Mentre siamo ancora impegnati a sviluppare metodi per l’interconnessione, primo passo per la digitalizzazione del processo produttivo e principio base dell’Industria 4.0, una nuova fase è già alle porte. Si tratta dell’Industria 5.0 antropocentrica e collaborativa, che mette sul campo nuove sfide sul piano dei rischi cyber. Il tema è stato oggetto della tavola rotonda “Impatto della Cyber Security sui piani Transizione 4.0 e Industria 5.0” organizzata dal Clusit durante il Security Summit (15 – 17 marzo) con esperti, CIO e CISO di aziende italiane e moderata da Enzo Maria Tieghi del Comitato Scientifico di Clusit e referente per la security di ICS/OT/IIoT. Il confronto ha permesso di fare il punto su come i piani per la trasformazione digitale, tra cui quello più recente Transizione 4.0, abbiano inciso sulla sicurezza delle aziende e comprendere quali rischi di sicurezza dobbiamo aspettarci da un’industria sempre più umano-centrica, sostenibile e resiliente.
Il cambio di passo di Industria 5.0
In uno scenario industriale ancora in piena evoluzione, l’Unione Europea nel 2021 ha pubblicato un policy brief dal titolo Industry 5.0 Towards a sustainable, human-centric and resilient european industry che fa seguito ad altre due pubblicazioni. Il concetto di Industria 5.0 nel documento nasce per trainare il paradigma innovativo già presente nel 4.0 verso un’industria europea sostenibile, resiliente e incentrata sull’uomo.
“Un approccio human-centric significa soprattutto utilizzare un linguaggio naturale che si avvicina all’uomo e modelli che permettono di sfruttare la rete in maniera intelligente” spiega Edoardo Accenti, Sales Manager presso HPE Aruba Italia.
Un esempio sono le tecnologie di artificial intelligence in IT operations (AIOps) con capacità di monitoraggio e analisi basate su machine learning e di automazione della gestione IT/OT.
Una quinta rivoluzione industriale che pone presupposti e linee guida nel segno della continuità verso una transizione iniziata con Industria 4.0.
Il punto su Transizione 4.0: cosa è stato fatto per la sicurezza
La funzione di prevenzione e protezione della sicurezza informatica deve svilupparsi di pari passo con l’automazione. Ai cybercriminali basta un minimo punto debole per accedere a un dispositivo, penetrare nella rete o peggio, diffondere l’attacco in tutta la filiera produttiva.
“La security ha un costo, ma non rappresenta un aumento di costi se si considera che serve per non causare danni” afferma Michele Fabbri CISO presso De Nora S.p.A. Per la multinazionale italiana, l’investimento in cybersecurity è stato consistente e conforme ai principi di security by design, a cui si è aggiunta la scelta di cloud ibrido e la realizzazione di impianti ex novo per contrastare l’obsolescenza.
Il problema della vetustà delle infrastrutture produttive è stato oggetto di investimenti anche in A2A. Lo slancio verso la digitalizzazione nella società multiutility ha permesso di colmare un gap importante di sicurezza industriale. Significativa è stata l’introduzione di framework in ambiente OT come lo standard IEC 62443 per garantire la “safety” dell’impianto industriale insieme alla riservatezza del dato.
Obiettivo principale: mitigare i rischi di manomissioni e i danni accidentali. Compliance della normativa e investimento sul processo di distribuzione, ma anche un approccio olistico per sensibilizzare e infondere consapevolezza dei rischi sono stati fondamentali spiega Gaetano Sanacore Group Security&Cyber Defence OT Security Manager in A2A che conclude ”Occorre raggiungere la convergenza di due ambiti OT/IT, che devono parlarsi in un ambiente sicuro con regole certe e verificate”.
Il ruolo dell’innovazione per accelerare in sicurezza
Il piano di investimenti di Breton S.p.a. ha permesso l’introduzione di innovazioni per la lavorazione della pietra naturale tramite intelligenza artificiale. A ciò si sono aggiunti vari servizi, tra cui la possibilità di acquistare online pezzi di ricambio, l’accessibilità ai documenti relativi ai macchinari, l’introduzione di stampa 3D. La strategia di cyber security si è estesa a tutti i progetti in modo pervasivo. “Per noi – afferma Antonio Nardo, ICT Director & Privacy Officer di Breton SpA e Presidente CSA Cyber Security Angels – ha significato un beneficio economico e di accelerazione di un processo già iniziato”.
Security OT la sfida è sulle competenze
Mentre la direzione chiave è legata alla simbiosi tra IT e OT e la security si sta adattando a questa nuova situazione, mancano skill adeguate e personale. Lo sottolinea Enzo Maria Tieghi, così come uno studio del Politecnico di Milano incluso nel precedente rapporto Clusit, che ha evidenziato come il 52% delle aziende a livello industriale e di produzione non abbia persone in grado di ricoprire ruoli legati alla security OT.
Tutti i presenti concordano nella necessità di colmare un gap che parte dalla formazione poco attrattiva, troppo accademica e scarsamente pratica. “Occorre ragionare con gli enti di formazione per legarli a chi ha esperienza e organizzare stage e allo stesso tempo, i processisti di impianto che sono già sul campo devono colmare le lacune” afferma Michele Fabbri. “La confidenzialità negli impianti industriali è decisiva, chi ci lavora sa meglio colmare il gap e mitigare il rischio” conclude.
La necessità di fare formazione è condivisa anche da Andrea Provini, Global CIO Bracco Imaging, Direttore IT Centro Diagnostico Italiano, Presidente AUSED (associazione utilizzatori sistemi e tecnologie dell’informazione) che aggiunge “Occorre colmare un gap formativo. Per il nostro processo di digitalizzazione e sicurezza, fornitori poco sensibili e mancanza di awareness sono stati un ostacolo”. Per Edoardo Accenti è il momento di avere un linguaggio comune e uno standard tecnologico che non sia legato ad un singolo vendor.
L’evoluzione della cyber resilienza
Modo di lavorare e ambiente mutano ed evolvono. Per un’organizzazione è importante gestire i cambiamenti con incentivi ed investimenti. “La nostra è stata una sfida grande tra mondo engineering ed IT” ha raccontato Ennio Pirani Responsabile Area Technology presso Grandi Salumifici Italiani SpA “I nostri stabilimenti non erano allineati dal punto di vista tecnologico e per la sicurezza”. Le risorse dell’industria 4.0 sono state determinanti per l’azienda che ha investito nel rafforzare le reti e dare maggiore stabilità. “Criticità rilevanti si sono verificate nelle interconnessioni e nei percorsi esterni” conclude Pirani.
I perimetri sono sempre più fluidi, la linea di demarcazione non è più netta e si creano aree grigie. Ma oggi il rischio si estende ad altri fattori e le priorità sono legate a logiche nuove, come i criteri ESG (Environmental, Social, Governance). A evidenziare un tema tanto attuale è Michele Fabbri: “Oggi la cybersecurity ha una nuova dimensione ed entra nelle tematiche legate ai calcoli ESG, chi lavora in aziende quotate non può ignorare il mondo degli investitori”.
