Come approcciare la sicurezza informatica secondo Rockwell Automation
-
- Tweet
- Pin It
- Condividi per email
-
Anna Townshend di Control Design ha riassunto, per conto di Rockwell Automation, quanto illustrato da Angela Rapko, vice presidente regionale dei servizi Lifecycle di Rockwell Automation durante il suo incontro con la stampa nell’ambito dell’ultima edizione di Automation Fair 2021, che si è svolta a Houston, Texas, a novembre 2021.
“Quando prendiamo in considerazione la sicurezza informatica, il nostro approccio copre davvero l’intero attack continuum”, ha dichiarato Rapko. “Bisogna pensare al prima, al durante e al dopo”.
Anche Shoshana Wodzisz, responsabile della sicurezza dei prodotti di Rockwell Automation, e Ted Haschke, responsabile dello sviluppo aziendale, della sicurezza funzionale e della sicurezza informatica presso TÜV Rheinland, si sono uniti a Rapko, per fornire delle linee guida per le fasi iniziali e parlare del valore degli standard di sicurezza informatica, delle certificazioni da parte di terzi, nonché delle condizioni che hanno recentemente spinto verso l’adozione di soluzioni digitali e degli attacchi informatici.
Solo nel corso dell’ultimo anno, un terzo dei sistemi di controllo industriali sono stati oggetto di attacchi dannosi, ha dichiarato Rapko. I controlli industriali sono diventati un bersaglio di questi attacchi in quanto presiedono al controllo di numerose risorse, molte delle quali non sono state preservate nel corso degli anni, ha affermato.
L’industria si trova anche nel bel mezzo di una convergenza tra la tecnologia dell’informazione (Information technology, IT) e la tecnologia operativa (Operational technology, OT) e le problematiche inerenti la sicurezza informatica hanno messo in evidenza il continuo divario che esiste tra questi due ambiti. Per molti anni, la parte IT si è concentrata soprattutto sulla sicurezza informatica. “Mentre, dal punto di vista della OT, siamo davanti a un panorama completamente diverso”, ha dichiarato Rapko. “Le best practice della sicurezza informatica OT sono molto diverse da quelle IT. Gli strumenti non sono applicabili così come gli standard”.
Standard e Certificazioni
Fortunatamente, alcuni standard esistono e Shoshana Wodzisz ne ha parlato durante il suo intervento: il più importante è lo standard 62443 della International Electrotechnical Commission (IEC) per la tecnologia operativa nell’infrastruttura critica e in quella industriale. Wodzisz ritiene che questi standard siano fondamentali per la progressione delle pratiche di sicurezza informatica nel settore industriale perché forniscono un quadro comune.
“È un parametro che possiamo utilizzare tutti per fare dei paragoni tra noi”, ha dichiarato Wodzisz. “L’aspetto che mi piace di più del 62443 e, in generale, di ogni standard è che fornisce una terminologia comune alla quale aderire in modo che utenti finali e fornitori come Rockwell Automation, possano utilizzare le stesse parole e lo stesso linguaggio. Parliamo la stessa lingua”.
Lo standard include parti diverse per i fornitori, gli integratori di sistema e i proprietari delle risorse o gli utilizzatori finali. Identifica la tipologia dei controlli di sicurezza che devono essere implementati sui prodotti o sulle soluzioni, come la gestione della password, il firmware con la firma digitale e la conservazione degli audit log.
L’altro aspetto importante dei requisiti standard fornisce indicazioni per un ciclo di sviluppo sicuro o i processi per uno sviluppo della sicurezza. “Vengono descritte le modalità di sviluppo di un prodotto, di creazione di una soluzione con particolare enfasi sul fatto che le azioni che vengono intraprese partano dalle basi per arrivare fino ai livelli superiori. La sicurezza informatica non è un elemento che si può aggiungere alla fine del processo”, ha dichiarato Wodzisz.
Ted Haschke ha parlato dell’importanza delle certificazioni di sicurezza informatica da parte di terzi rilasciate da aziende come TÜV Rhineland.
