A dieci anni dalla sua entrata in scena, il paradigma di Industria 4.0 si avvia – secondo alcuni analisti – verso un nuovo salto evolutivo a cui si dà già il nome di Industria 5.0: una condizione che vira verso la valorizzazione di un approccio antropocentrico nel rapporto tra uomo e macchine e pone nuove sfide di fronte a governi, aziende e stakeholder, anche sul piano della sicurezza. Un tema caldo, oggetto della tavola rotonda “Impatto della Cyber Security sui piani Transizione 4.0 e Industria 5.0” organizzata dal Clusit nell’ambito della prima giornata del Security Summit e moderata da Enzo Maria Tieghi del Comitato Scientifico di Clusit, referente per la security di ICS/OT/IIoT.
Un’occasione per fare il punto su come i piani per agevolare la trasformazione digitale, tra cui il più recente Transizione 4.0, abbiano inciso sulle imprese, ma anche per capire le priorità da considerare per affrontare lo scenario del prossimo futuro, in cui consapevolezza, competenze e resilienza avranno un ruolo chiave nel determinare il successo dei percorsi d’innovazione nell’industria.
Indice degli argomenti
Industria 5.0, un approccio antropocentrico
L’evoluzione verso nuovi modelli di innovazione pone il focus sul ripensare, ancora una volta, al rapporto tra uomo e macchina. Un tema da sempre al centro del dibattito in ambito industriale, sin dall’entrata in scena dei motori a vapore per la produzione aziendale: non stupisce il fatto che dinamiche in voga nella prima rivoluzione industriale siano ancora attuali secoli dopo, perché il percorso dell’umanità ha sempre incluso l’interrogarsi sulla propria posizione nel mondo, oltre a una quantità di domande, remore ed entusiasmo di fronte al cambiamento.
Parlando di Industria 5.0 “il tema è: pensiamo al rapporto uomo-tecnologia con la tecnologia al servizio dell’umano”, ha spiegato Edoardo Accenti, Sales Manager presso HPE Aruba Italia, nel corso dell’evento Clusit. “Estremizzando, ciò significa che non bisogna adattare gli skill alla tecnologia, ma la tecnologia deve guidarci” alla sua comprensione e all’utilizzo.
Un esempio può essere quello dell’utilizzo di linguaggi naturali e non di programmazione per l’interazione con le macchine.
Security OT, priorità ma mancano (sempre) competenze
In questo contesto, anche la sicurezza assume diverse declinazioni. Tieghi ha sottolineato che “la transizione digitale estesa che si ha nelle aziende porta a una simbiosi tra IT e OT e la security si sta adattando a questa nuova situazione”. Emerge però l’annoso problema dello “skill shortage, la carenza di personale che possa affrontare questi temi: uno studio dell’Osservatorio del Politecnico di Milano incluso nel rapporto Clusit 2020 ha evidenziato come il 52% delle aziende a livello industriale non ha delle persone specifiche per la copertura della security OT”. Il motivo è semplice: “Si fa fatica a trovarle”.
Per Antonio Nardo, ICT Director & Privacy Officer presso Breton SpA e Presidente CSA Cyber Security Angels, “bisogna generare nelle persone stimoli e curiosità verso questi aspetti” sin dai banchi delle università.
L’esperienza sul campo però in certi settori è tutto: “Farsi le ossa sugli impianti è più difficile che farlo in ambito IT – ha commentato Michele Fabbri, CISO presso De Nora S.p.A. -. Sicuramente bisogna ragionare con gli enti di formazione per fornire contatti diretti con chi fa questo mestiere, organizzare stage”. Senza trascurare l’upskilling del personale già presente in azienda, cercando di capire “come i processisti che conoscono molto bene l’impianto su cui lavorano possano fare formazione per colmare il gap legato alla cyber security”.
