Digitalizzare il farmaceutico combattendo le minacce alla sicurezza

Le aziende farmaceutiche stanno trasformando i loro impianti dotandosi di tecnologie digitali che offrono enormi vantaggi sul piano della competitività.

La disponibilità di una maggiore quantità di dati e la semplificazione delle architetture di controllo contribuiscono ad accelerare i cambi produzione e a promuovere l'eccellenza operativa. Ci sono aziende che hanno adottato un sistema di gestione della produzione moderno, che permette loro di aumentare anche di oltre il 50 per cento il numero di lotti prodotti o di eliminare completamente il cartaceo.

È probabile che la tendenza proseguirà poiché con le nuove norme, ad esempio quelle anticontraffazione, sempre più aziende si doteranno di impianti connessi e "information-enabled".

Ma non si può parlare di digitalizzazione dell'industria farmaceutica senza pensare anche alla sicurezza industriale. Già oggi molte case farmaceutiche temono che l'aumento della connettività rappresenti un rischio per la proprietà intellettuale e altri dati sensibili. E si preoccupano che qualcuno possa compromettere la qualità dei loro prodotti con interventi non autorizzati sui processi.

Queste preoccupazioni sono fondate, ma non devono frenare l'implementazione dei vostri piani di digitalizzazione. Adottando best practice collaudate e utilizzando le risorse offerte dall'industria, potete rafforzare la vostra strategia di sicurezza industriale e proteggere i vostri segreti industriali, i vostri processi e prodotti.

Non esiste un rimedio universale

Purtroppo non esiste un'unica tecnologia o tecnica che permetta di proteggere la produzione farmaceutica da tutte le minacce.

Se ci pare ovvio che una banca, oltre ad avere serrature robuste, si doti di soluzioni sofisticate per proteggere non solo il denaro contante, ma anche i dati sensibili come le informazioni finanziarie dei clienti, perché uno stabilimento farmaceutico connesso del valore di milioni o miliardi di dollari non dovrebbe adottare un approccio articolato per proteggere i suoi asset fisici e digitali?

Le strategie di sicurezza defense-in-depth partono dal presupposto che qualsiasi protezione può essere resa inefficace e probabilmente lo sarà, pertanto occorre mettere in campo una strategia di sicurezza a più livelli. L'approccio alla sicurezza previsto dagli standard IEC 62443 (ISA99) prevede l'adozione di misure di protezione su sei livelli:

1. Politiche e procedure
2. Livello fisico
3. Rete
4. Computer
5. Applicazioni
6. Dispositivi

Una ricetta per l'industria farmaceutica

In occasione dell'Automation Fair^® 2016 organizzata da Rockwell Automation, Jim LaBonty, direttore global automation di Pfizer Global Engineering, ha illustrato le caratteristiche di una strategia di sicurezza completa nell'industria farmaceutica.

LaBonty ha spiegato che la sua azienda ha creato delle zone di sicurezza con appositi firewall che servono a proteggere gli asset aziendali separandoli l'uno dall'altro. L'azienda ha inoltre separato le apparecchiature più vecchie dai sistemi e dispositivi più recenti, e LaBonty ha sottolineato che bisogna creare una netta distinzione tra i ruoli del personale IT e degli addetti all'automazione.

“Per ragioni di sicurezza è bene definire chiaramente le mansioni e le responsabilità di ognuno: ciò si rivela utile nelle interazioni tra player diversi”, ha dichiarato.

LaBonty ha anche parlato dei software che permettono di analizzare i modelli di traffico sulla rete. Ad esempio, esistono software di rilevamento delle anomalie che possono monitorare passivamente il traffico tra gli asset della rete industriale e analizzare le comunicazioni fino ai livelli più profondi. Le anomalie rilevate possono essere comunicate al personale di sicurezza o ad altri addetti affinché vengano svolte indagini efficienti, e vengano messe in atto misure correttive o interventi di ripristino.

Un'altra strategia di sicurezza fondamentale per il settore è la creazione di una "zona industriale demilitarizzata", con una barriera tra la produzione e le altre zone dell'azienda, che preveda delle limitazioni al traffico tra le due tipologie di aree. I software di autenticazione, autorizzazione e riconoscimento permettono inoltre di limitare il numero di utenti che possono accedere alla rete e le operazioni che possono eseguire, oltre a fornire un audit trail completo di tutte le azioni effettuate.

Sintomi d'ansia?

Le minacce alla sicurezza fanno paura. A volte è difficile capire anche solo da che parte cominciare. Ma non preoccupatevi. Potete contare su tantissime risorse, tra cui:

• Le Reference Architecture per reti Converged Plantwide Ethernet (CPwE)sono un punto di riferimento per la creazione di architetture di rete a prova di futuro, che tengono conto anche dei rischi per la sicurezza.
• Partecipando a corsi di formazione e certificazione il vostro personale IT e OT può acquisire le competenze necessarie per gestire in sicurezza i sistemi di controllo industriale collegati in rete.
• I servizi per la sicurezza possono aiutarvi a condurre valutazioni sulla sicurezza e a implementare le nuove tecnologie, o perfino a gestire continuativamente determinati aspetti del vostro programma di sicurezza.

Per saperne di più su queste risorse, visitate la nostra pagina Web dedicata alla sicurezza industriale.

Automation Fair è un marchio commerciale di Rockwell Automation, Inc.