L’introduzione di una nuova tecnologia all’interno del mondo manifatturiero porta con sé possibili diffidenze e scalini all’ingresso, in particolar modo sul tema dei rischi di sicurezza e le relative contromisure. Per questo, in un contesto che fa dell’estrema affidabilità un elemento chiave, è necessario comprendere fino in fondo gli innumerevoli benefici che le best practice sulla cybersecurity possono introdurre.
Così per evitare l’effetto boomerang legato all’introduzione della tecnologia Edge nel mondo del Manufacturing è fondamentale pensare, fin dall’inizio, alla strategia di sicurezza dell’intera soluzione e adottare misure che la abilitino in maniera completa per evitare di trovarsi poi a contare i danni legati ai nuovi rischi che questa innovazione introduce assieme ai tanti benefici che apporta a chi decide di investirvi. Con gli strumenti e l’approccio corretto si minimizzano le possibilità di subire un attacco informatico senza limitare l’utilizzo dell’Edge, anzi, potenziandolo.
Le nuove sfide della security in ambienti connessi
Già con la crescente diffusione di dispositivi IoT e la conseguente convergenza del mondo della produzione con quello dell’IT, si è assistito ad un notevole ampliamento della superficie di attacco di cui gli hacker non hanno tardato ad approfittare, dando il meglio di sé proprio nel periodo della pandemia. Secondo il recente rapporto Clusit 2021, infatti, se il numero di episodi gravi nel primo semestre è aumentato del 24% rispetto allo stesso periodo del 2020, quello di attacchi legati ad oggetti connessi da remoto o in comunicazione con le infrastrutture ha segnato un + 40%: più alta è la connettività degli ambienti violati, più sono potenzialmente redditizi e quindi bersagliati.
“In questo nuovo contesto di forte connessione tra produzione e IT, l’OT si trova ad affrontare le stesse minacce informatiche dell’IT – spiega Marcello Scalfi, Sales Specialist Team Leader Digital Connectivity and Power, Siemens– oggi è necessario quindi supportarlo con soluzioni e strategie adeguate. Oltre ai benefici legati ai dati raccolti dalle macchine ed elaborati dai dispositivi IoT on edge che spaziano dalla manutenzione predittiva, all’analisi di dati ad alta frequenza real time, alla possibilità puntuale di minimizzare lo spreco di materiale e di tempo durante la produzione, ci sono anche alcuni punti di attenzione sulla sicurezza da tenere ben presenti implementando questa tecnologia all’interno di ambienti produttivi”.
Amplificare i punti di connessione significa amplificare anche lo scambio di dati e tra le nuove sfide dell’OT c’è quella di far sì che essi avvengano sempre in modo certificato e autorizzato per evitare intromissioni che possono portare ad analisi e decisioni errate. Essenziale anche riuscire ad implementare delle soluzioni di sicurezza “standard, scalabili, ma soprattutto integrate e omogenee”, spiega Scalfi sottolineando i rischi che si celano dietro a quelle che nascono da una aggregazione improvvisata di vari accorgimenti e patch prive di una visione complessiva delle esigenze di protezione del mondo della produzione. Sempre legata alle soluzioni di sicurezza anche la terza sfida che è quella di rispondere rigorosamente agli standard internazionali implementando strategie che siano frutto di un lavoro concordato seguendo linee guida internazionali basate sulle normative vigenti come ISO 27001, IEC 62443 e Charter of Trust, a disposizione di chiunque e mai legate al singolo vendor o alla singola soluzione.
Per dare una concreta risposta ad un OT che vede queste sfide come un potenziale ostacolo all’accesso ai benefici dell’IoT e dell’Edge è necessario compiere una decisiva evoluzione nell’approccio alla sicurezza per continuare a garantire la protezione dei propri dati in questa nuova situazione di connettività. Va fatto quindi un passo in avanti, proteggendo da attacchi informatici, sia interni che esterni, l’architettura di edge computing e la capacità di calcolo portata vicino a macchine, spesso inserita in un contesto eterogeneo e multi vendor.
Ciò che serve, secondo Scalfi, è una sicurezza completa e strutturata, “prerequisito fondamentale per preservare la produttività”: per completa si intende “inserita in uno stack in grado di proteggere dalle macchine alla rete industriale e agli impianti di produzione” mentre con il termine strutturata si riprende una delle sfide citate, quella di non procedere mai con singole misure ma “inserirle sempre in un più ampio contesto di protezione basato su best practice definite da standard internazionali”.
Best practices per un manufacturing che punta sull’Edge
I nuovi rischi da cui il settore deve proteggersi, mentre coglie al meglio i benefici dell’innovazione tecnologica implementata, riguardano tutti i diversi elementi dell’architettura Edge stessa.
Gli Edge device, ad esempio, che raccolgono i dati dalle macchine e li processano localmente, possono essere manomessi, se non efficacemente protetti, oppure diventare “complici” di vettori di attacco esterni se non utilizzano protocolli sicuri e crittografati per lo scambio di dati con le macchine e con sistemi di analisi esterni, e per l’orchestrazione centralizzata tramite una piattaforma di Edge Management. Questo strumento, che gestisce in modo strutturato tutti gli edge device, può evidenziare dei rischi a livello di sicurezza. Ad accedervi infatti sono sia i suoi gestori, sia le app rilasciate sui device, sia sviluppatori di terze parti che le inseriscono nella piattaforma dall’esterno: “in questo caso l’accesso va regolamentato attraverso un sistema operativo sicuro con misure di integrità intrinseche fornite da direttive presenti già all’interno dei OS vigenti – spiega Scalfi – serve inoltre uno storage sicuro per evitare intromissioni esterne e una catena di scambio dati protetta sempre da protocolli crittografati e certificati, come HTTPS o MQTT con TLS 1.2”.