“L’accreditamento da parte di terzi conferisce solidità al certificato che viene rilasciato”, ha dichiarato Haschke. Le aziende come Rockwell Automation sono sottoposte a ispezioni annuali per garantire la correttezza dei processi e delle procedure di testing. TÜV Rhineland fornisce certificazioni di sicurezza informatica anche su prodotti e soluzioni.
Le certificazioni non sono facili da ottenere, ha dichiarato Wodzisz, e i clienti le richiedono sempre di più nel settore dell’industria. Gli standard richiedono e le certificazioni verificano che le aziende seguano i principi di progettazione ispirati alle best practice del settore industriale, le adeguate metodologie di penetration test e di sicurezza, nonché comprendano e identifichino le minacce esistenti per i loro prodotti e soluzioni e si adoperino per mitigare adeguatamente queste vulnerabilità.
Gli standard forniscono alcune linee guida, ma molte aziende non sanno ancora bene dove e come iniziare. Haschke ha individuato il maggior punto di debolezza degli sforzi compiuti dalle aziende relativamente alla sicurezza informatica, nella modalità di esecuzione di una corretta valutazione del rischio e di un’accurata determinazione del livello di sicurezza applicabile per i propri prodotti o i sistemi. Rapko ha ribadito che la maggior sfida che si aspetta in futuro è quella di disporre di un accurato inventario delle risorse, in modo che le aziende possano comprendere i loro rischi.
Strategie consapevoli del rischio, riproducibili e adattative
Per aiutare le aziende nelle fasi iniziali, Rapko ha fornito una panoramica rapida ma dettagliata di alcuni dei passaggi minimi, necessari per definire un programma di sicurezza informatica, inclusi tre livelli di strategia. Inizialmente, le aziende dovrebbero adottare una strategia di sicurezza consapevole del rischio che fornisca i requisiti minimi indispensabili, inclusi una comprensione di base del rischio di una azienda e un livello minimo di controlli. “Questo si applica nei casi in cui l’investimento di capitale è limitato o i livelli di spesa iniziali sono limitati ma si vuole comunque iniziare”, ha dichiarato Rapko.
La fase seguente consiste in una strategia di sicurezza riproducibile che include la creazione di standard e pratiche più complete nell’ambito di tutta l’organizzazione. “La maggior parte dei programmi o delle opportunità di sicurezza informatica riguardano tutti i livelli di un’organizzazione dall’alto al basso” ha affermato Rapko. I leader dell’azienda ricercano uniformità in tutti gli stabilimenti piuttosto che strategie individuali. In questa fase, le aziende hanno bisogno di maggiori investimenti per modernizzare e aggiornare le reti e garantire che i rischi maggiori delle risorse siano mitigati.
La fase finale è quella della strategia informatica adattiva. “In questa fase, non solo è stato valutato e mitigato il rischio, ma sono stati attivati i controlli per gestire e monitorare l’igiene della sicurezza informatica”, ha dichiarato Rapko. Questa fase include anche la valutazione della capacità della forza lavoro di gestire internamente operazioni di sicurezza informatica.
Tendenze emergenti per la sicurezza informatica
La pandemia di COVID-19 ha anche aumentato il bisogno di accesso da remoto e creato ulteriori preoccupazioni in materia di sicurezza informatica. Le aziende non stanno solo aumentando le capacità di accesso da remoto, ma molte stanno valutando anche soluzioni per garantire che le persone giuste abbiano accesso alla giusta infrastruttura, ha dichiarato Rapko.
Mentre il settore oil & gas e quello farmaceutico sono stati i primi a nutrire interesse per lo standard 62443 e per le certificazioni rilasciate da terzi, un numero sempre maggiore di industrie ha cominciato a prendere in considerazione la sicurezza informatica, ha dichiarato Wodzisz. “Vediamo che sta avvenendo lo stesso nell’industria alimentare”, ha affermato.
