zionamento di macchinari, intere linee ed impianti, implicando ripercussioni economiche sia per ripristinare quanto è stato colpito, sia a causa del fermo produzione e, infine, può pregiudicare l’ambiente circostante a causa della di- spersione in aria, acqua o suolo di sostanze nocive. La possibilità di accadimento Il RapportoClusit del 2021ha censitogli attacchi alla sicurezza informaticadell’anno pandemico 2020 in Italia e nel mondo. I dati mostrano l’impatto del crimine infor- matico sull’intera società, inclusi la politica, l’economia e la geopolitica e registrano purtroppo un record negativo. A livello globale sono stati 1.871 gli attacchi gravi rilevati, con danni che valgono circa due volte il PIL italiano, un +29% rispetto alla media degli attacchi per anno del triennio precedente, senza contare quelli che non hanno avuto conseguenze e le vulnerabilità evidenziate dai diversi sistemi. L’esposizione alla situazione pericolosa e la possibilità di evitare il danno La maggior parte delle aziende non ha consapevolezza delle caratteristiche della propria infrastruttura informatica e produttiva. Se a questo sommiamo il fatto che macchine, HMI, PLC e switch con caratteristiche prive di requisiti security vengono spesso aggiunti e/o sostituiti senza tenerne traccia di tali cambiamenti nel corso del tempo, il risultato che ne consegue è un’esposizione elevata al cybercrime, senza che vi sia la possibilità quanto meno procedurale di evitare un’intromissione remota. Quanto le aziende e le grandi società sono disposti a tollerare queste conse- guenze? I fattori importanti per dare una risposta a questo si basano sui valori della società e sulla percezione e sulle opinioni di coloro che sono esposti all’evento pericoloso. Questi fattori possono includere: • linee guida delle autorità incaricate; • discussioni e accordi con le diverse parti coinvolte; • standard e linee guida del settore industriale; • pareri di esperti e scientifici; • requisiti legali e normativi, sia generali sia direttamente pertinenti all’ap- plicazione stessa. Per riassumere, la cybersecurity di un’azienda deve comprendere elementi tecnici, organizzativi, giuridici e umani per poter definire quando il rischio sia accettabile. Pilz e il Security Risk Assessment Il percorso affrontato nel precedente paragrafo è a grandi linee simile al processo iterativo del Safety Risk Assessment. Lo conosce bene Pilz, storica azienda tedesca che opera nel settore della tecnica di automazione, controllo e sicurezza e che dal 1948 offre un’ampia gamma di prodotti, sistemi e servizi per la sicurezza di uomini e ambiente nel settore industriale. Attraverso il percorso di individuazione dei pericoli e di stima e di pon- derazione dei rischi, Pilz è in grado di supportare le diverse aziende nella riduzione del rischio e nella prevenzione di incidenti. Da circa cinque anni la continua e sorprendente evoluzione e trasformazione digitale del mondo del lavoro ha spinto Pilz ad approcciare anche gli aspetti di security, soprattutto grazie all’introduzione di alcuni requisiti normativi e legislativi legati al mondo industriale. Gli aspetti di safety sono per Pilz integrati con quelli di security, dapprima attraverso l’introduzione sul mercato di un dispositivo, il Security Bridge, che permette di impedire un accesso non autorizzato e consente ai dispositivi di sicurezza collegati a valle di rimanere in una rete protetta; successivamente, attraverso lo sviluppo di servizi di consulenza specifici per costruttori di mac- china e per utilizzatori finali. Il più efficace punto di partenza di questi servizi è il Security Risk Asses- sment: analisi dell’infrastruttura informatica di automazione e valutazione di quanto ciascuna macchina o linea produttiva o stabilimento riesca a es- sere potenziale oggetto di minaccia e con quali conseguenze. In funzione quindi degli impatti sulla sospensione della produttività, sulla sicurezza dei safety PLC e sull’emissione in ambiente di sostanze pericolose, Pilz fornisce ai clienti l’elenco delle priorità alle modifiche, suggerendo sotto forma di ‘concept’ quali specifiche contromisure si possono adottare, assicurando così, al termine del percorso, che il macchinario sia sicuro dal punto di vista informatico e al contempo conforme ai requisiti della normativa in vigore, che definisce i criteri di security di un IACS - Industrial Automation & Control Systems (IEC 62443). La norma IEC 62443-3-2 stabilisce il processo iterativo di Security Risk Assessment, che viene seguito anche da Pilz nella sua analisi della sicurezza