Una strada che risulta più semplice per molte realtà produttive: “I processisti sono in grado di percepire se il comportamento dell’impianto è diverso: l’analista di cyber security riconoscerà invece i trend”. Si possono quindi mitigare i rischi creando sentinelle che individuino subito variazioni sospette.
La necessità di fare formazione sul campo e creare awareness nelle persone che lavorano sugli impianti è condivisa anche da Andrea Provini, Global CIO Bracco Imaging e Direttore IT Centro Diagnostico Italiano Spa: “Bisogna portare la conoscenza sul campo” per sensibilizzare il personale ed esporre “meno l’azienda ai rischi”.
L’eredità di Industria 4.0
La questione non è nuova, ma fa parte del naturale percorso di evoluzione delle aziende per adeguarsi al rapido incedere del mercato, che richiede livelli di digitalizzazione e automatizzazione sempre più elevati e, di conseguenza, rende indispensabile comprendere le priorità in ambito cyber security per tutelarsi in uno scenario di grossi mutamenti socio-economici.
Provini, parlando della sua esperienza aziendale, rileva che l’approccio a Industria 4.0 era stato dettato dal supporto di legge a chi investiva in automazione: “Allora venivano però usati termini molto specifici per cui era difficile l’applicazione in ambiti non strettamente legati all’automazione. Ciò che ci ha avvicinato alla logica 4.0 è stata la necessità, prima burocratica e poi sempre più compresa, di interconnessione”.
Il tema della compliance
Gaetano Sanacore, Group Security&Cyber Defence OT Security Manager – A2A S.p.A., ricordando la sua esperienza personale ha messo in luce anche il rapporto con la compliance normativa: “Nella multiutility A2a, ove sono arrivato circa due anni fa, in pieno slancio di digitalizzazione, con molti progetti di investimento in corso grazie alla strategia Industria4.0 allora intrapresa, mi sono trovato ad affrontare anche aspetti di compliance con la normativa, anche quella a livello europeo. Mi ha certamente aiutato la mia esperienza di oltre 10 anni di sviluppatore e gestore di sistemi in ambiente energetico, ed elettrico in particolare: per la parte di cyber security ho utilizzato framework esistenti in ambiente OT come ad esempio lo standard IEC62443, rendendolo parte integrante della struttura già conosciuta in azienda relativa alla ISO27001, unendo ai requisiti di disponibilità specifici dell’impianto di produzione, anche la richiesta di disponibilità e riservatezza del dato generato”.
Cyber security, le priorità
L’interazione tra le macchine, lo scambio di informazioni, ha portato a nuovi problemi di cyber security, per capire “come governare aree che non erano sotto il controllo dell’IT. È diventata la parte più delicata: spesso le infrastrutture che supportano le operation non sono presidiate né da personale né da fornitori sensibili al giusto livello”, ha aggiunto Provini.
Del resto, come ha ricordato Fabbri, “il rischio di un’azienda che si muove verso il digitale è la maggiore esposizione verso gli attacchi cyber”. Ciò dal punto di vista economico si traduce in “un incremento dei costi: la sicurezza non è gratis e avere uno sgravo fiscale aiuta”.
Ecco come le policy di incentivo al 4.0 sono utili anche lato sicurezza: “La sfida è continua, noi abbiamo superato diversi ostacoli tecnologici, abbiamo investito molto sullo switching e sul firewall, sul wifi, perché abbiamo dovuto dare più stabilità all’infrastruttura di rete”, ha raccontato Ennio Pirani, Responsabile Area Technology presso Grandi Salumifici Italiani SpA, portando la sua esperienza. “Da subito sono emerse problematiche di affidabilità, perché prima gli impianti erano stand alone. Mi ha particolarmente colpito il tema degli accessi esterni: il perimetro si era allargato tantissimo”.
Un perimetro più liquido è più difficilmente controllabile: i cyber criminali lo sanno, ma per fortuna si diffonde sempre più consapevolezza di questo aspetto, permettendo azioni preventive per proteggersi.
