GRANDI RISCHI / CYBERCRIME
industry-4-0-una-rivoluzione-che-deve-avvenire-in-sicurezza
Società e Rischio - Insurance Connect srl

Industry 4.0: una rivoluzione che deve avvenire in sicurezza

Cambiare il sistema di produzione in maniera più efficiente aumenta la complessità tecnologica, e con essa l’esposizione al rischio cyber. È necessario accrescere la consapevolezza di imprese e fornitori, ma anche formare tecnici maggiormente orientati alle esigenze delle smart factory

Il prossimo futuro industriale sarà 4.0, uno scenario che si sta manifestando in tutto il mondo (negli Usa lo chiamano Smart Factory) e che in Italia sta traendo beneficio dagli incentivi governativi, grazie ai quali sono stati già avviati una serie di progetti. Ma in tempi di attacchi cyber sempre più invasivi, la sicurezza dei sistemi aziendali è il vero tema dell’Industry 4.0. Stefano Zanero, professore presso il dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano, guida un team specializzato nella ricerca di vulnerabilità dei sistemi cyber-fisici.

Più controllo e più qualità

L’Industria 4.0 è uno scenario a tendere, con stabilimenti automatizzati in cui la parte umana è riconvertita ad un ruolo di controllo e supervisione. “L’aspetto che identifica l’Industria 4.0 non è nella pura automazione ma nella possibilità di integrare le macchine automatiche e i sistemi informativi aziendali allo scopo di gestire in modo informatizzato tutto il processo produttivo, con macchine in grado di adattare la propria attività sulla base degli input ricevuti anche per singoli pezzi”. I vantaggi per le imprese sono notevoli, soprattutto in termini di flessibilità e di controllo – anche qualitativo - della produzione. È evidente però che una tale pervasività dei sistemi informativi aumenta il rischio cyber rispetto all’oggi: “L’interconnessione tra sistemi di fabbrica e sistemi enterprise rappresenta il passaggio dai macchinari collegati tra loro da una rete interna ad un sistema più performante in cui sono collegati alla rete esterna. In questo modo però viene ampliata la superficie d’attacco perché la rete esterna risulta maggiormente vulnerabile. Lo scopo della Cyber Security è quello di accompagnare questa evoluzione perché avvenga in maniera controllata, attraverso una progettazione opportuna finalizzata alla riduzione del rischio”.

Un insieme di macchine autonome collegate ad una rete può rappresentare una ghiotta preda per i malintenzionati del web, con la crescita di reati resi possibili dalla vulnerabilità dei sistemi: “Il più elevato rischio concreto è il ransomware, poi la sottrazione di segreti industriali; un altro rischio è rappresentato da forme di boicottaggio determinate da intromissioni che potrebbero aumentare il numero di difetti non rilevabili e danneggiare l’immagine e il business del produttore”. 


Cyber Security: un sistema complesso

La cyber security rappresenta quindi un elemento di ulteriore complessità ma strutturale rispetto all’Industria 4.0: “Ci sono due elementi in gioco: da un lato la responsabilità del produttore del macchinario, che deve fornire una macchina predisposta ad essere configurata in maniera sicura, dall’altro lato la sicurezza del sistema nel suo complesso, cioè l’unione delle macchine e della rete a cui sono connesse”. Solo l’insieme di questi due elementi può determinare il livello di sicurezza complessivo, a cui si aggiunge l’importante aspetto della manutenzione dei sistemi, che nell’Industry 4.0 non riguarda le sole macchine ma anche i sistemi operativi: “Non siamo in presenza di device che vengono periodicamente aggiornati in modo automatico tramite le patch fornite dal produttore, in questo caso gli aggiornamenti non sono automatici ed è necessario mantenere monitorati i sistemi e i robot, programmandone la manutenzione. Nel nostro gruppo di ricerca abbiamo fatto delle prove di sicurezza sui robot, evidenziando errori che abbiamo segnalato ai produttori, i quali hanno velocemente operato delle correzioni”.
La complessità del sistema che si crea con l’aumento della superficie d’attacco, determina uno scenario d’impatto potenziale che è elevato, e che per questo richiede un’accurata analisi del rischio: “La trasformazione deve avvenire in una logica di vantaggio concreto per l’azienda, che renda plausibili investimenti in sistemi di sicurezza adeguati. La prima ed essenziale forma di difesa avviene proprio a livello di progettazione e di configurazione, per questo il passaggio da sistema produttivo tradizionale ad Industria 4.0 deve avvenire per gradi”.


Serve investire nella formazione

Un aspetto non irrilevante riguarda le competenze professionali necessarie a supportare un’evoluzione 4.0 in tempi relativamente brevi: “Le competenze attualmente sono nei centri di ricerca e nelle università, molte sono nelle aziende produttrici, ma mancano le professionalità nel mondo del lavoro e nel mondo dei servizi”. Il passaggio che sta avvenendo vede all’interno delle aziende tecnici non sufficientemente formati alle nuove esigenze di sicurezza: “L’azienda è facilmente in grado di valutare se gli investimenti adempiono ai requisiti funzionali che ci si erano prefissi; invece, per requisiti non funzionali come sicurezza o affidabilità, è difficile per l’imprenditore e per il suo team valutare concretamente il livello raggiunto, anche perché tale livello non dipende solo dal produttore, ma anche dalla messa in opera e dalla configurazione dei macchinari”. Il driver per l’adeguamento delle competenze è rappresentato quindi dalle imprese fornitrici di tecnologia, oltre che dal mondo universitario: “Noi ricercatori abbiamo prima di tutto una responsabilità di diffondere la consapevolezza del rischio, sia tra le imprese utenti sia tra i produttori, come è avvenuto recentemente con un nostro articolo sulla vulnerabilità dei robot. L’università ha inoltre oggi il compito di formare figure con le opportune capacità professionali e conoscenze interdisciplinari di security, networking e automazione industriale”.

Articoli correlati