Automazione Industriale: affidabilità dei servizi e cyber security

di Filippo Novario, Dottore di ricerca e già Docente a contratto per università nazionali ed internazionali di Informatica Giuridica e Forense; Senior Consultant per enti pubblici, privati ed enti di certificazione internazionale nei campi della Cybersecurity, Informatica Giuridica, Digital Forensics e Hacking; Direttore scientifico della banca dati online IGFWeb, Giappichelli Editore; docente Ethos Academy.

L’industria è sempre più informatizzata negli uffici amministrativi e commerciali, ma ad oggi anche nelle fasi di produzione. Qualunque bene o servizio mostra nella sua genesi un passaggio digitale, legato spesso all’automazione industriale. La digitalizzazione delle procedure produttive comporta la loro messa in sicurezza, per garantirne fruizione e sicurezza degli utenti, attraverso tecniche di cyber security da adattarsi al caso concreto.

L'attacco hacker disposto i giorni 12 e 13 maggio 2017, attraverso il “cryptowarm” Wanna- Cry, ha riportato in primo piano l’esigenza di sicurezza digitale-telematica a livello mondiale. Il ransommware mirava a sospendere la fruizione dei dati presenti sui device infettati, allo scopo di ottenere denaro mediante un “riscatto”. L’attacco era veicolato attraverso una vulnerabilità digitale già rilevata da aziende del settore ICT, sia di prodotto sia di sicurezza informatica, per cui erano già state indicate procedure di difesa attraverso l’aggiornamento di software, sistemi operativi e antivirus. La strategia era quella di colpire un punto sensibile conosciuto, confidando nel mancato aggiornamento dei sistemi da parte degli utenti: strategia di fatto vincente. Commenti a caldo sull’accaduto hanno stigmatizzato il mancato aggiornamento di sistemi informatici e antivirus, in particolare a fronte delle affermazioni dell’europarlamentare Andreas Schwab, in quanto “atto di negligenza o di ingenuità incredibile”. Se in linea di principio è possibile condividere questo punto di vista, devono essere operati dei distinguo. Per quanto concerne i sistemi digitali-telematici afferenti aree aziendali amministrative e commerciali, il mancato aggiornamento dei sistemi può certamente ritenersi un errore grave, se non gravissimo. Questo nonostante gli aggiornamenti di vulnerabilità debbano sempre essere soggetti a controlli di sicurezza e compatibilità tecnica con i sistemi informatici aziendali. Risulta infatti rischioso prevedere una loro installazione “automatica e di default”, a fronte invece di una selezione ponderata delle cosiddette patch utili, al fine di scongiurare rischi d’interruzione dei servizi. Per quanto concerne invece i sistemi produttivi, che presentano ormai invasivi profili digitali e telematici, l’aggiornamento dei sistemi informatici e la presenza di software antivirus devono essere ponderati secondo due variabili: la sistematicità del servizio e la sua sicurezza.

SICUREZZA NELL’AUTOMAZIONE

L’automazione industriale utilizza tecnologie, fondate su elementi digitali-telematici, per il controllo di macchine e processi industriali, riducendo l’intervento umano mediante l’esecuzione di operazioni ripetitive e complesse orientate alla continuità e alla sicurezza operativa. La continuità operativa rappresenta la garanzia che i sistemi produttivi siano funzionanti sistematicamente per un lasso di tempo radente il 100% della loro attività, dunque con interruzioni limitate o quasi nulle. La sicurezza operativa, invece, rappresenta la sicurezza della produzione, intesa quale garanzia di risultato e di sicurezza degli operatori a contatto con i macchinari automatizzati. Le due prerogative suindicate sono perseguite attraverso l’utilizzo di sistemi informatici testati e funzionalmente costanti, assemblati per svolgere in modo performante il compito loro assegnato. La fase di messa in cyber sicurezza dei sistemi informatici sottesi all’automazione industriale, per consuetudine, è di competenza degli utenti che acquistano il sistema produttivo automatico, garantito efficiente solo alle condizioni di utilizzo del produttore e in assenza di barriere digitali-telematiche di sicurezza. Le prerogative di continuità operativa e di sicurezza implicano, dunque, alcuni vincoli concernenti l’aggiornamento dei sistemi e l’utilizzo di software antivirus, al fine di garantire la performance delle macchine. Vincoli però non così stringenti.

