La trasformazione digitale è stata un catalizzatore del cambiamento nell‘industria, con la digitalizzazione che produce sempre più dati per consentire il processo decisionale in tempo reale, per aumentare il livello di automazione e migliorare l‘efficienza dei processi. Per massimizzare l‘uso di questi dati, le imprese digitali sono diventate sempre più connesse, il che richiede la convergenza delle reti OT (Operational Technology) e IT (Information Technology) aziendali. Questo rapido progresso tecnologico ha sbloccato la potenza dell‘intelligent edge, rendendo possibili le operazioni di connessione dall’Edge al cloud senza soluzione di continuità. Ma tutto questo comporta anche nuovi rischi, nell’ambito della sicurezza informatica, ai qual sta cercando di porre un argine il Cyber Resilience Act (CRA) dell‘UE: la nuova legge europea che disciplina la sicurezza informatica dei prodotti digitali venduti nell‘UE.
Cresce la vulnerabilità
Proprio il Cyber Resilience Act (CRA), prende origine dal fatto che con la crescente adozione della tecnica di connettività digitale, che porta una maggiore larghezza di banda e l‘accesso alle informazioni da tutti i punti dell‘impianto di processo e della fabbrica, è necessario considerare un livello più elevato di vulnerabilità della cybersecurity. Con l‘indirizzabilità IP di tutti i nodi e l‘eliminazione dei dispositivi gateway, introdotta dalle nuove infrastrutture tecnologiche dell‘Ethernet industriale, la protezione dei dispositivi e dei sistemi dagli attacchi informatici è di fondamentale importanza. Non solo i costi potenziali di questi attacchi sono estremamente elevati, ma possono anche mettere in pericolo delle vite nel caso di sistemi di controllo legati alla sicurezza.
Oggi le aziende devono pensare a come operare in un mondo in cui i sistemi di controllo automatizzati industriali (Industrial Automated Control Systems, IACS) siano resilienti ai cyberattacchi. I sistemi di controllo gestiscono i comandi, regolano il comportamento di altri dispositivi e, se attaccati, rappresentano una minaccia per l‘intera infrastruttura produttiva. Gli attacchi informatici possono essere invasivi o non invasivi. In un attacco invasivo, un criminale informatico apre l‘involucro del dispositivo per manipolarne il contenuto della memoria, sostituire
il firmware o sondare le piste dei circuiti stampati. Gli attacchi non invasivi sono di solito eseguiti in remoto attraverso le porte di comunicazione e mirano alle falle di sicurezza nel firmware del dispositivo.
La trasformazione digitale ha catalizzato il cambiamento industriale: sempre più dati per processi decisionali in tempo reale. Aumenta anche il livello di automazione che migliora l’efficienza e la velocità dei processi. Oggi le aziende devono pensare a un mondo dove i sistemi di controllo automatizzati siano resilienti ai cyberattacchi.
Le novità del Cyber Resilience Act (CRA)
Il Cyber Resilience Act (CRA) dell‘UE è una nuova legge europea che disciplina la sicurezza
informatica dei prodotti digitali venduti nell‘UE con un impatto globale su produttori, sviluppatori
e venditori di “prodotti con elementi digitali” (Products with Digital Elements, PDE) destinati al
mercato dell‘UE, compresa l‘introduzione di marchi CE obbligatori per questi prodotti entro il
2027. Ciò ha fatto sì che le considerazioni sulla sicurezza siano state inserite in via prioritaria nei
cicli di sviluppo dei nuovi prodotti poiché, in caso contrario, quelli in fase di sviluppo oggi non
saranno conformi agli standard richiesti per essere venduti sul mercato dell‘UE dopo il 2027.
Per facilitare l’adozione delle disposizioni del CRA, l’Agenzia dell’Unione Europea per la Cybersecurity
(ENISA) ha mappato i requisiti del CRA dell’UE nello standard IEC 62443-4. La serie di standard
IEC 62443 è progettata per affrontare la cybersecurity della tecnologia operativa nei processi di
automazione e controllo. Questo standard di riferimento offre un ampio livello di sicurezza per
prevenire gli attacchi e mitigarne gli effetti. È organizzata in quattro livelli e categorie: argomenti
“generali” comuni all’intera serie; “Politiche e procedure” si concentra su metodi e processi associati
alla sicurezza IACS; “Sistema” delinea i requisiti a livello di sistema e “Componente” fornisce requisiti
dettagliati per i prodotti IACS.
Si tratta di problematiche complesse, soprattutto per quanti non possiedono competenze specifiche. Per questa ragione si rivela particolarmente interessante la lettura dell’eBook gratuito: “Scopri la fabbrica digitale sicura e affidabile in ambienti edge e industriali“.
