Come approcciare la sicurezza informatica secondo Rockwell Automation
-
- Tweet
- Pin It
- Condividi per email
-
Anna Townshend di Control Design ha riassunto, per conto di Rockwell Automation, quanto illustrato da Angela Rapko, vice presidente regionale dei servizi Lifecycle di Rockwell Automation durante il suo incontro con la stampa nell’ambito dell’ultima edizione di Automation Fair 2021, che si è svolta a Houston, Texas, a novembre 2021.
“Quando prendiamo in considerazione la sicurezza informatica, il nostro approccio copre davvero l’intero attack continuum”, ha dichiarato Rapko. “Bisogna pensare al prima, al durante e al dopo”.
Anche Shoshana Wodzisz, responsabile della sicurezza dei prodotti di Rockwell Automation, e Ted Haschke, responsabile dello sviluppo aziendale, della sicurezza funzionale e della sicurezza informatica presso TÜV Rheinland, si sono uniti a Rapko, per fornire delle linee guida per le fasi iniziali e parlare del valore degli standard di sicurezza informatica, delle certificazioni da parte di terzi, nonché delle condizioni che hanno recentemente spinto verso l’adozione di soluzioni digitali e degli attacchi informatici.
Solo nel corso dell’ultimo anno, un terzo dei sistemi di controllo industriali sono stati oggetto di attacchi dannosi, ha dichiarato Rapko. I controlli industriali sono diventati un bersaglio di questi attacchi in quanto presiedono al controllo di numerose risorse, molte delle quali non sono state preservate nel corso degli anni, ha affermato.
L’industria si trova anche nel bel mezzo di una convergenza tra la tecnologia dell’informazione (Information technology, IT) e la tecnologia operativa (Operational technology, OT) e le problematiche inerenti la sicurezza informatica hanno messo in evidenza il continuo divario che esiste tra questi due ambiti. Per molti anni, la parte IT si è concentrata soprattutto sulla sicurezza informatica. “Mentre, dal punto di vista della OT, siamo davanti a un panorama completamente diverso”, ha dichiarato Rapko. “Le best practice della sicurezza informatica OT sono molto diverse da quelle IT. Gli strumenti non sono applicabili così come gli standard”.
Standard e Certificazioni
Fortunatamente, alcuni standard esistono e Shoshana Wodzisz ne ha parlato durante il suo intervento: il più importante è lo standard 62443 della International Electrotechnical Commission (IEC) per la tecnologia operativa nell’infrastruttura critica e in quella industriale. Wodzisz ritiene che questi standard siano fondamentali per la progressione delle pratiche di sicurezza informatica nel settore industriale perché forniscono un quadro comune.
“È un parametro che possiamo utilizzare tutti per fare dei paragoni tra noi”, ha dichiarato Wodzisz. “L’aspetto che mi piace di più del 62443 e, in generale, di ogni standard è che fornisce una terminologia comune alla quale aderire in modo che utenti finali e fornitori come Rockwell Automation, possano utilizzare le stesse parole e lo stesso linguaggio. Parliamo la stessa lingua”.
Lo standard include parti diverse per i fornitori, gli integratori di sistema e i proprietari delle risorse o gli utilizzatori finali. Identifica la tipologia dei controlli di sicurezza che devono essere implementati sui prodotti o sulle soluzioni, come la gestione della password, il firmware con la firma digitale e la conservazione degli audit log.
L’altro aspetto importante dei requisiti standard fornisce indicazioni per un ciclo di sviluppo sicuro o i processi per uno sviluppo della sicurezza. “Vengono descritte le modalità di sviluppo di un prodotto, di creazione di una soluzione con particolare enfasi sul fatto che le azioni che vengono intraprese partano dalle basi per arrivare fino ai livelli superiori. La sicurezza informatica non è un elemento che si può aggiungere alla fine del processo”, ha dichiarato Wodzisz.
Ted Haschke ha parlato dell’importanza delle certificazioni di sicurezza informatica da parte di terzi rilasciate da aziende come TÜV Rhineland.
“L’accreditamento da parte di terzi conferisce solidità al certificato che viene rilasciato”, ha dichiarato Haschke. Le aziende come Rockwell Automation sono sottoposte a ispezioni annuali per garantire la correttezza dei processi e delle procedure di testing. TÜV Rhineland fornisce certificazioni di sicurezza informatica anche su prodotti e soluzioni.