STRATEGIE DI DIFESA

La traslazione della cyber sicurezza in capo alle aziende acquirenti le tecnologie per l’automazione industriale consente ampi margini di manovra, se compresa come un momento tecnico-giuridico di collaborazione tra aziende, e può avere ad oggetto alcuni passi, in via generale.

1) Indicazione da parte dell’azienda acquirente riguardo le prerogative di sicurezza informatica necessarie per l’utilizzo in operatività del mezzo d’automazione industriale. Favorire l’elaborazione tecnica della macchina partendo dall’ambiente in cui sarà utilizzata facilita la successiva integrazione con le infrastrutture digitali-telematiche dell’ente acquirente.

2) Indicazione da parte dell’azienda sviluppatrice circa le possibilità di configurazione e sicurezza informatica della macchina. La disponibilità ad effettuare configurazioni personalizzate, hardware e software, è un elemento essenziale per garantire la cyber sicurezza del processo produttivo.

3) Analisi congiunta – sviluppatore/produttore - dell’infrastruttura da creare e della sua integrazione in sicurezza con l’infrastruttura esistente. È il momento cardine dell’attività di cyber security, poiché consente l’adattamento e la scelta di soluzioni tecniche di sicurezza per una risposta concreta nell’attività lavorativa del mezzo meccanico automatizzato.

4) Vulnerability test della sicurezza dei sistemi informatici a monte dello sviluppo della macchina. L’informatica consente la disposizione di test di sicurezza e vulnerabilità in ambienti digitali-telematici identici, concedendo un momento tecnico essenziale per la concreta ponderazione delle scelte effettuate nella fase di analisi del progetto.

5) Assessment ciclici per la sicurezza delle infrastrutture, di automazione industriale e aziendali. Nonostante lo sviluppo del progetto rispetti i quattro passaggi precedenti, poiché l’informatica è una materia in costante evoluzione e la sicurezza informatica non può essere garantita, la disposizione di controlli tecnico- procedurali, disposti in concreto sulle infrastrutture ICT d’automazione industriale e non, possono consentire l’individuazione di questioni problematiche e soluzioni.

LE SOLUZIONI

Per quanto riguarda le possibili soluzioni nell’ambito della cyber security, queste possono essere ricondotte a quattro macro categorie:

1) Aggiornamento dei sistemi. Attività da concordare con l’azienda sviluppatrice della macchina d’automazione industriale, a fronte delle infrastrutture ICT e di sicurezza informatica dell’ente acquirente.

2) Cristallizzazione dei sistemi. Congelamento digitale dei sistemi informatici e telematici d’automazione industriale, al fine di scongiurare manipolazioni da parte di virus o accadimenti accidentali.

3) Monitoraggio dei sistemi. Osservazione sistematica e constante dei sistemi di automazione industriale, al fine di individuare falle nella sicurezza o anomalie dei componenti software-hardware.

4) Policy e procedure. Elaborazione di linee guida e procedure per l’utilizzo sicuro dei sistemi informatici, attraverso indicazioni coerenti e applicabili in concreto dagli utenti.

Le soluzioni indicate possono essere disposte congiuntamente, stante l’analisi preventiva e l’elaborazione di una strategia di difesa dell’ente e delle sue infrastrutture digitali-telematiche, d’automazione industriale e aziendali. Seguendo le linee guida indicate, nonostante l’industria sia sempre più informatizzata anche nell’area produttiva, spesso con vincoli di non aggiornamento e stabilità dei sistemi di automazione industriale, è possibile la messa in sicurezza delle infrastrutture ICT produttive attraverso tecniche di cyber security, adattandole ai casi concreti così da non limitare la performance.