Gli ambienti industriali sono sempre più sotto attacco, come certificano le indagini di svariate aziende specializzate in cybersecurity e anche il più recente rapporto del Clusit, che sottolinea proprio il crescente interesse degli attaccanti verso gli ambienti Ot. Il motivo di tali attenzioni è facilmente intuibile: bloccando l’operatività delle imprese, le si colpiscono al cuore. Anche solo pochi giorni di interruzione delle attività possono costare cifre enormi, spesso superiori ai riscatti milionari chiesti dai criminali. Che fare? Sicuramente è necessario che le imprese investano maggiormente sulla sicurezza degli ambienti Ot, trattandoli alla stessa stregua – sotto il profilo della cybersecurity – di quelli It. Anche, in certi casi, creando due Security Operation Center (Soc) separati, uno per ciascuna area. Ma c’è bisogno anche di regole e standard, e l’Unione Europea sta facendo la sua parte, con l’introduzione della normativa Nis 2, che rappresentano un significativo passo avanti rispetto a quelle attuali. Ne abbiamo parlato con Enzo Maria Tieghi, membro del cts di Clusit e chairman di ServiTecno.
Nis 2: così le istituzioni Ue mirano a proteggere meglio l’Ot
Il primo aspetto che Tieghi ha sottolineato durante un’intervista con Industria Italiana è che preferisce il termine “incidente informatico” rispetto ad “attacco informatico”. Perché «nella maggior parte dei casi quello che si verifica in ambiente produttivo è un danno collaterale di qualcosa che è avvenuto nella rete dell’ufficio», nell’Iy, insomma. Per capirci, se arriva una minaccia tramite la posta elettronica che blocca la produzione, «per me diventa un incidente. Perché è non è stata segmentata correttamente la rete oppure non sono stati previsti presidi adeguati per evitare questi problemi».
Questi errori di configurazione sono spesso dovuti al fatto che chi si occupa di Ot oggi non ha le stesse competenze di chi lavora nell’ambito It. Un gap di conoscenze dovuto prevalentemente alla velocità con cui gli ambienti industriali, da sempre nettamente separati da quelli informatici, hanno iniziato a convergere con l’Ot, così da migliorare la produttività grazie all’introduzione di piattaforme come Erp e Mes, che consentono di avere visibilità su tutti i processi e l’intera supply chain, oltre che di abilitare applicazioni per la manutenzione predittiva. Non si può fare a meno della digitalizzazione in campo industriale, ma è necessario imporre protocolli di sicurezza standard sulle infrastrutture critiche. Protocolli che effettivamente sono già stati messi in atto tramite le direttive Nis (Network information security). Questa direttiva è stata approvata dall’Ue nel 2016 e recepita dall’Italia nel maggio 2018 e stabilisce i requisiti minimi di sicurezza per le infrastrutture critiche. Un approccio basato su tre pilastri:
- capacità di prevenire gli attacchi;
- capacità di rilevare gli attacchi;
- capacità di mitigare gli attacchi.
La direttiva impone anche una serie di misure tecniche minime da adottare, oltre che di comunicare alle autorità eventuali incidenti o violazioni entro 24 ore dalla scoperta.
La Nis è un sistema di regole base, che però si applica solo a chi opera in specifici settori considerati critici, come banche e istituti finanziari, sanità, servizi energetici, trasporti e infrastrutture digitali. Nel 2019 però sono state deliberate dall’UE le direttive Nis 2. Che fondamentalmente «estendono il raggio d’azione, imponendo conformità anche ad altri settori», spiega Tieghi. Fra i settori che devono adeguarsi la produzione alimentare, servizi digitali come i social network e i data center, la produzione di specifici prodotti pharma, come medicinali o macchinari clinici. Ma anche i servizi postali, i corrieri di trasporto, i provider di telecomunicazioni, la Pubblica Amministrazione, la gestione delle acque reflue.
Oltre a includere un numero molto maggiori di settori considerati critici, la direttiva Nis 2 impone maggiori obblighi di trasparenza e l’adozione di misure concrete per assicurare la sicurezza e la continuità del servizio di questi settori chiave. Va detto che la direttiva è stata pubblicata ufficialmente sulla Gazzetta ufficiale dell’Ue, ma ancora non è stata ratificata dagli Stati, che hanno tempo sino al 18 ottobre 2024.
