Ma la sicurezza, o meglio la Security, è ancora un’opzione nel manifatturiero? Endian ha fatto della Cyber Security in ambito Industria 4.0 il proprio focus aziendale, investendo in tecnologie, competenze tecniche e prodotti specifici per il mondo industriale. “Il mondo industriale– spiega Andrea Albertini, Head of Sales Endian – non può essere reso sicuro con le stesse modalità e le stesse soluzioni sviluppate per applicazioni business standard. Richiede invece risorse dedicate e specifiche, costantemente aggiornate ed ingegnerizzate per i singoli settori. Allo stesso modo il personale aziende clienti addetto alla gestione e manutenzione delle infrastrutture industriali e critiche deve essere costantemente formato e aggiornato. Solo così possiamo contrastare davvero le attività dei cybercriminali”.
Questo significa che la sicurezza deve essere parte del processo aziendale. Ma è davvero così?
Endian fin dalla sua fondazione si è sempre occupata di cybersecurity. Questo ci permette di operare da un osservatorio privilegiato. Abbiamo così rilevato, negli anni, una progressiva crescita della sensibilità dei rischi legati ai processi di digital transformation sia da parte degli addetti ai lavori ma anche da parte degli utilizzatori. Le aziende hanno compreso che i sistemi Industria 4.0 permettono di migliorare sensibilmente i processi aziendali e decisionali, sia in ambito produttivo che organizzativo. Per ottenere questi risultati è però necessario connettere macchine e umani, rendendo tutta l’infrastruttura esposta agli stessi rischi di qualunque e comune dispositivo in rete. Ma con l’ulteriore pericolo legato al fatto che le violazioni possono avere ripercussioni anche sul mondo fisico e non solo in quello virtuale. Perché, ad esempio, modificare la ricetta di produzione dei biscotti può portare a conseguenze anche estreme, come il blocco dell’intero impianti produttivo con enormi ripercussioni in termini economici.
E le aziende manifatturiere come affrontano questa nuova dimensione?
Il primo passo, sicuramente importante e ormai assodato, è rappresentato da una progressiva assunzione di consapevolezza. Il secondo passo è l’integrazione con soluzioni di cybersicurezza all’interno della propria infrastruttura produttiva. Ovviamente questo passaggio necessità di competenze che possono essere interne ed esterne per le aziende più grandi, o solo esterne tramite system integrator per le aziende medie e piccole.
Figure tutt’altro che disponibili sul mercato…
Effettivamente il processo di digitalizzazione, accelerato anche dai finanziamenti del Piano Transizione 4.0, è stato molto più rapido rispetto al tempo disponibile per la formazione di adeguate figure professionali. Anche per tale ragione i partner Endian ci chiedono corsi di formazione, che permettano loro di affrontare queste nuove sfide. Perché la sicurezza è ormai alla base di qualunque innovazione. Anche per questo suggerisco ai ragazzi attualmente impegnati in percorsi scolastici e accademici di approfondire le tecnologie legate alla Cybersecurity in ambito industriale perché queste competenze saranno la base per il mondo del lavoro di domani.
Andiamo quindi sul concreto. Cosa sta proponendo Endian per supportare la crescita dei propri clienti nell’ambito della Security?
A settembre sarà online la nuova piattaforma di training che sarà suddivisa in tre livelli per adeguarsi alle applicazioni e necessità dei nostri partners. ESAT è il livello base con competenze utili per la configurazione e installazione dei prodotti Endian, ECSA è il livello intermedio che fornisce competenze anche di amministrazione di rete e ECSE che fornisce in aggiunta competenze estremamente approfondite di cybersicurezza. Stiamo già pianificando inoltre nuove tipologie di corsi basati anche sulle diverse applicazioni possibili.
Molte realtà italiane, soprattutto se di piccole e medie dimensioni, non dispongono di figure professionali adeguate a configurare la sicurezza. Come trovate e qualificate i partner che proponete sul mercato?
I nostri partner seguono un percorso virtuoso che comprende un percorso di formazione tecnico per il proprio personale con certificazioni per attestare agli utenti finali il possesso delle necessarie competenze. Devono infatti conseguire le certificazioni tecniche dei Vendor utilizzati, per attestare il possesso delle necessarie competenze. Prima di proporre una soluzione Endian è necessario acquisire tutte le informazioni utili dal piano tecnico per valutarne complessità e garantire la migliore soluzione possibile, perché, ancor prima di parlare di soluzioni, occorre capire le necessità specifiche di un singolo progetto. Qualunque progetto di digitalizzazione deve infatti tenere conto, in primo luogo, delle difficoltà ed analizzare ogni singola variabile per essere definibile “Security by Design”.
Per quale ragione insiste molto sull’analisi della complessità, anziché esaltare la semplicità?