Le certificazioni non sono facili da ottenere, ha dichiarato Wodzisz, e i clienti le richiedono sempre di più nel settore dell’industria. Gli standard richiedono e le certificazioni verificano che le aziende seguano i principi di progettazione ispirati alle best practice del settore industriale, le adeguate metodologie di penetration test e di sicurezza, nonché comprendano e identifichino le minacce esistenti per i loro prodotti e soluzioni e si adoperino per mitigare adeguatamente queste vulnerabilità.
Gli standard forniscono alcune linee guida, ma molte aziende non sanno ancora bene dove e come iniziare. Haschke ha individuato il maggior punto di debolezza degli sforzi compiuti dalle aziende relativamente alla sicurezza informatica, nella modalità di esecuzione di una corretta valutazione del rischio e di un’accurata determinazione del livello di sicurezza applicabile per i propri prodotti o i sistemi. Rapko ha ribadito che la maggior sfida che si aspetta in futuro è quella di disporre di un accurato inventario delle risorse, in modo che le aziende possano comprendere i loro rischi.
Strategie consapevoli del rischio, riproducibili e adattative
Per aiutare le aziende nelle fasi iniziali, Rapko ha fornito una panoramica rapida ma dettagliata di alcuni dei passaggi minimi, necessari per definire un programma di sicurezza informatica, inclusi tre livelli di strategia. Inizialmente, le aziende dovrebbero adottare una strategia di sicurezza consapevole del rischio che fornisca i requisiti minimi indispensabili, inclusi una comprensione di base del rischio di una azienda e un livello minimo di controlli. “Questo si applica nei casi in cui l’investimento di capitale è limitato o i livelli di spesa iniziali sono limitati ma si vuole comunque iniziare”, ha dichiarato Rapko.
La fase seguente consiste in una strategia di sicurezza riproducibile che include la creazione di standard e pratiche più complete nell’ambito di tutta l’organizzazione. “La maggior parte dei programmi o delle opportunità di sicurezza informatica riguardano tutti i livelli di un’organizzazione dall’alto al basso” ha affermato Rapko. I leader dell’azienda ricercano uniformità in tutti gli stabilimenti piuttosto che strategie individuali. In questa fase, le aziende hanno bisogno di maggiori investimenti per modernizzare e aggiornare le reti e garantire che i rischi maggiori delle risorse siano mitigati.
La fase finale è quella della strategia informatica adattiva. “In questa fase, non solo è stato valutato e mitigato il rischio, ma sono stati attivati i controlli per gestire e monitorare l’igiene della sicurezza informatica”, ha dichiarato Rapko. Questa fase include anche la valutazione della capacità della forza lavoro di gestire internamente operazioni di sicurezza informatica.
Tendenze emergenti per la sicurezza informatica
La pandemia di COVID-19 ha anche aumentato il bisogno di accesso da remoto e creato ulteriori preoccupazioni in materia di sicurezza informatica. Le aziende non stanno solo aumentando le capacità di accesso da remoto, ma molte stanno valutando anche soluzioni per garantire che le persone giuste abbiano accesso alla giusta infrastruttura, ha dichiarato Rapko.
Mentre il settore oil & gas e quello farmaceutico sono stati i primi a nutrire interesse per lo standard 62443 e per le certificazioni rilasciate da terzi, un numero sempre maggiore di industrie ha cominciato a prendere in considerazione la sicurezza informatica, ha dichiarato Wodzisz. “Vediamo che sta avvenendo lo stesso nell’industria alimentare”, ha affermato.
Wodzisz ha anche sottolineato la convergenza di safety e security. “La sicurezza è fondamentale e oggi i concetti di safety e security si muovono su binari sempre più vicini, sicurezza funzionale e sicurezza del prodotto”, ha dichiarato. “Vediamo una convergenza di questi due concetti perché sono molto dipendenti l’uno dall’altro”.
Con l’aumento dei rischi di sicurezza informatica per l’industria, i produttori devono comprendere gli standard e allo stesso tempo i rischi che corrono. Con gli strumenti, le pratiche e i partner adeguati, le aziende sono in grado di gestire il bisogno impellente di soluzioni di sicurezza informatica.
Contenuti correlati
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor TechnologiesPer preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...
-
Un chiaro focus su cybersecurity e licensing software: Wibu-Systems ad Hannover Messe 2024Quest’anno, Wibu-Systems è particolarmente orgogliosa di presentare ad Hannover Messe 2024 una serie speciale di tour guidati, condotti da Oliver Winzenried stesso, CEO e fondatore dell’azienda. Questi viaggi unici nel cuore dell’innovazione industriale proporranno ai partecipanti uno...
