Fornire alle imprese uno strumento utile per creare consapevolezza sui rischi e sulle opportunità legate alla cyber security nel settore manifatturiero: è questo lo scopo del Libro Bianco “Macchine Protette: non c’è più safety senza cyber security” edito da Digital Industries World (precedentemente MindSphere World), network di persone a livello mondiale impegnato nel promuovere la trasformazione digitale dell’industria.
Il White Paper è nato da un’esigenza di aggiornamento post-normativo sul tema della cyber security nel settore manifatturiero, in vista della direttiva NIS2, evolvendosi da un semplice documento di sintesi a un lavoro più approfondito e professionale grazie al contributo dei soci e alla collaborazione di un’esperta esterna.
Attraverso approfondimenti tematici e spiegazioni precise, gli autori puntano a responsabilizzare le aziende sul dotarsi di tutti gli strumenti necessari per navigare nelle complessità della sicurezza informatica industriale, consapevoli che una buona safety si tradurrà in motore di crescita e vantaggio competitivo.
Indice degli argomenti
Un libro bianco per la cyber security nel manifatturiero
Scritta in modo chiaro e coinvolgente, la pubblicazione affronta e approfondisce le principali questioni di sicurezza informatica delle linee produttive industriali.
In un settore sempre più improntato alla digitalizzazione, tra connettività delle macchine e IoT, una delle urgenze odierne riguarda proprio la safety. Molte delle tecnologie operative e dei processi, infatti, dispongono di tutte le applicazioni per la connettività, ma non sono state progettate tenendo conto della sicurezza della rete e non sono state ottimizzate per respingere o prevenire attacchi informatici, sempre più frequenti, subdoli ed evoluti.
Il concetto di sicurezza passa quindi oggi ad un nuovo livello, dove per garantire la safety non è più possibile fare a meno della cyber security. Una serie di accorgimenti tecnici e buoni investimenti sulla sicurezza possono evitare grosse problematiche produttive e seri danni economici.
“L’idea del White Paper è nata dopo l’evento del 2023 sul tema di safety e cyber security, intitolato ‘macchine protette, non c’è più safety senza cyber security’. Questo evento aveva riscosso un grande successo e si basava sul format associativo dei gruppi di lavoro chiamati ‘macchine X’, che consistono in eventi tematici aperti a tutti”, spiega Andrea Gozzi, Managing Director di Digital Industries World.
Inizialmente, l’obiettivo era aggiornare le informazioni sulle nuove normative. Tuttavia, con il progredire del lavoro, la complessità del tema e le sue numerose sfaccettature hanno spinto l’Associazione a orientarsi verso un’altra strada.
La guida, curata da Kim Crawley (ricercatrice esperta di cyber sicurezza), Andrea Gozzi (Segretario Generale di Digital Industries World ed esperto di innovazione digitale) e da altri contributori dell’Associazione, è stata concepita come un utile punto di partenza per affrontare il tema della safety industriale, sia per i costruttori di beni strumentali che per gli utilizzatori finali.
Tra i temi toccati nel testo, le responsabilità reali per l’OEM, la vulnerabilità dei dispositivi collegati in rete, la gestione della supply chain per software e sottocomponenti, cosa dice la NIS2 appena approvata, le certificazioni da avere e una serie di best practice per rendere la propria azienda più sicura.
La versione originale di “Macchine Protette: non c’è più safety senza cyber security”, scritta in inglese, è già disponibile sui principali marketplace. Le versioni in italiano e tedesco saranno disponibili nelle prossime settimane.
Cyber security nel manifatturiero, un tema che riguarda tutta la supply chain
“La sicurezza informatica nella supply chain è un tema cruciale e complesso, che richiede un approccio olistico e una visione d’insieme. Non è sufficiente concentrarsi su un singolo anello della catena, poiché gli attacchi informatici sfruttano spesso le vulnerabilità presenti nei punti più deboli”, spiega Gozzi.
L’interconnessione delle macchine e la digitalizzazione dei processi industriali hanno ampliato la superficie di attacco, rendendo necessario un controllo rigoroso dei flussi di dati e delle interfacce.
I compratori di macchine e impianti richiedono garanzie sempre più solide dai fornitori in termini di affidabilità e sicurezza informatica, il che implica non solo la conformità alle normative, ma anche la dimostrazione di politiche interne rigorose e la capacità di fornire supporto in caso di incidenti.
La revisione costante degli aggiornamenti e della sicurezza delle macchine è un requisito fondamentale, così come la capacità del fornitore di garantire supporto e aggiornamenti nel tempo.
La scelta di fornitori affidabili, in grado di garantire la sicurezza lungo tutta la catena di approvvigionamento, è una priorità assoluta per le aziende che operano in un contesto sempre più interconnesso e soggetto a minacce informatiche.
Le sfide della cyber security per i produttori di macchine: il punto di vista di Breton
L’evoluzione della cyber security nel settore manifatturiero segna un passaggio cruciale dall’attenzione tradizionale alla sicurezza fisica a una nuova era di protezione informatica integrata.
