Misure protettive appropriate potrebbero essere guidate da un unico modello di governance e dall’introduzione di un framework aziendale dedicato alla sicurezza
Intrusioni, perdita di dati e caduta di sistemi o reti dovuti ad attacchi software sono argomenti all’ordine del giorno per chi si occupa di presidiare la continuità operativa aziendale. Di come affrontare il problema della sicurezza si è parlato durante il recente Security Summit, organizzato a Milano da Clusit, l’associazione italiana per la sicurezza informatica, con particolare attenzione ai sistemi di controllo e protezione all’interno del mondo industriale, che, invece, fino a qualche anno fa, costituivano una realtà compartimentata, operante in modalità stand alone, senza linee di comunicazione con altre infrastrutture telematiche o informatiche.
Una testimonianza in merito è venuta da Giancarlo Caroti, responsabile sicurezza logica, direzione Sicurezza aziendale di Terna: «Negli ultimi dieci anni i sistemi di controllo degli electric grid sono stati progressivamente connessi ad altre infrastrutture informatiche e telematiche. Queste linee di comunicazione con l’ambiente corporate hanno aperto quelli che prima erano degli enclavi, migrandoli su piattaforme standard e protocolli Ip, aumentando la potenziale esposizione ad attacchi elettronici e incidenti». «La vulnerabilità – gli ha fatto eco Daniele Balasso, responsabile Engineering Nuovo Polo Tecnologico Italia di Pirelli – fa parte dell’evoluzione tecnologica ma integrazione e standardizzazione hanno portato a una debolezza dei sistemi con conseguenze gravi non solo per l’efficienza produttiva. Ci vogliono nuovi criteri di manutenzione tali da consentire la costante disponibilità dei sistemi di controllo, una velocità di reazione in tempo reale e la piena integrità dei dati».
Il problema è che i sistemi di controllo si declinano su diversi livelli di presidio che non hanno molti punti in comune, come si potrebbe invece credere, in primis l’architettura di rete. L’elenco comprende, poi, i requisiti di disponibilità, nel senso che mentre spesso l’It ha un’attività più intensa negli orari d’ufficio con possibilità di gestire pause per eventuali interventi di manutenzione, nel caso dei sistemi di controllo l’attività è 24x7gg, con una necessità nei tempi di risposta in real time. La difficoltà di installare le patch porta così a congelare i sistemi di controllo, bypassando gli aggiornamenti fino alla totale sostituzione del sistema. I sistemi di controllo, inoltre, a differenza di quelli It, non necessitano di un alto throughtput di rete anche se è necessario garantire le prestazioni attraverso telegrammi di dati brevi e frequenti. Un altro problema può derivare dal fatto che, spesso, il personale It non è perfettamente skillato su questi aspetti tecnologici e il presidio causa un disallineamento nella governance. Differenti sono anche i software di sistema e le piattaforme operative: spesso applicazioni e hardware sono “speciali” e forniti in blocco, per cui è impossibile aggiornare l’uno o l’altro secondo le richieste della sicurezza It; cambiare anche solo un componente, come un pc, può far decadere la garanzia. Per questi motivi, il ciclo di vita per i sistemi di controllo può superare i dieci anni, contraddicendo i requisiti stringenti di affidabilità e ridondanza richiesti. Inoltre, le risorse elaborative, spesso basate su vecchi processori, rendono incompatibili alcune pratiche di sicurezza allineate alle logiche dell’It.
La compliance, allora, può costituire una soluzione virtuosa perché, come ha sottolineato Emanuele Barbaria, manufacturing information systems e quality compliance manager di Zambon Group, «l’importanza di un’evidenza documentale, la convalidazione dei sistemi secondo standard condivisi e l’uso di un linguaggio comune contribuiscono a definire le responsabilità a una gestione controllata dell’evoluzione del processo, impattando positivamente sulla filiera e offrendo una migliore affidabilità della produzione, il che contribuisce a mantenere la qualità della produzione nel tempo».
L’ipotesi suggerita è quella di puntare a un modello unico di governance, un information security framework aziendale capace di adattarsi ai sistemi di controllo e di guidare la selezione e la messa in atto di misure di protezione appropriate, adeguate e ritagliate in base al contesto aziendale. «Oggi esistono molti standard e norme, con considerevoli sovrapposizioni – ha commentato Fabio Guasconi, docente Clusit – e il rischio che si generi confusione. Per fonteggiare le sfide legate alla continua innovazione tecnologica c’è bisogno di adottare un approccio più strutturato e completo, impostando una security govenance che includa criteri comuni nella sicurezza in casa e nell’adozione di standard integrati».