-
Schneider Electric presenta EcoStruxure Secure ConnectSchneider Electric va incontro alle crescenti esigenze di cybersecurity in ambito industriale proponendo EcoStruxure Secure Connect. Nel settore dell’automazione industriale, stiamo assistendo a un aumento significativo di macchine installate e connesse, per le quali la cybersecurity rappresenta un requisito fondamentale. Da...
-
Al Main Event 2024 di Consorzio PI Italia si è parlato di ‘Robotica e cybersecurity per un’industria protetta’La presenza di esperti e imprese del settore al Main Event 2024 di Consorzio Profibus e Profinet Italia (PI Italia), parte integrante dell’organizzazione internazionale PI-Profibus & Profinet International, ha ribadito l’impegno del Consorzio nel promuovere l’innovazione e diffondere la...
-
Cyber 4.0: spingere nella formazione dei cybersecurity manager è vitale per le PMIUn punto di riferimento per la cybersecurity delle Pmi a livello nazionale e un canale di accesso semplificato ai fondi del Pnrr per le aziende con obiettivi di sviluppo in questo ambito: sono circa 800 le imprese...
-
Consorzio PI Italia: al ‘Main Event 2024’ si parla di robotica e cybersecurityUna giornata interamente dedicata alle sfide e alle opportunità legate alla robotica e alla sicurezza informatica. Un’occasione imperdibile per esplorare gli ultimi sviluppi, le tendenze emergenti e le soluzioni innovative che stanno definendo il futuro del settore,...
-
Intelligenza artificiale, cybersecurity e piattaforme digitali: tutte le opportunità per le PMIDassault Systèmes ha condiviso i risultati di un’indagine che mette in luce alcune tendenze che offrono oggi nuove opportunità alle startup e alle PMI (Piccole e Medie Imprese) di fare un salto di qualità rispetto alle aziende...
-
Rockwell Automation e Nvidia per l’integrazione dell’intelligenza artificiale nel manifatturieroRockwell Automation collabora con Nvidia per accelerare un’architettura industriale di nuova generazione. A livello globale, l’industria manifatturiera ha un valore di 15 trilioni di dollari e si riferisce a tutto ciò di cui l’uomo ha bisogno per...
-
7 suggerimenti per riprendersi da un attacco ransomwareNegli ultimi anni, gli attacchi ransomware si sono intensificati ed evoluti fino a diventare un modello di business, causando gravi danni in tutti i settori e provocando perdite significative di dati e beni per le organizzazioni. Il...
-
È Stephen Ford il nuovo vice president e Ciso di Rockwell AutomationRockwell Automation ha annunciato che Stephen Ford entrerà a far parte dell’azienda con il ruolo di vice president e Chief Information Security Officer (CISO), con effetto immediato. Riporterà a Chris Nardecchia, senior vice president e Chief Information...
Scopri le novità scelte per te
-
Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies
Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi...
-
Un chiaro focus su cybersecurity e licensing software: Wibu-Systems ad Hannover Messe 2024
Quest’anno, Wibu-Systems è particolarmente orgogliosa di presentare ad Hannover Messe 2024 una serie speciale di tour guidati,...
Notizie Tutti ▶
-
Dirak Italia partecipa a SPS Italia 2024Dirak Italia, filiale italiana dell’azienda tedesca Dirak specializzata in tecnologie per chiusure, cerniere e...
-
SICK partecipa all’edizione 2024 di SPS Italia con tante novità sulla sensoristicaSoluzioni personalizzate per un futuro su misura. Da qui parte SICK a SPS Italia, la...
-
Il mercato dell’Internet of Things cresce e sfiora i 9 miliardi di euroNon si arresta la corsa del mercato italiano dell’Internet of Things. Nel 2023 ha...
Prodotti Tutti ▶
-
AI per le intranet: uno strumento che integra e potenzia le capacità umane, senza sostituirleGià da tempo l’intelligenza artificiale fa parte della nostra vita quotidiana ed è usata...
-
Emerson e CoreTigo migliorano la sostenibilità e riducono i costi con una soluzione wireless per il trattamento dell’ariaEmerson crea soluzioni sostenibili per i propri clienti con le tecnologie di automazione industriale...
-
Cobot più collaborativi, facili all’uso ed ergonomici grazie alla Master Key di Idea Prototipi“Grazie a queste macchine, in pratica, sta accadendo quella rivoluzione che ha investito le...