“Con l’avvento dell’Industria 4.0, la digitalizzazione e l’interconnessione delle macchine hanno creato ‘condotti’ di dati, esponendo gli impianti a rischi informatici inediti. Breton riconosce che la cyber security non sostituisce, ma integra la sicurezza tradizionale, diventando essenziale per la business continuity”, spiega Federico Milan, Digital Innovation Manager di Breton.
Per gestire questa trasformazione, Milan sottolinea la necessità di un cambio di mentalità, ponendo la cyber security al centro delle decisioni aziendali.
“Ci confrontiamo con clienti di diversa maturità, offrendo supporto e creando sinergie. Vediamo la sicurezza come una rete che coinvolge OEM, end-user e provider, e che quindi richiede un linguaggio comune e cooperazione”, aggiunge.
Internamente, Breton investe in formazione e sviluppo di framework di sicurezza, combinando competenze interne ed esterne. L’aumento del tempo dedicato alla cyber security, fino a tre ore al giorno, riflette un cambiamento di mentalità necessario per coinvolgere l’intera azienda.
Cyber security nel settore farmaceutico: il punto di vista di Masco Group Automation
Nel settore farmaceutico, la cyber security riveste un’importanza cruciale a causa della natura sensibile dei dati trattati e delle conseguenze potenzialmente gravi di un attacco informatico.
La protezione dei dati dei pazienti, delle proprietà intellettuali e dei processi produttivi è fondamentale per garantire la continuità delle operazioni e la sicurezza dei farmaci.
“Nonostante il settore farmaceutico sia considerato un’area economicamente solida con elevata produttività, dove i fermi di produzione sono estremamente costosi, non esiste ancora una cultura della cyber security diffusa a 360 gradi, nemmeno in questo ambito apparentemente privilegiato”, spiega Saverio Mottana, Managing Director di MGA, Masco Group Automation.
Nello specifico, l’approccio alla cyber security cambia in base alla dimensione aziendale. Le grandi aziende farmaceutiche, infatti, hanno generalmente strategie sulla cyber security robuste e complete e pongono attivamente la questione della sicurezza informatica come requisito nell’acquisto di macchinari.
Al contrario, le piccole aziende farmaceutiche e i CDMO (Contract Development and Manufacturing Organizations, ovvero i terzisti del mondo farmaceutico) a volte mancano della stessa competenza e sensibilità riguardo alla cyber security.
“Pur essendo una realtà più piccola all’interno di un grande gruppo, MGA si è dotata di personale dedicato alla cyber security che segue l’evoluzione tecnologica, adotta le misure necessarie e si dedica alla formazione continua, considerando anche le nuove sfide poste dall’intelligenza artificiale”, spiega Mottana.
Operativamente, MGA adotta una strategia precisa di utilizzare piattaforme intrinsecamente sicure fornite da vendor certificati e credibili, sviluppando poi su queste le applicazioni per i propri clienti, piuttosto che sviluppare internamente algoritmi di cyber security.
Riguardo alla connessione post-vendita, Mottana sottolinea, date le caratteristiche del settore farmaceutico, le macchine connesse verso l’esterno sono veramente poche.
Tuttavia, la connessione interna tra il mondo OT (Operational Technology) e IT (Information Technology) è ormai una realtà quotidiana, rendendo importante presidiare questo aspetto, così come il retrofit della base installata di macchine meno recenti, potenzialmente più vulnerabili.
Diffondere la conoscenza e la consapevolezza sulla cyber security nel manifatturiero: le attività promosse da Ucimu
Consapevole delle criticità riscontrate dalle imprese ad affrontare questi temi, Ucimu-Sistemi per Produrre (l’associazione dei costruttori italiani di macchine utensili, robot, automazione e di prodotti a questi ausiliari) si impegna a supportare le PMI italiane nell’affrontare le sfide della digitalizzazione.
L’associazione è impegnata nell’anticipare i temi rilevanti per le aziende. Attraverso convegni, pubblicazioni e tavoli di lavoro, Ucimu si propone di diffondere la conoscenza e la consapevolezza sulla cyber security, aiutando le aziende a prepararsi per le nuove normative e le minacce informatiche.
“Il grado di maturità digitale delle aziende Ucimu è eterogeneo, data la diversità di dimensioni e tipologie di prodotto dei membri”, spiega Enrico Annacondia, Direzione tecnica Ucimu.
Per supportare le aziende in questo percorso, Ucimu ha avviato iniziative concrete. Tra queste, spicca la creazione di un tavolo di lavoro dedicato, inizialmente focalizzato sulla digitalizzazione e destinato a essere rilanciato dopo il periodo primaverile.
L’associazione organizza inoltre incontri formativi, partendo dai concetti base dell’intelligenza artificiale per poi approfondire temi specifici come la manutenzione predittiva e la tutela dei dati, introducendo il concetto di dataspace.
L’obiettivo è fornire alle aziende gli strumenti e le conoscenze necessarie per affrontare le sfide tecnologiche e normative, promuovendo una cultura della cyber security e della digitalizzazione consapevole e proattiva.
