Industria 4.0: lo stato dell’arte tra normativa, sicurezza e best practice

Sono passati 8 anni da quando il termine “Industria 4.0” è stato usato per la prima volta, nel corso della Fiera di Hannover nel 2011. Da quel giorno la “quarta rivoluzione industriale” della nostra storia ha determinato e continua a portare con sé cambiamenti radicali nei processi produttivi, nelle professionalità e nelle abilità richieste, così come nell’assetto generale degli impianti di produzione e nei modelli di organizzazione. Il quadro evolutivo è in pieno sviluppo e le iniziative che metteremo in atto nei prossimi anni saranno cruciali per definire l’evoluzione dei processi e il loro impatto sul mondo.

La classificazione delle tecnologie “abilitanti” alla base del concetto stesso di Industria 4.0 (definite dall’Osservatorio Industria 4.0 del Politecnico di Milano) riescono solo in parte a farci comprendere il livello di complessità e le tantissime implicazioni. Dal mondo dell’Industrial Internet of Things (le tecnologie basate su smart objects e reti intelligenti) all’Industrial Analytics (in grado di sfruttare le informazioni celate nei big data), fino al Cloud Manufacturing (l’applicazione in ambito manifatturiero del cloud computing). E ancora tutto l’universo dell’Advanced Automation (le tecnologie affini alla robotica), l’Advanced Human Machine Interface (HMI, i dispositivi indossabili e le nuove interfacce uomo/macchina) o l’Additive Manufacturing.

Le aziende italiane non sono ancora 4.0

La complessità e le implicazioni – dai risvolti governativi all’impatto sul mondo del lavoro, fino alle problematiche relative alla sicurezza – non hanno impedito la diffusione globale di questo approccio, con alcune differenze sostanziali a seconda dei paesi. La Germania è considerata tra i pionieri dell’Industria 4.0 in Europa, seguita dalla Francia che si è dotata rapidamente di una serie di misure per incentivare le aziende ad allinearsi alla quarta rivoluzione industriale. Negli Stati Uniti, invece, l’approccio al fenomeno ha forme diverse da quelle europee ma analoghi obiettivi. E in Italia? Uno degli studi più recenti, EY Manufacturing Lab 2019, fornisce un’istantanea del livello di maturità digitale del settore nel nostro paese e mostra come le aziende italiane debbano ancora fare dei passi in avanti nel pieno accoglimento di un approccio 4.0, anche se una buona parte sta già gettando le basi per una corretta gestione digitale dei processi.

La convergenza tra mondo IT e OT determina un aumento dell’esposizione alle cyberminacce

Questo fenomeno, destinato a cambiare la storia dell’evoluzione come già hanno fatto le precedenti rivoluzioni industriali, merita, però, di essere analizzato non solo a partire dai suoi indubbi vantaggi, ma anche considerandone attentamente le criticità, la principale delle quali è legata all’aumento esponenziale dei rischi dal punto di vista della sicurezza informatica. La convergenza tra mondo IT e OT, la maggior connettività alle reti esterne e il crescente numero di dispositivi IoT ad uso industriale (IIoT) determina un aumento del livello di rischio e un’esposizione alle cyberminacce davvero preoccupante se si considerano le possibili conseguenze: danni ai prodotti, opportunità commerciali perse, perdita di fiducia nei confronti di un’azienda, problematiche a livello ambientale, cali nella produzione e molto altro ancora.

La direttiva NIS

Gli esiti potenzialmente distruttivi delle cyberminacce a livello generale e alcuni casi esemplari (basti ricordare la pandemia mondiale del Trojan encryptor WannaCry), hanno avuto, però, un risvolto positivo: hanno portato, ad una riflessione a livello internazionale e all’adozione da parte del Parlamento Europeo, nel 2016,  della direttiva sulla sicurezza dei sistemi delle reti e dell’informazione, NIS (Network and Information Security), il cui obiettivo principale era raggiungere un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i Paesi membri dell’UE. Anche l’Italia, con il Decreto Legislativo del 18 maggio 2018, ha dato attuazione alla Direttiva – relativamente a Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) – che non ha un orientamento prescrittivo, ma indica gli obiettivi da raggiungere lasciando ai singoli soggetti ampio margine di manovra nell’individuare e implementare mezzi e strumenti considerati idonei per il loro raggiungimento.

Al di là della Direttiva sovranazionale, rimane comunque fondamentale, per le realtà che operano o si affacciano all’approccio 4.0, avere una corretta conoscenza dello scenario generale, delle cyberminacce in ambito industriale, così come delle best practice da mettere in atto per una maggiore protezione di processi e sistemi.

Il 2019 è stato l’anno della digitalizzazione dell’automazione OT

L’ICS CERT di Kaspersky (un progetto globale nato nel 2016 con l’obiettivo di coordinare gli sforzi dei vari attori nell’ambito della sicurezza nella protezione delle industrie dai cyberattacchi, impegnato soprattutto nell’identificare minacce potenziali ed esistenti) cerca di andare incontro alle esigenze delle aziende industriali, mettendo a disposizione ogni anno un quadro molto preciso della situazione generale, per aiutarle a comprendere i principali rischi e per fornire loro informazioni precise su accorgimenti, soluzioni e pratiche per un corretto approccio alla cybersecurity in ottica 4.0. L’esito dell’analisi condotta per il 2019 sullo stato della sicurezza informatica dei sistemi di controllo industriale (ICS), nonché sulle priorità, le preoccupazioni e le sfide che comporta, partendo da uno studio che ha coinvolto 282 aziende e organizzazioni industriali in tutto il mondo, si è rivelato particolarmente interessante per la sua capacità di evidenziare la natura evolutiva delle minacce, le principali preoccupazioni delle aziende in caso di incidente informatico agli ICS e il tipo di risposta messa in campo dalle organizzazioni industriali.

Secondo il report, il 2019 è stato l’anno della digitalizzazione dell’automazione OT, una tendenza che implica una serie di riflessioni, a partire dalla natura stessa di questo tipo di sistemi: l’automazione OT porta ad un aumento delle connessioni a Internet, questo tipo di reti stanno diventando sempre più sofisticate e il numero degli attacchi continuerà ad aumentare. La conformità alle best practice e agli standard generali della cybersecurity sarà sempre più importante, ma considerando la mancanza di esperti di sicurezza informatica in ambito OT/ICS e il rischio crescente di attacchi sempre più pericolosi, l’implementazione di nuove soluzioni di cybersecurity è ampiamente consigliata.