Industria 4.0: rischi ed effetti collaterali

Da decentralizzazione del traffico di dati richiede nuove strutture e tecnologie per le reti e la gestione dei dati. Solo in termini di prestazioni e tempi di latenza, l'IT legata ai processi si trova ad affrontare esigenze elevate: da un lato, perché volumi sempre maggiori di dati devono essere elaborati rapidamente, e dall'altro, perché i requisiti di disponibilità e riservatezza delle informazioni da elaborare sono in aumento. Pertanto, ci saranno sicuramente obiettivi contrastanti tra la sicurezza IT e la disponibilità dell'impianto.

Sicurezza e obiettivi contrastanti
Un problema importante dei sistemi di controllo industriali (ICS: sistema IT incl. reti), per esempio, è che non si è ancora stabilita una cultura della sicurezza (rispetto all'IT commerciale). I sistemi IT legati ai processi (per esempio il firmware) fanno parte degli impianti e hanno orizzonti temporali molto più lunghi dell'IT commerciale (fino a 20 anni).

La sicurezza informatica non è di solito l'obiettivo primario del produttore di impianti. D'altra parte, l'operatore dell'impianto spesso non ha una conoscenza dettagliata delle tecnologie IT che usa. L'ufficio federale tedesco per la sicurezza dell'informazione (BSI) ha sviluppato il "ICS Security Compendium" per affrontare questo problema e per sostenere gli operatori di impianti industriali nella sicurezza dei loro sistemi di produzione e di controllo. Il compendio fornisce una panoramica delle principali minacce ai sistemi di controllo industriale (minacce organizzative, errori umani e atti intenzionali).

Inoltre, vengono presentate le migliori pratiche di sicurezza per la pianificazione, la progettazione e l'implementazione di ICS, così come una metodologia per la verifica dei sistemi ICS. I sistemi SCADA (supervisory control and data acquisition) che sono frequentemente utilizzati sono l'interfaccia tra i sistemi host e le reti ICS.

Nuova dimensione nel controllo
Le reti ICS monitorano e controllano i componenti ICS. Fino ad oggi, questi sistemi SCADA sono stati situati su piattaforme proprietarie con una propria infrastruttura di comunicazione e nessuna connessione Internet. Per quanto riguarda l'Industria 4.0, gli specialisti IT si sforzano ora di creare una rete completa (Internet) per questi sistemi, ma questo li esporrà anche ai classici pericoli della sicurezza informatica in futuro. Tuttavia, i precedenti sviluppatori non potevano prevederlo e quindi questi sistemi non sono mai stati progettati per questo e gli scenari di minaccia presentati sopra non sono mai stati considerati. Inoltre, quando si controllano impianti di produzione completi, i valori dei sensori devono essere disponibili in tempo reale; perché in caso di malfunzionamenti (ad esempio, attacco di virus), l'impianto di solito non può essere semplicemente tolto dalla rete senza mettere in pericolo la sicurezza operativa (ad esempio, industria chimica, centrali elettriche). Qualche anno fa, l'esempio del virus "Stuxnet" introdotto con successo negli impianti nucleari iraniani ha mostrato come potrebbe apparire un tale malfunzionamento: Le centrifughe di uranio sono entrate molto rapidamente nella gamma di velocità rossa. Per inciso, Stuxnet aveva usato lacune di sicurezza nei sistemi di controllo di Siemens (Simatic S7).

