Le nuove tecnologie svolgono oggi un ruolo davvero importante nelle industrie e nelle aziende, tanto che anche il Nuovo Regolamento Macchine (che andrà a sostituire la Direttiva Macchine a partire dal 2023) introduce un’importante riflessione sullo sviluppo tecnologico delle macchine e sui possibili rischi degli attacchi informatici, in grado di comprometterne il funzionamento e la sicurezza e, quindi, di mettere a rischio le persone che le adoperano.
Anche la cyber security entra, quindi, nel campo del Nuovo Regolamento Macchine, assumendo un ruolo sempre più rilevante nel prevenire e ridurre i rischi che eventuali attacchi informatici possono comportare per la sicurezza degli utilizzatori, la reputazione dell’azienda o la tutela di informazioni e dati riservati.
È evidente che il mondo dell’industria dovrà prestare sempre maggiore attenzione a queste tematiche e, proprio per questo, abbiamo deciso di dedicare un approfondimento sul nostro blog, che ti aiuterà a capire meglio cosa sia la sicurezza informatica industriale, quali norme la regolino e in che modo si inserisce nel contesto della manualistica tecnica.
Cosa significa cyber security per le macchine?
Quando parliamo di cyber security intendiamo l’insieme dei mezzi e degli strumenti pensati per la protezione dei sistemi informatici dagli attacchi deliberatamente dannosi degli hacker.
Questi attacchi vengono perpetrati con l’obiettivo principale del furto di dati, ma possono anche avere come bersaglio un sistema, un comparto produttivo, un’infrastruttura industriale e tutte le tecnologie OT.
Parliamo di Industrial Cyber Security per intendere l’insieme dei mezzi applicabili all’automazione di fabbrica e volti a rendere immuni da attacchi i sistemi di controllo come PLC, SCADA e HMI.
Di fatto sono questi i dispositivi che più meritano attenzione da parte delle aziende, essendo il fulcro dei processi produttivi e dell’Industria 4.0. Se colpiti, le conseguenze possono essere disastrose.
La cyber security comprende elementi tecnici, organizzativi, giuridici, umani utili a valutare, implementare e mantenere nel tempo la sicurezza dei dati condivisi verso l’esterno. Si tratta di una serie di azioni relativamente complesse, che devono partire da un’approfondita analisi dei sistemi presenti in fabbrica.
Una macchina non “connessa” alla rete aziendale o a sistemi di controllo da remoto, può essere considerata sicura dal punto di vista degli attacchi informatici dall’esterno, ma parliamo di casi sempre più rari nell’attuale panorama industriale.
Le macchine più esposte alla possibilità di attacchi informatici sono quelle:
- dotate di equipaggiamenti elettronici programmabili, spesso computer;
- collegate alla rete di comunicazione aziendale;
- connesse a reti di comunicazione anche all’esterno dell’azienda;
- hanno spesso la possibilità di essere controllate da remoto.
I rischi di un attacco informatico
L’Industrial Cyber Security investe tutti gli ambiti della produzione industriale: dalle infrastrutture critiche fino al comparto manifatturiero e alle piccole e medie imprese.
Per comprendere a pieno l’importanza di queste tematiche dobbiamo ricercare la risposta alla domanda: qual è la conseguenza immediata di un attacco cyber a un impianto industriale?
Purtroppo, la risposta più immediata è quella del blocco della produzione, con importanti ripercussioni sui volumi finanziari e sulla sicurezza delle macchine.
Le potenziali conseguenze di attacchi informatici a una macchina sono però molteplici e sfaccettate. Nello specifico possono causare:
- furto di dati della macchina, relativi, per esempio, ai prodotti in lavorazione;
- interruzioni del funzionamento della macchina;
- malfunzionamenti della macchina;
- potenziali comportamenti pericolosi per l’uomo, nell’eventualità che vengano disabilitate misure di sicurezza o modificati parametri di funzionamento (quali velocità o forza).
Gli attacchi possono provenire sia dall’interno che dall’esterno dell’organizzazione in cui la macchina è installata e possono essere dovuti a:
- accessi non autorizzati alle conoscenze, ai brevetti e a tutto il know-how aziendale, ad esempio da parte di concorrenti;
- atti terroristici, ad esempio ai danni di infrastrutture critiche come centrali elettriche o impianti di fornitura di acqua potabile.
- l’obiettivo di creare danni economici o di immagine, con la volontà, per esempio di ricattare l’azienda;
Le normative di riferimento sull’industrial cyber security
La tecnologia è in costante evoluzione e, di conseguenza, anche le misure di protezione contro gli attacchi informatici devono modificarsi e adattarsi alle esigenze del macchinario, dell’azienda e dei rischi dettati dall’innovazione, per tutto il ciclo di vita del prodotto.
Le disposizioni legislative che riguardano la sicurezza dei prodotti, fra le quali anche la direttiva macchine, non prendono in considerazione attività criminali che possono avere come oggetto la macchina, e per questo non fanno riferimento agli attacchi informatici, riferendosi esclusivamente all’uso della macchina per gli scopi per i quali è stata progettata e fabbricata o l’uso scorretto ragionevolmente prevedibile.
Tale uso scorretto può avvenire per una mancanza di conoscenza delle corrette procedure di impiego da parte degli operatori o a causa della volontà di aggirare le misure di protezione, per utilizzare la macchina in modo diverso da quanto previsto (ad esempio per effettuare un intervento sulla macchina senza doverla arrestare).
La “IT security” non è quindi un aspetto trattato dalla direttiva macchine 2006/42/CE che si occupa solamente di sicurezza delle persone. Ed è per questo motivo che il Nuovo Regolamento Macchine introduce una grossa novità in questo senso, alla quale gli imprenditori dovranno presto adeguarsi.
Il panorama normativo attuale comprende due rapporti tecnici riguardanti questi aspetti:
- ISO/TR 22100-4:2018: Safety of machinery – Relationship with ISO 12100 – Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects
- IEC TR 63074:2019: Safety of machinery – Security aspects related to functional safety of safety-related control systems
La norma UNI EN ISO 20607:2019 “Safety of machinery – Instruction handbook – General drafting principles”, prescrive la necessità di specificare nel manuale di istruzioni per l’uso della macchina informazioni in merito alla sicurezza informatica.
Tale indicazione, parte dal presupposto che la difesa dagli attacchi informatici deve essere condotta in collaborazione tra il fabbricante della macchina e l’utilizzatore (basti pensare alla protezione delle reti di comunicazione o l’autenticazione degli utenti).
Per questo motivo, è di fondamentale importanza che anche le istruzioni per l’uso della macchina contengano tutte le informazioni necessarie affinché l’utilizzatore possa adottare tutte le misure adeguate, e ridurre al minimo i rischi di un attacco informatico al macchinario.
Sarà quindi necessario che in futuro i fabbricanti delle macchine eseguano una valutazione dei rischi di attacchi informatici, adottino i mezzi necessari a renderle meno vulnerabili e informino gli utilizzatori, per mezzo delle istruzioni per l’uso, delle misure che devono essere messe in atto per proteggere continuamente le macchine dagli attacchi.
Vuoi sapere se la documentazione tecnica utilizzata in azienda è davvero efficace? Fai ora il test del tuo manuale!