Wodzisz ha anche sottolineato la convergenza di safety e security. “La sicurezza è fondamentale e oggi i concetti di safety e security si muovono su binari sempre più vicini, sicurezza funzionale e sicurezza del prodotto”, ha dichiarato. “Vediamo una convergenza di questi due concetti perché sono molto dipendenti l’uno dall’altro”.
Con l’aumento dei rischi di sicurezza informatica per l’industria, i produttori devono comprendere gli standard e allo stesso tempo i rischi che corrono. Con gli strumenti, le pratiche e i partner adeguati, le aziende sono in grado di gestire il bisogno impellente di soluzioni di sicurezza informatica.
Contenuti correlati
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550 del padiglione 4.1 ispirandosi al tema “Forging Mobility Ahead” (definire lo sviluppo futuro della mobilità). L’azienda presenterà il primo router...
-
Giochi olimpici di Parigi 2024: il fattore sicurezzaDopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Le innovazioni dei controllori industrialiI controllori industriali continuano a occupare una posizione strategica nell’era della trasformazione digitale. In particolare, le tecnologie basate su IoT, Edge computing, AI, robotica e virtualizzazione ne stanno elevando le potenzialità a un nuovo livello. Leggi l’articolo
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Controllo distribuito per il recupero dei rifiutiLa digitalizzazione e la scalabilità si rivelano fondamentali per un innovativo progetto di sostenibilità. Il DCS digitale è alla base del controllo di precisione dei processi nell’80% della tecnologia per il recupero dei rifiuti. Leggi l’articolo
-
Formazione multi-brand con Sacchi in automazione industrialeSacchi Elettroforniture, azienda di riferimento nella distribuzione di materiale elettrico e rinnovabili del Nord Italia, prosegue nel suo programma di formazione dedicato a tutti i professionisti del settore elettrico, con l’obiettivo di formare i prossimi esperti e...
-
Quali sono i rischi informatici nell’industria manifatturiera?Il rapporto Clusit del primo semestre del 2023 ha evidenziato in Italia un aumento del 40% degli attacchi informatici e preoccupa il fatto che il settore manifatturiero sia quello maggiormente colpito L’industria manifatturiera è uno degli obiettivi...
-
Soddisfare una domanda elevata in tempi incertiProgettare e costruire macchine incartonatrici più efficienti, produttive, sicure, veloci. Questo l’obiettivo di Econo-PAK che per raggiungerlo ha chiesto la collaborazione di Rockwell Automation Econo-PAK è un’importante azienda che produce macchine incartonatrici, con oltre 35 anni di...
-
La salvezza che viene dagli standardIl ‘Main Event 2024’ di Consorzio PI Italia ha costituito un momento di confronto su due tematiche molto sentite dall’industria, robotica e cybersecurity, nonché un’occasione per ‘fare il punto’ sulla diffusione ed evoluzione delle tecnologie di comunicazione...
-
Convergenza fisica e sicurezza informatica: le migliori pratiche e i vantaggiLa sicurezza aziendale moderna richiede un approccio integrato che unisca la sicurezza fisica con quella informatica. Con l’aumento delle minacce digitali e degli attacchi fisici, le organizzazioni devono adottare soluzioni che garantiscano una protezione completa a 360 gradi....
Scopri le novità scelte per te
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550...
-
Giochi olimpici di Parigi 2024: il fattore sicurezza
Dopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora...
Notizie Tutti ▶
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEENell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link DaySulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
-
Hewlett Packard e Danfoss insieme per ridurre il consumo energetico nei data centerHewlett Packard Enterprise e Danfoss collaborano per la fornitura di HPE IT Sustainability Services...
Prodotti Tutti ▶
-
Sensori di corrente a rilevamento magnetico di Allegro per industria, automotive ed energie rinnovabiliAllegro MicroSystems ha sviluppato i sensori di corrente ad alta potenza ACS37220 e ACS37041,...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024...
-
Refrigeratori di acqua di processo ecologici di Parker a basso GWPParker Hannifin ha sviluppato Hyperchill Plus-E, un nuovo refrigeratore ecologico per processi industriali utilizzato...
