«Il passaggio alla piattaforma IoT cloud based è un tema emergente negli ultimi due-tre anni. La domanda che ci viene posta spesso è: com’è possibile essere sicuri che i dati che escono dal perimetro aziendale vengano protetti in modo adeguato e non intercettati nel percorso dalle macchine al cloud?» Ad affermarlo sono Marco Merigo e Marcello Scalfi, rispettivamente business development manager e sales specialist industrial networks and security di Siemens.
La multinazionale tedesca ha pianificato un’offerta di soluzioni in grado di tutelare la sicurezza lungo tutta la catena del valore, dalla raccolta del dato all’implementazione di policy di network security fino alla custodia del dato in piattaforme cloud. Un’offerta in linea con la crescente attenzione delle aziende italiane sul tema cyber security comprovata dall’aumento degli investimenti a 1,3 miliardi di euro registrato nel 2019 (+11% rispetto all’anno precedente), segnalato dal recente report dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano. Lo studio evidenzia che il cloud ha rappresentato l’ambito primario nelle priorità di investimento nello specifico campo dell’information security e della data protection per le grandi organizzazioni aziendali. Ma nelle piccole e medie imprese il passaggio dei dati al di fuori del perimetro aziendale è motivo di apprensione.
Cyber security: dal field al cloud. L’approccio di Siemens con Mindsphere
La crescita dell’interesse per la cyber security in ambito industriale è sensibile. Lo conferma la stessa Siemens, attraverso Niccolò Mario Spinola Ferrari, Industrial communication product manager: «dalle analisi fatte internamente abbiamo notato che soluzioni di firewall industriale e di connettività verso Vpn (Virtual protection network) per contare su un accesso sicuro sono cresciute del 20-30%, ma è un trend costante da 3-4 anni».
Particolare attenzione è focalizzata sul cloud, uno dei principali trend dell’innovazione digitale. Segnala lo stesso report dell’Osservatorio: “con la migrazione sempre più crescente di dati, applicazioni e infrastrutture verso tali ambienti, le aziende hanno ormai pienamente realizzato che non è più possibile trascurare il tema della sicurezza e che, al contrario, è necessario ripensare l’approccio verso tale materia, per esempio superando il concetto di difesa del perimetro e concentrando l’attenzione sulla protezione delle informazioni”. Il trasferimento dei dati dal lato fisico (field) al cloud impone, però, una certa attenzione in ottica cyber security, come hanno osservato i due manager Siemens anche in occasione del Forum Software industriale. La multinazionale tedesca propone una piattaforma IoT cloud-based, Mindsphere, il cui obiettivo è raccogliere i dati dal field per poterli processare in cloud tramite applicazioni, algoritmi, con finalità di predictive analytics, ovvero fare data analytics non solo per monitorare macchine e impianti, ma anche per svolgere analisi e previsioni.
Il meccanismo avviene tramite il processo di raccolta dati i quali vengono processati lato cloud da algoritmi che producono insight, ovvero un modo per estrarre valore dal dato. Il contenuto operativo ottenuto dal dato grezzo viene poi utilizzato dagli operatori per svolgere delle retroazioni (feedback) e azioni successive sulle macchine. MindSphere di Siemens è accessibile come una PaaS (Platform as a Service) e permette un’ampia connettività al cloud di periferiche, database aziendali e componenti edge. Garantisce una connessione sicura degli asset mediante soluzioni di connettività hardware o software. Come è strutturata l’architettura? «Prevede tre livelli: la connettività, il backbone della piattaforma e il livello applicativo – spiegano i manager Siemens – Nella prima parte troviamo i device che permettono la connessione delle macchine al cloud, dei gateway intelligenti chiamati edge device, che possono svolgere delle aggregazioni locali e poi inviano i dati alla piattaforma in cloud. Quest’ultima, che è il secondo livello, permette l’accesso agli operatori per poter visualizzare e utilizzare i dati. È un sistema operativo vero e proprio, che gira in cloud, e che offre l’accesso a servizi utili per sviluppare codice, applicazioni e logiche per elaborare i dati». Sul terzo livello troviamo le app che permettono di estrarre insight, ovvero info a valore aggiunto e fare un condition base monitoring, primo approccio di una piattaforma IoT per poi arrivare a svolgere azioni mediante algoritmi di machine learning, deep learning e predictive data analytics, passando dal paradigma di event driven, tipico dei sistemi scada e di supervisione, a quello di data driven, ovvero utilizzare il dato grezzo dal campo per poter estrarre un valore predittivo.