La necessità di avere un Soc separato
La direttiva Nis è il segno di una presa di coscienza del problema da parte delle istituzioni. Un netto passo avanti, certamente, ma cosa dovrebbero fare le aziende per farsi trovare pronte quando sarà ratificata e, soprattutto, per migliorare da subito la loro postura di sicurezza? Secondo Tieghi un passo avanti lo si può fare prevedendo l’allestimento di due Soc (Security operation center): uno dedicato all’It e uno all’Ot. «Un’esigenza dovuta al fatto che ancora non c’è separazione fra It e Ot». Se è vero che si parla sempre più di convergenza, e a tutti gli effetti oggi è impensabile scollegare completamente l’Ot dalla rete informatica, a oggi sono due mondi visti come separati. Anche le professionalità che operano nei due ambiti sono molto differenti, con punti di vista non sempre coincidenti fra gli ingegneri specializzati sulla parte produttiva e quelli che invece si occupano delle reti e delle infrastrutture di comunicazione.
Secondo Tieghi, la situazione attuale andrà avanti ancora per 10/15 anni. Un tempo che può sembrare eterno in un settore che innova con estrema velocità, ma nell’ambito produttivo ci si affida ancora molto a sistemi e protocolli legacy, perché «in ambiente industriale fino a che qualcosa funzione non si cambia». Questo perché è un settore estremamente regolamentato, soprattutto sul farmaceutico, e se si aggiorna anche solo un software è necessario ripetere i test di conformità per assicurare l’omologazione dei sistemi. Per assurdo, utilizzare prodotti più recenti rischia di «rappresentare un limite all’innovazione». Ecco perché non è raro trovare sulle linee produttive sistemi operativi ormai non più supportati dal produttore stesso, come Windows XP e Windows NT. Funzionano, ma il mancato supporto significa che sono estremamente vulnerabili agli attacchi informatici, non garantiscono gli stessi standard di sicurezza delle nuove versioni. È quindi evidente come tenerli separati dall’ambiente IT sia fondamentale per evitare che un’incidente informatico possa ripercuotersi sulla produzione.
C’è anche un altro motivo per cui è necessario tenere separati i Soc per l’Ot e l’It, ed è relativo ai protocolli (non è raro che in Ot non su usi l’IP, che è invece è la base delle infrastrutture It), e alla sensoristica, totalmente differente. Per saper discernere i falsi allarmi, o gli avvisi a bassissimo rischio, è necessario avere ingegneri altamente specializzati nell’ambito produttivo. E lo stesso discorso vale al contrario, ma per l’ambito informatico. Anche per evitare di sprecare risorse: se c’è un problema ai macchinari di una diga o una stazione elettrica posta in zone impervie, bisogna inviare dei tecnici in loco, magari ad ore di distanza, con un importante dispendio di denaro e di tempo. Oltre agli inevitabili rischi per la sicurezza fisica dei tecnici che si occupano dell’assistenza.
Il nodo delle competenze: nell’Ot la sfida è ancora più difficile
Si parla spesso della difficoltà nel reperire persone competenti in ambito It, ma in quello Ot secondo Tieghi la situazione è ancora peggiore, in quanto ogni tipologia di impianto ha le sue peculiarità. Un ingegnere esperto di impianti farmaceutici potrebbe non avere alcuna competenza su quelli siderurgici. Se si installa un ambiente Sap un informatico sarà sempre in grado di metterci le mani sopra, che sia utilizzato in ambito automotive, farmaceutico, minerario, ma una linea di confezionamento farmaceutica e una colata continua in una fonderia richiedono approcci e conoscenze totalmente differenti.
E cambia di molto anche il modo in cui vengono acquisite e campionate le informazioni. Una breve interruzione di pochi istanti del flusso di dati in ambito IT potrebbe non essere un problema grave. In ambito farmaceutico, per esempio nei cicli di sterilizzazione, è un disastro: significa gettare via un lotto. E non parliamo di bruscolini: su certi farmaci, per esempio gli antitumorali, il costo può facilmente arrivare al milione di euro. Bloccare la produzione in caso di interruzione dati è impensabile nel pharma: il principio attivo rischia di deperire se la temperatura a cui viene lavorato cambia anche solo di mezzo grado. «E ci sono prodotti che devono essere somministrati al paziente entro poche ore dalla produzione». Per questo motivo capita che in alcuni casi le linee produttive non siano installate presso le aziende farmaceutiche, ma direttamente negli ospedali, nei reparti dedicati alla medicina di precisione, come quello presso l’Ospedale San Raffaele di Milano.
