Partiamo dai dati
Secondo il rapporto Clusit 2024 il numero di cyberattacchi registrati a livello globale è passato da 1667 nel 2019 a 2779 nel 2023 (+37%), il numero registrato in Italia nello stesso periodo è passato da 37 del 2019 (2.2% del totale) a 310 nel 2023 (11.5% del totale) (+750%).
Notiamo immediatamente come le minacce informatiche siano in costante e consistente aumento in tutto il mondo, ma con particolare gravità sul nostro Paese.
Altro dato importante è la correlazione tra tecniche di attacco e tipologia di vittime: in Italia dal 2019 al 2023 gli attacchi DDoS sono passati da 0 a 111 all’anno e oggi rappresentano il 36% degli attacchi totali, mentre gli attacchi Malware sono passati da 8 a 103 annui e rappresentano il 33% degli attacchi totali.
Questo dato diventa ancora più rilevante se lo correliamo alle vittime degli attacchi: Government rappresenta il 19% del totale, seguito da Manufacturing al 13%, un dato significativamente diverso da quello globale dove le due categorie raccolgono rispettivamente il 12% e il 6% degli attacchi totali. Visto da un’altra prospettiva gli attacchi alle imprese manifatturiere italiane rappresentano un quarto del totale degli attacchi al comparto Manufacturing globale.
Le vulnerabilità nelle imprese manifatturiere
Come abbiamo visto, il nostro comparto manifatturiero risulta estremamente vulnerabile.
Una causa è senza dubbio l’evoluzione tecnologica che ha permesso di inserire nelle realtà produttive macchine con una sempre maggiore presenza di software e tecnologie informatiche, trasformando le vecchie fabbriche in “Smart factories”. Questo ha portato indubbi benefici nei processi di automazione industriale e di controllo, ma ha anche aperto la porta a potenziali rischi per la sicurezza.
Rischi che sono acuiti dal fatto che le macchine non sono “sistemi isolati”, ma operano interconnesse ai sistemi operativi e gestionali aziendali e spesso sono legate ad una rete che, se non adeguatamente protetta, moltiplica le potenziali porte di attacco per i criminali informatici, il cui scopo, come abbiamo visto, diventa il blocco del sistema di produzione, con impatti economici, reputazionali e potenzialmente dannosi per la sicurezza e la salute dei lavoratori e dell’ambiente.
Come coniugare smart factories e cybersecurity?
Il quadro normativo
In primo luogo è fondamentale che gli impianti industriali e le singole macchine o quasi-macchine che li compongono, siano “sicuri”.
In tal senso esiste il Regolamento UE 2023/1230 varato nel giugno del 2023 e che entrerà in vigore nel gennaio 2027.
Interessante notare come nel nuovo regolamento, nell’elenco indicativo degli elementi di sicurezza sia esplicitamente indicato anche il software, che viene quindi identificato come componente della macchina e come tale soggetto alla normativa.
Non solo, l’art 1.1.9 dell’Allegato III al regolamento dispone che “Software e dati critici per il rispetto da parte della macchina o del prodotto correlato dei pertinenti requisiti essenziali di sicurezza e di tutela della devono essere individuati come tali e devono essere adeguatamente protetti da un’alterazione accidentale o intenzionale”. Inoltre tutti i componenti hardware che trasmettono segnali o dati devono essere progettati in modo da essere protetti da alterazioni accidentali o intenzionali e che eventuali interventi legittimi o illegittimi su tali hardware siano registrati.
Si tratta di un importante intervento normativo, che sottolinea quanto il tema della cybersecurity sia pervasivo e riguardi ormai anche impianti e sistemi industriali che fino a qualche anno fa avevano poco a che fare con l’informatica.
Il regolamento è in linea con quanto previsto dagli standard ISA/IEC 62443, che definiscono i requisiti e i processi per implementare e mantenere la sicurezza elettronica nell’automazione industriale e nei sistemi di controllo (IACS), con un’attenzione particolare al legame tra Operational Technology (OT) e Information Technology (IT).
Le azioni da intraprendere
Nell’attesa che il nuovo Regolamento diventi legge, le aziende manifatturiere, ma in generale tutte le realtà produttive, dovrebbero iniziare a mettere in atto tutte le azioni necessarie per valutare le differenze tra le loro attuali pratiche di conformità e i requisiti del Nuovo Regolamento in termini di sicurezza e, successivamente, sviluppare un piano d’azione per colmare le lacune identificate.
Il primo passo è aggiornare la valutazione del rischio ed eventualmente individuare nuovi potenziali rischi. Questo vale soprattutto per le aziende che stanno pensando di inserire, o stanno già implementando l’AI nei loro sistemi di produzione. Secondo il nuovo regolamento, infatti, la sicurezza degli impianti è una responsabilità che ricade non solo su chi ha fabbricato i macchinari, ma anche sugli utilizzatori che sono tenuti a verificarne periodicamente il livello di sicurezza per quanto riguarda sia gli aspetti informatici (software e devices utilizzati) che quelli fisici (l’ambiente nel quale i macchinari vengono collocati).
Il secondo passo è procedere all’inserimento e/o aggiornamento di tutti i dispositivi di sicurezza necessari per proteggere le macchine: dalle interfacce macchina-rete alla protezione della rete stessa.
Infine è necessario creare una cultura della sicurezza, che permei tutto il personale che lavora con le macchine. L’ambiente produttivo italiano è tradizionalmente composto da reparti con bassi livelli di informatizzazione, dove le probabilità di successo di eventuali attacchi sono maggiori.