Tuttavia, nonostante le minacce potenziali o tali incidenti menzionati come esempi, l'automazione, il controllo dei processi e i sistemi di controllo dei processi non sono attualmente ancora al centro della sicurezza informatica. Questo deve cambiare radicalmente per Industria 4.0! La dissoluzione delle "applicazioni isolate" e il forte collegamento con un gran numero di altri sistemi, compreso l'ambiente d'ufficio, porta anche a nuovi requisiti per l'ambiente di rete. Non solo la disponibilità della rete, ma anche la segmentazione della rete come misura di protezione deve essere considerata dalle aziende. I concetti di autorizzazione dell'accesso, le procedure di autenticazione, l'uso di protocolli di rete sicuri, per citare solo alcuni esempi, devono essere definiti e implementati. Con il crescente collegamento in rete e lo scambio di grandi quantità di dati nell'Industria 4.0, i requisiti di sicurezza in ogni azienda devono quindi aumentare. Tuttavia, le misure per aumentare la sicurezza degli attacchi sono state finora implementate solo lentamente e spesso solo come soluzione ad aspetti parziali, anche se l'ulteriore sviluppo verso Industria 4.0 richiede approcci che garantiscano una protezione completa delle strutture di sistema altamente collegate in rete, nonché lo scambio di dati e informazioni. Operativamente, anche il patching regolare e tempestivo rappresenta una sfida. Il supporto spesso inadeguato del produttore e la criticità dei sistemi (disponibilità) rendono ancora più difficile la gestione regolamentata delle patch. Una profonda gestione del rischio, anche durante la pianificazione e l'implementazione dei sistemi IT, è un prerequisito per una gestione della sicurezza di successo.

Lo standard ISO/IEC 27001
Per garantire la sicurezza delle informazioni nell'Industria 4.0, è fondamentale un approccio proattivo, come già previsto oggi dallo standard ISO/IEC 27001, che ha un approccio olistico. Come sistema di gestione, non si concentra solo sull'implementazione delle misure di sicurezza, ma richiede anche l'attenzione del management e il costante adattamento per migliorare il sistema. L'ISO/IEC TR (Information security management guidelines based on ISO/IEC 27019 for process control systems specific to the energy utility) è un'utile aggiunta a questo catalogo generico di requisiti per l'industria energetica, fornendo assistenza nell'implementazione di misure tecniche e organizzative in aggiunta ai requisiti della ISO/IEC 27001.

Non è sufficiente implementare funzioni di sicurezza dopo il fatto se ci sono già stati incidenti di sicurezza. Il tema deve essere considerato fin dall'inizio - adattato ai processi dell'azienda, integrato nel sistema di gestione. Inoltre, con il crescente networking e la cooperazione di diversi partner, è necessaria una forte fiducia reciproca. Concetti, architetture e standard affidabili nel campo della sicurezza informatica dovrebbero sostenere questa base di fiducia, perché i produttori e gli operatori hanno bisogno della certezza che il loro know-how, la proprietà intellettuale e i dati siano protetti

Altre sfide
La sfida è quindi quella di attrezzare i sistemi IT esistenti per i nuovi requisiti dell'Industria 4.0 e allo stesso tempo sviluppare soluzioni per i nuovi impianti. Le precauzioni a livello aziendale sono tanto più importanti quanto più resta da dire: Attualmente non esiste una sovranità tecnica o digitale nel campo della sicurezza informatica né a livello tedesco né a livello europeo. Per questo motivo, il governo tedesco vuole rafforzare la fiducia nella sicurezza informatica, almeno a livello nazionale. Un progetto di riferimento del BMBF sulla protezione della produzione da attacchi cibernetici e spionaggio serve a questo obiettivo ed esplicitamente per quanto riguarda Industria 4.0. Le questioni di standardizzazione giocheranno un ruolo centrale nello stabilire una sovranità tecnologica che protegga dalla criminalità informatica e garantisca dati sicuri, al fine di fornire tecnologie verificabili e affidabili. I sistemi di controllo industriale non sono mai stati progettati per soddisfare i requisiti di Industria 4.0. Sviluppare un'informatica altamente disponibile e, soprattutto, sicura è quindi la principale sfida tecnica per il mondo digitalizzato e altamente connesso di domani.

Conclusione
Devono essere creati standard elevati per la sicurezza delle informazioni per garantire la protezione delle informazioni e dei dati. La sicurezza dei sistemi e la protezione dei dati sono quindi questioni centrali trasversali di Industrie 4.0 e ogni azienda dovrebbe sviluppare in anticipo misure adeguate per questo. Una delle indicazioni qui può essere ISO/IEC 27001. La sicurezza informatica e la sicurezza della comunicazione sono quindi i punti nevralgici! È qui che si decide se Industria 4.0 sarà un successo o meno.