Enzo Maria Tieghi: dall’industria alla cybersecurity
Tieghi è uno dei membri del Cts del Clusit ma non nasce come esperto di sicurezza informatica. Questa è una passione cresciuta negli anni, operando nel settore Ot. Tieghi è infatti il chairman di ServiTecno, azienda che propone da 40 anni sistemi e software per l’automazione di fabbrica, soprattutto in ambito farmaceutico. «Distribuiamo prodotti software per applicazioni industriali. Siamo distributori di Ge Digital (divisione di General Electrics, conglomerato che fa di tutto, dagli elettromedicali ai motori per i jet). Noi siamo da lungo tempo distributori di iFix, un prodotto Scada che Ged ha acquisito tempo fa e che abbiamo continuato a supportare. Abbiamo espanso la linea di prodotti che proponiamo. Parliamo di una soluzione di nicchia per il monitoraggio di impianti: può essere usato dalle aziende farmaceutiche dagli acquedotti, dai musei e da chi produce alimentari, gomma, plastica, gomma, vetro, cemento e molte altre tipologie di industrie».
iFix di Ge Digital aggiunge a un motore Hmi Scada una grafica innovativa, strettamente legata ai moderni concetti di user experience
In pratica, ifix è una soluzione che si adatta a svariati scenari, in particolare quelli dove c’è produzione continua o per lotto. È invece meno adatta in tutti quegli ambiti dove si fa assemblaggio, come ad esempio l’automotive, ove possiamo proporre Cimplicity, altro prodotto software Scada di Ge Digital. Sia Ifix che Cimplicity permettono di controllare, verificare, acquisire dati e coordinare tutti i Plc sulla linea, così da avere informazioni complete su tutto il ciclo produttivo. Dati che permettono di abilitare funzionalità come la manutenzione predittiva, ma anche per alimentare i Digital Twin. I Clienti sono soprattutto nel farmaceutico: realtà del calibro di Pfizer, Baxgter, Menarini, Angelini, Chiesi. E soprattutto costruttori di macchinari ed impianti come Ima per quanto riguarda il packaging farmaceutico: «abbiamo pacchettizzato una versione apposita [del nostro software iFix] per loro, che è diventata la componente standard per alcune loro linee».
«L’interesse per la sicurezza nasce negli Anni 90, quando i software per le aziende farmaceutiche andavano a sostituire la carta». Ai tempi era comune una procedura definita batch record cartaceo: tutte le operazioni venivano svolte manualmente dagli operatori, che scrivevano in un registro gli ingredienti usati, le concentrazioni, la provenienza dei lotti, l’operatore che si era occupato del processo e via dicendo». Bisognava insomma fidarsi ciecamente di chi trascriveva le operazioni per garantire la tracciabilità di ogni singolo flacone. Da quando si è passati a utilizzare dei software Ebrs (Electronic Batch Record Systems), l’Fda statunitense (Food & Drug Administration) a iniziato a interessarsi anche a questi sistemi per verificarne la sicurezza e la conformità, iniziando a imporre specifiche regole alle quale i produttori dovevano attenersi per certificare (validare) i sistemi. «Diventava necessario verificare che i sistemi rispondessero come previsto, anche a distanza di tempo. Questo è stato il primo passo, quando si è iniziato a guardare cosa accadeva all’interno dei sistemi. Poi sono iniziati ad arrivare i primi virus. Dato che eravamo già piuttosto bravi a garantire la continuità operativa del reparto di produzione, abbiamo iniziato ad occuparci anche della parte di protezione dai malware o dagli incidenti».
Oggi ServiTecno continua a distribuire e supportare i prodotti di Ge Digital, ma offre anche soluzioni hardware e software per il mondo dell’industria 4.0: soluzioni telecontrollo e remotizzazione, ma anche monitoraggio e supervisione di macchinari in vari settori, fra cui farmaceutico, energia, metalli, infrastrutture, utility. Oltre che soluzioni e servizi per la cybersecurity di questi ambienti.