Cyber security: dal field al cloud, insidie e soluzioni
La connettività è il campo più delicato per quanto riguarda la sicurezza dei dati provenienti dal field e diretto al cloud: lo stesso Scalfi segnala due possibili problemi nel trasferimento. «Un primo elemento critico può derivare da un accesso non autorizzato, come può essere un ramsomware; un altro può essere causato da un’alterazione di dati. Cosa fare? Non certo pensare di acquistare un singolo prodotto, quanto pensare in maniera sinergica all’interno delle proprie strutture organizzative per adottare un metodo applicativo. E per noi questo è definito dalla standard internazionale IEC62443 per la security dei sistemi di controllo industriali. In pratica, si adotta un approccio olistico, a più livelli, con device sicuri by design e certificati che vengono messi in comunicazione come network security». Tra l’altro, la stessa Siemens sullo standard da tempo contribuisce attivamente alla stesura delle specifiche.
Un altro concetto importante è legato alla possibilità di implementare tecnologie in maniera concertata e continua. «Ci riferiamo al network hardening: nel momento della raccolta di informazioni tra due sensori sul campo occorre assicurarsi che la rete sia strutturata e sicura: parliamo di celle di protezione, di aggregazione di dati mediante backbone realizzata tramite switch e router industriali per la connessione alla rete It, che possono accogliere funzionalità di sicurezza in profondità come le moderne Anomaly based Intrusion Detection System, che permettono poi la connessione alle piattaforme applicative o direttamente al cloud». Con l’approccio multistrato, basato su meccanismo di defense-in-depth, ovvero di difesa in profondità, è possibile inserire una serie di contromisure efficaci che, segnala l’azienda, permettono agli utenti di servizi cloud-based di raggiungere un elevato grado di confidenza e serenità nell’uso delle applicazioni Industrial IoT a valore aggiunto.
Cyber security: la strategia ad ampio spettro di Siemens
L’approccio olistico è il tratto distintivo della strategia Siemens in ottica di cyber sicurezza: «non esiste un prodotto che rende sicura la rete aziendale, esiste invece una strategia che deve essere però calata nello specifico contesto», sottolinea Spinola Ferrari, aggiungendo che Siemens fornisce servizi, attraverso il proprio Industrial security service, ma anche formazione. La promozione del tema, da parte dell’azienda, è esemplificata anche dalla ideazione e promozione della “Charter of Trust” iniziativa globale per la cybersecurity, una Carta comune tra i cui requisiti sono contemplati standard di base per la formazione dei dipendenti nel comparto della sicurezza It. La necessità di contare su personale con la dovuta conoscenza e preparazione è ancora un tema su cui serve maggiore attenzione, specie nel caso delle piccole e medie imprese.
«Le Pmi che stanno procedendo verso applicazioni a valore aggiunto facendo sperimentazioni di questo tipo, come svolgere la raccolta di informazioni con finalità predictive maintenance o plan simulation, giungono a doversi confrontare col problema di interfacciare queste loro azioni, reti e macchine con altre di end user, non sapendo rispondere – spiega Merigo. Da un lato cerchiamo di fare formazione, mettendo a conoscenza dei clienti il modello fornito dallo standard IEC62443 – spiega Scalfi – cercando di spiegare loro quali sono gli step necessari per arrivare a un approccio olistico. Poi occorre aiutarli nell’individuare i loro specifici problemi e nell’adottare specifiche soluzioni».
A volte vengono proposte soluzioni sovra dimensionate rispetto alle richieste dei clienti, «altre volte le aziende devono affrontare problematiche notevoli, come dover realizzare infrastrutture critiche e risolvere questioni pressanti anche a livello normativo, in Italia e all’estero e in un contesto non europeo. Da qui si deve partire da soluzioni che siano sicure by design, non solo di networking, ma anche per la gestione del processo: esse devono avere come base di partenza la certificazione IEC62443 4-1, relativa ai requisiti per lo sviluppo sicuro del ciclo di vita del prodotto, che definisce la sicurezza nella fase di design e produzione del prodotto, quindi in fase ricerca e sviluppo».
Merigo spiega che uno dei trend in crescita è rassicurare le aziende medio piccole, meno preparate alla necessità di portare fuori i dati dal perimetro aziendale verso il cloud. «Il dato, una volta uscito, è tutelato da Siemens, che lo prende in carico insieme alla responsabilità della sua protezione e lo protegge tramite sistemi crittografici su nostri gateway e ci avvaliamo di partner strategici nel mondo cloud che danno massima garanzia per la protezione e segregazione dei dati dei clienti. Quindi tutta la filiera del dato è protetta secondo standard di sicurezza internazionali».
