Priorità assoluta all’Industrial Security: il primo passo per le aziende

Simon Nutz, Consultant Industrial Security

“Sicurezza? Non ci riguarda!” - In merito alla sicurezza, questa è la risposta ancora frequente di costruttori e operatori di macchine. “È il nostro reparto IT a occuparsi della sicurezza”, viene spesso aggiunto come semplice scusa. Nella pratica, tuttavia, il reparto IT non dispone delle conoscenze specifiche, soprattutto in relazione alle reti di automazione. D’altro canto, i costruttori, o anche i responsabili della sicurezza (Health and Safety Manager, HSE), non sono sicuri su come gestire la sicurezza informatica. Quindi, come ci si prepara per l’Industrial Security?

A partire da gennaio 2027, nell’Unione Europea sarà obbligatoria l’applicazione del Regolamento Macchine (RM). Esso riguarda tutte le aziende che vogliono importare o utilizzare macchine all’interno della UE. L’Industrial Security viene prescritta dal Regolamento Macchine sotto forma di misure di protezione atte a contrastare qualsivoglia alterazione. L’Industrial Security diventa così di importanza critica e, quindi, di responsabilità del Management che deve garantirne l’integrazione all’interno dell’azienda.

Coinvolgimento di tutti
Perché questo accada, è necessario come primo passo coinvolgere e riunire tutte le parti interessate. Per quanto riguarda i costruttori di macchine, si tratta dell’IT e dello Sviluppo/Progettazione e, se presenti, i responsabili della security (ad es. CISO). Per gli utilizzatori, oltre all’IT, saranno interessati la tecnica di produzione e le direzione di produzione, l’HSE e il CISO.
Si tratta innanzitutto di acquisire le competenze e sviluppare una concezione comune nei confronti dell’Industrial Security: quali obblighi di legge interessano il settore di macchine e impianti? Come sono correlate in questo ambito safety e security? Come si interfacciano tra loro IT e OT?

Il secondo passo prevede che questi team interdisciplinari definiscano ed elaborino una strategia idonea per l’azienda insieme a un approccio di implementazione. Il punto è trovarsi e strutturarsi all’interno dell’azienda: su chi ricadranno in futuro le responsabilità? Come si configura la topologia della rete delle proprie macchine? Come si concilia questo alle nuove disposizioni di legge?

L’implementazione ha inizio con la valutazione del rischio
Solo quando è stata eseguita la valutazione del rischio, l’impresa è in grado di affrontare l’implementazione del tema Industrial Security. Ciò ha inizio con la valutazione e quantificazione di possibili danni e la realizzazione di un’analisi dei requisiti di protezione. In questo ambito si procede inoltre all’individuazione di eventuali vulnerabilità e all’identificazione di potenziali attacchi e manipolazioni mediante il collegamento in rete, la digitalizzazione e l’IA. Tra gli obiettivi di protezione dell’Industrial Security, è importante prevedere, oltre ai classici obiettivi di sicurezza dell’IT quali riservatezza, integrità e disponibilità, anche la safety, ovvero la sicurezza funzionale della macchina.

Una valutazione del rischio per la sicurezza è sempre il punto di partenza. Si tratta di considerare rischi e pericoli emersi a seguito di falle della sicurezza. Questo richiede un costante controllo e adattamento delle misure di sicurezza. In questo processo devono essere coinvolte reti e infrastrutture IT spesso complesse, e questo implica ulteriori risorse ed expertise tecniche.

Cercasi esperto in Security e Safety!
Chi cerca supporto esterno nell’approccio all’Industrial Security nel campo dell’automazione, dovrebbe essere consapevole che il know-how della sicurezza in ambito IT può essere d’aiuto solo in parte. Infatti, i processi mirati alla riduzione dei rischi da attacchi alle macchine (Industrial Security) sono molto simili ai processi per la riduzione dei rischi che possono derivare dalle macchine stesse (Safety). Coloro che intendono implementare l’Industrial Security, devono essere esperti della sicurezza delle macchine e conoscere le relative disposizioni e norme, primo fra tutti il Regolamento Macchine.

Attualmente è in corso l’attuazione effettiva della legislazione. Su alcuni punti, le norme armonizzate sono ancora in fase di elaborazione. In qualità di azienda esperta nella sicurezza delle macchine, Pilz è direttamente coinvolta e contribuisce in maniera attiva a definire norme in materia. Pilz trasmette ai propri clienti questo suo know-how e le sue competenze in termini di servizi e corsi di formazione. “Fondamenti di Industrial Security” è un corso a livello propedeutico. I partecipanti acquisiscono le terminologia, apprendono i requisiti e comprendono il significato della cybersecurity nell’ambito della sicurezza di macchine e reti. Le best practice contribuiscono a comprendere i rischi della sicurezza informatica nell’ambito della propria produzione.
Il corso “Certified Expert for Security in Automation (CESA)” fornisce gli strumenti per implementare efficaci misure organizzative e tecniche nelle reti di automazione industriali.

Oltre all’offerta formativa, con il portfolio di “Identification and Access Management”-Portfolio (I.A.M.) Pilz propone prodotti e soluzioni personalizzate per molteplici attività in materia di tutela della salute e incolumità del personale, tutela della responsabilità civile, produttività ai massimi livelli e protezione dei dati. Le applicazioni comprendono, ad esempio, l’autenticazione di utenti, la selezione della modalità operativa sicura, la sicurezza di dati e reti nonché la gestione degli accessi. In questo modo è possibile includere safety e security in un unico sistema.

Per prepararsi per tempo ad affrontare le sfide dell’Industrial Security, i costruttori e gli operatori di macchine di tutto il mondo dovrebbero già da ora confrontarsi con questo tema. È necessario sviluppare le conoscenze, definire le competenze e le interfacce ed elaborare una strategia. Idealmente è il Management ad avviare questo processo.