Prima dell’avvento di Internet la fabbrica era un’entità separata dall’esterno, ma successivamente, e soprattutto con l’implementazione di tecnologie tipiche dell’Industria 4.0, la fabbrica è sempre connessa con l’esterno e, per questo, dal punto di vista della sicurezza dei dati è più vulnerabile di prima. Per questo motivo spesso non è più sufficiente criptare i dati, ma occorre adottare politiche di sicurezza e di privacy affidabili e effettuare scelte a partire dalla fase di progettazione del sistema sulla base di un’attenta analisi dei rischi.

Spesso le aziende non hanno la consapevolezza del fatto che esiste un rischio dovuto al fatto di essere connesse a internet o di produrre oggetti che sono connessi alla rete.

Quello che serve adesso alle aziende è l’acquisizione della consapevolezza necessaria per operare senza incorrere in sorprese, occupandosi della questione sicurezza.

Occuparsi della Cyber Security in modo strutturato significa che la questione deve entrare nei processi di management aziendale al pari di altri processi come la valutazione e la gestione del rischio sicurezza.

Il Laboratorio Nazionale di Cyber Security e il CIS-Sapienza, in collaborazione con diverse organizzazioni pubbliche e private, hanno realizzato nel 2015 un Framework Nazionale per la Cyber Security, allo scopo di permettere alle imprese di effettuare un’anamnesi della propria situazione e acquisire la consapevolezza delle mancanze che devono colmare. Il framework tratta tutte le attività che devono essere svolte per avere una corretta gestione della Cyber Security, dividendole in 5 categorie di azioni:

  • identify: azioni da svolgere per identificare i rischi presenti
  • protect: azioni da svolgere per proteggersi dagli eventuali attacchi informatici
  • detect: misure da adottare per individuare un attacco in corso
  • respond: procedure da eseguire in risposta ad un attacco
  • recover: azioni da svolgere per ripristinare il sistema dopo un attacco

Conoscere il livello di sicurezza che l’azienda è in grado di raggiungere è importante in ogni aspetto, che si parli della sicurezza delle reti, della sicurezza delle applicazioni usate, della sicurezza delle transazioni effettuate, ma anche della sicurezza che i prodotti venduti in grado di connettersi alla rete garantiscono: Si sono verificati alcuni casi infatti in cui il software presente in prodotti tecnologici ed in grado di interfacciarsi alla rete è stato attaccato ed utilizzato come bot per attaccare dei server terzi.

È fondamentale quindi conoscere il livello di sicurezza che i dispositivi utilizzati sono in grado di garantire. Ad esempio, mentre i microprocessori sono dotati di avanzati sistemi operativi e di crittografia, quando ci si avvale dei microcontrollori, è necessario considerare il fatto che solitamente questi sistemi comunicano con i gateway in chiaro perché non hanno lo spazio per implementare protocolli di sicurezza o firewall. In questi casi, sono proprio i gateway che analizzano e trasformano i dati raccolti dai vari sensori, e li inviano ai server del cloud dove avvengono le elaborazioni.

Tutti i passaggi tra i nodi della rete (sensori montati sulle schede elettroniche di controllo o sulle macchine) e verso gli hub (gateway) sono punti deboli da proteggere da attacchi esterni o, specialmente se i dati scambiati sono dati sensibili, da spionaggio industriale.

Questo porta alla necessità di studiare la soluzione più idonea al caso specifico e di capire come eseguire la trasmissione dei dati in sicurezza in ogni passaggio.

Oggi come oggi anche i microcontrollori sono in continua evoluzione e sono in grado di garantire un livello di sicurezza sempre più alto perché vengono dotati da un lato di quantitativi di memoria crescenti in modo da ospitare gli algoritmi necessari per i protocolli di sicurezza (come ad esempio https), e dall’altro di moduli di sicurezza a livello hardware. Sulla base di questa disamina è possibile affermare che il modo per svolgere le operazioni in modo sicuro esiste, ma è necessario studiare la soluzione ottimale in base al caso specifico.

La sicurezza entra in gioco naturalmente anche quando si intende automatizzare una fase del processo, ad esempio la fase degli acquisti, che va a toccare la logistica esterna, l’avvenimento di una transazione con relativa fatturazione, la logistica interna con il magazzino e la programmazione della produzione. Proprio per il grande numero di funzioni aziendali che coinvolge, al fine di automatizzare un processo del genere è fondamentale avere la certezza che non ci siano errori o manipolazioni lungo ogni scambio dati che avviene. Il tutto è scatenato dall’avvenimento della transazione, dunque è fondamentale avere un sistema che certifichi che tale eventoè effettivamente accaduto, e che non sia falsificabile dall’esterno.

Le blockchain, già citate nel capitolo precedente, possono avere un ruolo fondamentale in questo, proprio perché permettono di certificare e garantire la veridicità di qualunque forma di transazione grazie all’architettura dell’algoritmo di funzionamento della stessa.