Consigliato
I pericoli che le minacce informatiche comportano per la proprietà intellettuale, i dati sui clienti e la produttività sono ben noti, ma meno conosciute sono le implicazioni che queste minacce rappresentano per la sicurezza. Un attacco informatico al vostro sistema di controllo industriale (ICS) può infatti danneggiare gli asset fisici, alterare le ricette, causare infortuni ai lavoratori o gravi danni ambientali.
Se state intraprendendo un percorso di trasformazione digitale - sia che si tratti di un processo gestito o di una lenta evoluzione - la gestione dei rischi legati alla sicurezza dovrebbe essere parte integrante di questo processo.
Un approccio alla sicurezza progettato correttamente migliorerà la raccolta, l'analisi e la comunicazione delle informazioni. Esso, inoltre, permetterà di ridurre al minimo le interruzioni e le problematiche relative alla sicurezza aiutandovi a proteggere la vostra azienda.
Conoscere i rischi
Oggi, le norme di sicurezza riconoscono il legame tra i rischi connessi alla cybersecurity e alla sicurezza.
Lo standard di sicurezza informatica ISA/IEC 62443-1-1 afferma che le violazioni della sicurezza possono avere conseguenze che vanno al di là della compromissione delle informazioni. La norma afferma che: “La potenziale perdita di vite umane o di produzione, i danni ambientali, la violazione delle normative e la compromissione della sicurezza operativa sono conseguenze molto più gravi. Queste possono avere implicazioni che si estendono oltre l'organizzazione che ne viene interessata, potendo danneggiare gravemente l'infrastruttura della regione o della nazione in cui hanno sede.”
Lo standard di sicurezza funzionale IEC 61508-1 specifica che i pericoli associati alle apparecchiature e ai sistemi di controllo devono essere determinati in tutte le circostanze ragionevolmente prevedibili. La norma recita: "Ciò include tutte le questioni relative al fattore umano e pone particolare attenzione alle modalità di funzionamento anomale o inconsuete dell'EUC. Se l'analisi dei rischi identifica come ragionevolmente prevedibile un'azione malevola o non autorizzata che costituisce una minaccia per la sicurezza, allora deve essere effettuata un'analisi delle minacce alla sicurezza”.
Le strategie di protezione, come quelle per la sicurezza, affrontano le questioni legate alla gestione del rischio, facendo leva sulla valutazione continua e sui criteri per gestire il rischio fino ad una determinata soglia di accettabilità. Il livello di rischio accettabile varia a seconda del settore e dei possibili risultati.
Considerando che la maggior parte degli attacchi informatici si basa semplicemente sul fatto che l'aggressore trova un target vulnerabile - piuttosto che essere mirato ad uno specifico settore o effettuato a causa dell’importanza dell’obiettivo - un attacco informatico è una circostanza prevedibile in quasi tutti i settori industriali. Valutare i rischi per la sicurezza informatica, determinare il livello di rischio accettabile e limitare i rischi identificati a un livello accettabile, rappresentano oggi dei "ragionevoli" provvedimenti di base per proteggere le persone da un uso improprio prevedibile e da azioni malevoli o non autorizzate.
Oggi, ignorare i rischi associati alla cybersecurity nascondendosi dietro l'errata convinzione che "se non sono a conoscenza del rischio, non posso essere ritenuto responsabile", non è più accettabile, né dal punto di vista etico né ai fini della conformità, soprattutto quando sono in gioco delle vite.
Gestire i rischi insieme
Qualcuno ha utilizzato il tema dei rischi introdotti dalle tecnologie connesse come un valido argomento contro la modernizzazione. È importante riconoscere che non fare nulla non è una soluzione. Mantenere i vecchi sistemi troppo a lungo, non solo priva l'utente di preziose informazioni e di altri vantaggi derivanti dall’uso dell'IIot, ma spesso questi sistemi mancano anche delle misure di sicurezza dei sistemi moderni, il che li rende ancora più vulnerabili.
L'approccio migliore è quello di sfruttare al meglio la trasformazione digitale, gestendo sicurezza e protezione all’interno del processo. Mentre lo fate, tenete a mente alcune cose fondamentali.
Ad esempio, molte pratiche di sicurezza vengono utilizzate da tempo nel mondo IT, ma sono nuove per quello OT. E, anche se molte delle misure di mitigazione dei rischi sono simili, esse si applicano in modo completamente diverso nel front office rispetto ad un impianto.
In un ambiente industriale, i rischi legati alla cybersecurity dovrebbero far parte sia della gestione del rischio che del processo di gestione dei cambiamenti (MOC – Management of Change). E i responsabili per l’ambiente, la salute e la sicurezza (EHS) dovrebbero essere coinvolti nella gestione dei processi e nel controllo delle norme e delle leggi.
Siamo entrati in una nuova era industriale. I vantaggi dell’Industry 4.0 superano certamente i maggiori rischi che questa comporta. Comprendendo i rischi e minimizzandoli all’interno delle vostre iniziative digitali, potete espandere le vostre operazioni e allo stesso tempo contribuire a proteggere ciò che più conta per voi.
Per ulteriori informazioni sulla sicurezza industriale, fate clic qui.
Steve Ludwig è Safety Commercial Programs Manager di Rockwell Automation, la più grande azienda al mondo dedicata all'automazione industriale. Rockwell Automation è un membro fondatore dell’ISA Global Cybersecurity Alliance e ha ricevuto diverse certificazioni ISA/IEC 62443.
Pubblicato 27 aprile 2020