La digitalizzazione dei processi produttivi è un processo inevitabile che deve portare a una semplificazione per incrementare produttività. La Cybersecurity è un tema estremamente complesso che necessita di costante formazione, competenze verticali ma anche esperienza. Una sottovalutazione del rischio, un’analisi semplificata o un’improvvisazione nella definizione di un processo di digitalizzazione possono essere causa di un attacco informatico con danni potenzialmente incalcolabili. Ogni oggetto o umano connessi ad un’infrastruttura sono potenziali vettori di rischio e quindi un controllo granulare degli accessi e le relative abilitazioni sono la base per definire un sistema potenzialmente sicuro.
In questo ambito rientra anche il concetto di Zero Trust. Come si esplica in Endian?
È essenziale che chiunque acceda alla rete industriale sia correttamente identificato e abbia diritti ben definiti. Questo concetto è la base del concetto “Secure Digital Platform” di Endian che ha come cuore il nostro “Switchboard”, una potente appliance di gestione di accesso che sfrutta connessioni cifrate e profili utenti definibili nel più piccolo dettaglio. È possibile definire chi o cosa ha accesso a macchine o altri utenti, se accedere direttamente ad applicazioni o a dispositivi o segmenti di rete e impostare regole di protezione e di rete. In questo modo è possibile applicare segmentazioni e micro segmentazioni della rete sfruttando connessioni criptate e limitando perciò la diffusione e propagazione di minacce o rischi informatici all’interno dell’infrastruttura. Inoltre, grazie ai nostri gateway industriali “EdgeX”, è possibile avere un controllo del traffico di rete in ingresso e uscita, proteggere segmenti di rete ed eseguire applicazioni, servizi e microservizi grazie alla tecnologia Container.
Tutto questo è assodato, da un punto di vista tecnico e logico. Ma le aziende sono pronte a stanziare i budget necessari?
Purtroppo, la Cyber Sicurezza, seppur (finalmente) considerata importante, spesso non è ancora arrivata al livello “essenziale”. Questo porta, a volte, ad impegni di spesa non adeguati. E qui nasce il problema, poiché non si possono sottovalutare i rischi o cercare soluzioni “economiche”. È innegabile che le soluzioni di sicurezza, efficaci in ambito industriale, siano complesse e necessitino di budget adeguati. Allo stesso modo non bisogna rinviare determinate scelte. Ad esempio, se non faccio la micro segmentazione, perché l’azienda ha definito altre priorità, si rischia di essere in ritardo rispetto ai criminali informatici. Infine, non possiamo dimenticare che anche gli attacchi sono in evoluzione: soluzioni di sicurezza eccellenti sino a due anni fa, oggi potrebbero essere superate.
Proprio parlando di Budget, non possiamo dimenticare che il Piano Transizione 4.0 offre oggi un Credito d’Imposta del 50% per gli investimenti in Cybersecurity. Ma le aziende lo sanno?
Il Credito d’imposta è uno strumento fondamentale per accelerare ed incrementare la messa in sicurezza delle PMI. Purtroppo, perde un po’ di efficacia per le grandi organizzazioni in quanto i tempi di progettazione e implementazione spesso sono più lunghi della finestra temporale a disposizione per usufruire di questi importantissimi e validi aiuti.
Quindi… nessuna speranza di proteggere le “vecchie” macchine?
Da sempre Endian ritiene che ogni dispositivo debba essere progettato tenendo conto della sicurezza anche del punto di vista digitale. Ma dato che la vita media di una macchina industriale arriva frequentemente a superare i 10 o 15 anni di vita, è necessario tenere in considerazione di applicare moderne tecnologie di cybersecurity su macchine non di ultima generazione. Spesso il sistema operativo della macchina è obsoleto e non più supportato dallo sviluppatore, sia in termini di aggiornamenti che di patch di sicurezza, e per motivi legati ai processi produttivi come certificazioni e compatibilità non è possibile sostituirlo con una versione più moderna.
Grazie alle nostre appliance hardware, come ad esempio la Edge X, è possibile mettere in sicurezza non solo segmenti o intere reti informatiche ma anche singoli dispositivi. È possibile avere un analisi in tempo reale del traffico dati da e verso internet per rilevare minacce, definire policy di accesso e integrare l’esecuzione di applicazioni, servizi e microservizi. I Ciso di clienti, fornitori e utenti finali stanno adeguando i processi, tecnologie e prodotti alle nuove normative, protocolli e certificazioni. Endian li accompagna e supporta in questo nuovo percorso grazie alla possibilità di far rientrare Endian Switchboard e Endian EdgeX all’interno di una soluzione certificabile IEC-62443.
Pertanto, siamo in grado di supportare il partner e l’utente finale in un processo di digitalizzazione sicuro anche con soluzioni e prodotti pre-esistenti, anche se basati su tecnologie obsolete.