In merito all’orchestrazione degli edge device, elemento che differenzia le soluzioni sul mercato, notiamo che è sempre in agguato il rischio legato a pratiche “fai da te”: la tentazione, più che comprensibile, di “gestire gli edge device con una soluzione custom c’è, ma quando l’architettura diventa articolata le complessità operative e di security aumentano, ed è importante affidarsi a soluzioni strutturate erogate da provider in grado di assicurare che siano sempre aggiornate e compliant alle ultime patch di sicurezza”, afferma Scalfi. Una presa di coscienza che può risparmiare molti danni ad un’azienda che punta sulle tecnologie Edge per potenziare la propria competitività.
Sempre dal punto di vista dell’end user, le best practice per salvaguardare al meglio il proprio business riguardano sia l’esposizione alla rete internet delle macchine all’interno sia le linee guida emesse dall’IT. “Nel primo caso è molto importante che sia i device che le piattaforme che li gestiscono siano on premises con direttrici di comunicazione solo in uscita dal campo verso la rete internet per evitare la bidirezionalità e quindi la possibilità di intrusioni per attività di manipolazione – spiega Scalfi – e per le linee guida va sempre considerato il concetto di protezione della cella produttiva già prevista da standard industriali quali IEC62443 e garantita dall’uso di firewall che possono permettere o bloccare transazioni non previste, unita all’uso di protocolli nativamente sicuri”.
Sempre nel mondo del manufacturing, gioca un ruolo fondamentale anche dal punto di vista della sicurezza il costruttore di macchinari, responsabile dell’implementazione di “una strategia di difesa strutturata che prevede l’installazione di VPN tra sorgente che rilascia l’app e piattaforma di management, unita al concetto di cella di sicurezza, l’unico modo per garantire che siano installate solo app certificate e che ogni transazione non prevista venga bloccata”.
Una differenza di approccio alla sicurezza in contesti Edge esiste anche a seconda che la piattaforma di management sia on premises o esposta. Nel primo caso si ha uno scenario Zero-Trust in cui sono fondamentali firewall e VPN per proteggere le comunicazioni con i device mentre nel secondo “diventano necessarie soluzioni come Audit trail, DDOS protection e firewall applicativi integrati per prevenire attacchi sofisticati . Sottovalutare questi aspetti – insiste Scalfi – porta ad una proliferazione di attacchi di vario genere, compresi malware, trojan egli stessi DDoS”.
La sicurezza invisibile ma efficace di Industrial Edge
E’ evidente che la sicurezza impatti sul processo di implementazione della tecnologia Edge in maniera significativa e un’architettura end to end per il manufacturing, come Industrial Edge di Siemens, è stata ideata partendo da questa consapevolezza in modo da essere, da un lato, altamente flessibile e adatta sia a scenari di micro installazione che a reti distribuite, ma allo stesso tempo anche rigorosamente aderente agli standard internazionali di sicurezza (tra cui ISO 27001 IEC 62443 e Charter of Trust) e alle migliori best practice.
Offrendo nativamente una piattaforma di management sicura all’interno della propria soluzione, Siemens è in grado di assicurare ad esempio l’associazione univoca tra edge device e edge management, un requisito essenziale per garantire scambi sicuri come lo è anche il rispetto di tutti gli step di autenticazione tramite scambio di certificati signed “per garantire che il deployment di un app avvenga attraverso un canale sicuro e che ci sia coerenza tra quello si sta scaricando e ciò che si ha acquistato, per evitare manipolazioni di dati”.
Sempre dal punto di vista della sicurezza infrastrutturale, Scalfi ricorda, anche come con Industrial Edge le piattaforme siano continuamente mantenute attraverso step di patch e aggiornamenti e il sistema operativo sia disegnato fin dall’inizio con codice sicuro per evitare che possa essere alterato, ma l’architettura aperta di Industrial Edge apre la scena anche a soluzioni on edge di cybersecurity che possono essere affiancate alle best practice infrastrutturali potenziandole.
“In questo caso non si analizzano i dati di processo ma quelli della rete industriale per vedere cosa sta succedendo all’interno e agire in modo strategico” spiega Scalfi. Industrial Edge già permette infatti di installare applicazioni create specificamente per soddisfare requisiti di cybersecurity in grado ad esempio di processare una grande mole di transazioni su reti industriali liberando firewall e altri elementi di controllo da tale compito, di abilitare funzionalità avanzate di anomaly detection e intrusion prevention sulla rete industriale per prevenire accessi indesiderati, transazioni non previste o manipolazioni, e di creare un contesto Zero-Trust in cui viene autorizzato l’accesso solo ad app specifiche verificando identità dell’utente e del contesto.
Per conoscere meglio questo aspetto di cybersecurity di Industrial Edge e scoprire come si integra all’interno della soluzione stessa combinandosi con la sua capacità di sprigionare il potenziale legato ai dati raccolti su campo senza intaccarne minimamente l’efficacia, è possibile scaricare gratuitamente un whitepaper dedicato con tutti i dettagli.