L’offerta di soluzioni Siemens per la cyber security
Partendo dalle macchine e dagli impianti, datate o di ultima generazione, la connettività può essere realizzata tramite connettori versatili come Simatic CloudConnect7 che permette di raccogliere informazioni sia da controllori legacy che moderni e offre connettività sicura sia a piattaforme di raccolta dati (Mes, Scada…) con protocollo sicuro, Opcua, che a piattaforme cloud come Mindsphere o di terze parti attraverso broker Mqtt over Tls, oppure tramite edge device come MindConnect che aggiungono capacità di calcolo ed elaborazione vicina ai controllori oltre ad una connettività versatile verso il già citato Mindsphere, il sistema operativo aperto IoT basato su cloud di Siemens che permette di collegare impianti, sistemi e macchine, consentendo di sfruttare la ricchezza dei vostri dati con l’analisi avanzata. Inoltre, dà accesso a un numero crescente di applicazioni e a un ecosistema di sviluppo dinamico.
Risalendo nella rete, la protezione di cella viene realizzata tramite Security appliances come quelle offerte dalla famiglia Scalance S che permettono di segregare il traffico di rete delle macchine e offrono una connessione sicura verso le reti di aggregazione di fabbrica, realizzate con le famiglie Scalance X e Ruggedcom, le due famiglie di prodotti di networking di Siemens che trovano il loro habitat naturare nell’industria manifatturiera e di processo o nelle applicazioni critiche. «Proprio nella famiglia Ruggedcom si trovano le novità nel mondo della cybersecurity: la nuovissima Ape1808, una piccola ma potente application engine, permette di ospitare funzionalità di sicurezza avanzata come Ips (Intrusion prevention system) o Industrial anomaly detection, attraverso software di terze parti certificato e testato per gli ambienti industriali: realizzare un asset inventory di tutti i componenti di produzione, conoscere il loro grado di vulnerabilità e monitorare la sicurezza della rete sarà più semplice e il tutto in uno switch industriale», segnalano Merigo e Scalfi.
Cyber security: un problema culturale
Uno dei temi da affrontare, forse più che l’adozione delle necessarie tecnologie, è l’aspetto culturale e organizzativo delle imprese in tema di cyber security. Lo sottolinea lo stesso report dell’Osservatorio che, a proposito di scelte organizzative a livello macro, conferma una consapevolezza organizzativa carente: secondo quanto emerso, nel 40% delle organizzazioni non esiste una specifica funzione Information security, che è posta sotto l’It, e il responsabile della sicurezza è lo stesso chief information officer. “In più di un quarto delle organizzazioni intervistate, inoltre, esiste una funzione esterna ai sistemi informativi, ma la figura responsabile della sicurezza (Ciso o ruolo equivalente) riporta comunque all’It (27%)”.
Sono ancora poche le organizzazioni che adottano una configurazione differente, in cui la funzione information security, esterna e indipendente dall’information technology, riporta a una diversa divisione aziendale (corporate security, risk management, legal, compliance ecc. – 17%) oppure direttamente al board (16%). La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione: oltre la metà delle realtà intervistate ritiene che il modello organizzativo adottato non rappresenti una configurazione ottimale per un’efficace gestione dell’information security.
Se si considerano le Pmi, a proposito di assetti organizzativi, il 43% delle realtà italiane dichiara di avere un presidio interno in ambito sicurezza informatica, percentuale che raggiunge il 54% tra le imprese da 50 a 249 addetti. Tuttavia, nella gran parte dei casi non si tratta di un vero e proprio responsabile della sicurezza informatica, quanto piuttosto di una figura di riferimento interna, a cui tipicamente viene affidata la gestione tecnologica degli strumenti in uso. Il 44% delle piccole e medie imprese ha inoltre definito internamente una figura che presidia il tema della privacy e protezione dei dati, eventualmente con il supporto di consulenti esterni. Tra le medie imprese, questa percentuale raggiunge il 53%. Emerge anche nelle aziende più piccole la centralità della gestione del fattore umano: le aziende che hanno attivato corsi online o in aula sulla sicurezza informatica sono passate dal 33% del 2018 al 54% nel 2019.
Il report dell’Osservatorio, sintetizzando la situazione, sottolinea che una Pmi su tre utilizza degli strumenti di protezione, ha identificato una figura responsabile della tematica e svolge attività di formazione dei dipendenti per provare a gestire il fattore umano. Questa percentuale sale al 40% tra le medie aziende. Dall’altro lato, più della metà delle aziende dai 10 ai 249 addetti non gestisce il tema dell’information security o lo riduce all’acquisto di singole soluzioni tecnologiche.
