La fabbrica connessa deve alzare l’asticella della cybersecurity. Una domanda a cui ha risposto Security Pattern, startup fondata a Brescia da due ex ingegneri del colosso dei chip STMicroelectronics, che hanno immaginato di dare vita a device sicuri by design e capaci di auto-aggiornare il sistema di protezione per tutta la durata del loro ciclo di vita. Per limitare il rischio corrente e anche quello potenziale e per contribuire a dar vita a un’industria compliant con gli standard che il Cyber Resilience Act impone ai dispositivi Iot. Security Pattern, fatturato di 2 milioni di euro e 11 dipendenti è una micro-realtà iper tecnologica che vanta nel novero dei clienti società produttrici o utilizzatrici delle tecnologie, nel campo automobilistico, domotico, industriale e medico. Nomi Vimar (hardware elettrico), Riello Ups (gruppi di continuità), Iseo Serrature (sistemi di accesso).
«L’oggetto della nostra attività è il “sistema” – dice a Industria Italiana l’amministratore delegato Guido Bertoni – che può essere sia un singolo dispositivo, un’apparecchiatura composta da più dispositivi interconnessi, sia un ecosistema che comprende dispositivi embedded, app mobili e il cloud. L’obiettivo è mitigare il rischio che le minacce si materializzino attraverso lo sfruttamento delle vulnerabilità relative ai sistemi elettronici». Un obiettivo che si ottiene proteggendo il Firmware che viene eseguito sui sistemi embedded; la comunicazione tra entità appartenenti al sistema; attraverso la protezione dell’accesso alle funzionalità del sistema e delle chiavi necessarie per il funzionamento del sistema.
«Nessun singolo componente è in grado di affrontare tutti i problemi di sicurezza: la sicurezza è una miscela di HW, SW e procedure progettate e combinate per garantire il massimo livello e per resistere a minacce future ancora sconosciute», dice Bertoni.
Colmare il gap di sicurezza nella meccatronica: alle origini di Security Pattern
Security Pattern nasce nel 2017 e si sviluppa all’interno dell’incubatore bresciana Superpartes, « che ha fornito il network e la spinta iniziale – racconta Bertoni – lo scorso anno ci siamo staccati. Il progetto era nato dopo 15 anni in STMicroelectronics in cui avevamo notato la difficoltà per chi produce device elettronici di scegliere i chip in maniera corretta per avere un dispositivo cyber-sicuro». E non solo: Bertoni aveva intravisto una grande opportunità nel tessuto industriale fatto da pmi manifatturiere «che stavano facendo la transizione dal mondo meccanico a quello elettronico e poi verso le macchine connesse: le nostre meccatroniche che hanno una fortissima conoscenza e specializzazione a livello mondiale in quello che fanno». Se il cambiamento da meccanica a elettromeccanica è stato assimilato, l’ultimo passaggio, quello che porta alla smart factory «sta avvenendo in maniera repentina: così le industrie stanno facendo a compiere la transizione digitale e le competenze di cybersecurity sono ancora più difficili da internalizzare, sia perché sono scarse sia perché richiedono molte risorse che le aziende medio piccole non hanno: in questo vuoto ci siamo inseriti».
Il processo di sicurezza by design
Verso i clienti Security Pattern ha un approccio consulenziale: il punto di partenza è l’analisi dei requisiti di sicurezza del dispositivo, del sistema, dell’attività. «Prendiamo in considerazione e analizziamo ogni aspetto del dispositivo, del sistema o dell’attività: comunicazione tra entità, autenticazione delle entità all’interno di un sistema, creazione e gestione delle chiavi e memorizzazione dei dati sensibili», spiega Bertoni. Il secondo passaggio è l’identificazione delle vulnerabilità delle risorse rilevanti: quindi si propongono le contromisure adatte al contesto, per definire i requisiti di sicurezza adatti. «O implementiamo direttamente contromisure o forniamo agli sviluppatori riferimenti, prototipi, IP necessari per l’implementazione allo stato dell’arte dei requisiti – dice Bertoni – la sicurezza copre l’intera vita del dispositivo, perché ciò che è sicuro oggi potrebbe essere violato domani. Ogni aspetto deve essere costantemente monitorato e aggiornato per resistere a nuove minacce. L’ultima cosa che facciamo è diffondere una cultura della sicurezza verso progettisti e sviluppatori; attraverso corsi di formazione specifici».
Nella pratica, tra i progetti curati da Security Pattern c’è quello che ha riguardato il comando vocale da incasso per la domotica di Vimar basato sul controllo tramite Alexa. «Il rischio in questo caso – spiega l’ad di Security Pattern – è che se ci sono attacchi hacker il mio vicino può acquistare su Amazon al posto mio con la sola voce. Il prodotto è stato testato ed è in commercio». Un altro esempio del lavoro di Security Pattern è nelle smart grid: «i componenti per la gestione della rete elettrica devono avere una certificazione di sicurezza. Noi aiutiamo i produttori a ottenerla dagli enti certificatori, approntando il prodotto in modo che sia compliant e passi l’esame. La cybersecurity è un elemento molto importante nell’auto a guida autonoma».
La sicurezza come concetto dinamico: device che si auto-aggiornano
Ma non basta guardare all’oggi: perché la sicurezza è un elemento dinamico e nell’era delle disruption continue rischi e minacce cambiano vorticosamente insieme alla tecnologia. Così per il futuro «stiamo lavorando a un servizio per il monitoraggio delle vulnerabilità. Finora abbiamo sempre lavorato per i nuovi prodotti a cui aggiungere sicurezza per varie esigenze. Ma vogliamo arrivare a un punto in cui come per i telefoni e i pc che ricevono aggiornamenti di sicurezza, anche i device funzionino così. Lo vogliamo fare ex ante fornendo al cliente un dispositivo che si aggiorni periodicamente perché ci possono essere vulnerabilità». Questo genere di funzionalità è in fase di test. E se oggi il mercato è prevalentemente italiano, nel futuro c’è il progetto di espandersi sempre più in Europa e Usa. Per raggiungere questo obiettivo, l’azienda si è affiliata un anno e mezzo fa ad Afil, l’associazione fabbrica intelligente, uno dei nove cluster tecnologici regionali presieduto da Christian Colombo, patron di Ficep azienda varesine che produce macchine utensili. Afil ha l’obiettivo di facilitare l’aggregazione di imprese lombarde intorno a iniziative di innovazione e di supportarle nell’accesso a progetti finanziati e nell’internazionalizzazione.
Con Afil per conquistare gli Usa
«L’affiliazione con Afil – spiega Bertoni – ci ha aiutato a creare contatti con possibili clienti italiani e internazionali ma anche a conoscere le loro esigenze: siamo intermediari e dobbiamo sforzarci di capire il linguaggio del cliente così come loro devono capire il linguaggio della sicurezza».
Grazie all’affiliazione Security Pattern ha partecipato nel mese di febbraio alla missione in California nell’ambito del progetto europeo Admantex2i. «Afil ha funzionato come un ponte per portarci nel mondo: insieme alle omologhe portoghese e spagnola dell’associazione e ad altre associate italiane abbiamo potuto per far conoscere la tecnologia italiana: con incontri diretti con società locali che ci hanno spiegato problemi e soluzioni. Insomma abbiamo osservato i trend del mercato della Silicon Valley, che è un po’ capire come si muove il mondo. la sorpresa è stata scoprire che la tecnologia italiana sia meno una Cenerentola di quanto si credi: nelle quattro manifatture californiane che abbiamo visitato, meccaniche, tessile e un produttore di panche per pilates, tutte avevano macchine italiane».
