La trasformazione digitale delle imprese manifatturiere comporta inevitabilmente dei rischi per la sicurezza. Nel convegno affrontati i problemi tecnologici e normativi. ICS Forum, evento organizzato da Messe Frankfurt Italia e rivolto in particolare alle imprese manifatturiere, comprese le PMI, ha avuto come obiettivo quello di fornire ai partecipanti le informazioni e le conoscenze per essere in grado di capire come prevenire, riconoscere e reagire a un attacco e di valutare il proprio grado di conoscenza degli aspetti normativi di maggiore rilevanza.
Nel corso del convegno sono state affrontate le strategie di prevenzione e risposta agli attacchi oltre che gli aspetti legali e normativi della cybersecurity, con riferimento alla direttiva europea NIS (Network Information System), alle norme ISO 27001 e IEC62443, e anche al GDPR (Regolamento Generale sulla Protezione dei Dati) che entrerà in vigore il prossimo maggio.
Roberto Zuffada, Siemens Bisogna evitare che la sicurezza sia considerata opzionale. L’OT (Operation Technology) come rete di officina in genere è organizzativamente fuori dall’IT (Information Technology) e va gestita in modo diverso. L’OT non può allinearsi immediatamente ai livelli di sicurezza dell’IT. La parte industriale è la parte più debole per la sicurezza. Sull’attività di formazione sulla cybersecurity c’è un credito di imposta del 140%.
Raoul Brenna, Cefriel C’è il rischio di introdurre difettosità occulte per esempio tramite le stampanti 3D. Il fattore umano è sempre. Il phishing funziona ancora.
Fabio Sammartino, Kaspersky Le minacce più pericolose sono quelle classiche. E’ necessario partire dai principi base della sicurezza informatica anche in ambito industriale. Le soluzioni non possono essere le stesse per l’OT e per l’IT. Windows XP è ancora il sistema più diffuso nelle macchine industriali connesse a PLC (Programmable Logic Controller, controllore specializzato nella gestione o controllo dei processi industriali) e sistemi Scada (Supervisory Control And Data Acquisition, controllo di supervisione e acquisizione dati).
Antonio Madoglio, Fortinet L’OT si caratterizza per particolarità ambientali diverse da quelle dell’IT, per esempio nella collocazione degli impianti industriali. Fortinet dispone di un database esteso di malware che vengono usati per fare il training dei sistemi automatici di difesa.
Giuseppe Cardinale Ciccotti, UniquID Va affrontato il problema della sicurezza di miliardi di oggetti. Usare blockchain per gli endpoint. Un layer a basso costo decentralizzato, non modificabile e permanente. Ogni oggetto ha una sua identità e regole per accedere ad altri oggetti, C’è differenza tra il riconoscimento di identità delle persone e quello delle cose. Bisogna fare in modo che l’oggetto in sé durante il ciclo di vita sia sempre sicuro in modo automatizzato.
Francesco Laera, Commissione Europea Limitare le minacce e massimizzare le opportunità per l’industria europea. L’Agenzia della cybersecurity ha come obiettivo quello di arrivare a un quadro europeo di certificazione. Serve l’integrazione della sicurezza a monte.
Alvise Biffi, Assolombarda La protezione del comparto industriale è strategica per il paese. In Assolombarda creato Help Desk cybersecurity per dare un supporto alle aziende.
Domenico Billé, Oracle Nessuno può permettersi di trascurare dettagli di sicurezza. Bisogna demandare il più possibile alle macchine la sicurezza aziendale ed è fondamentale avere tutti i sistemi adeguati alle ultime release. Oracle utilizza il machine learning per l’analisi comportamentale degli utenti.
Massimo Scanu, ABB Va prestata la massima attenzione al ciclo di vita dei prodotti hardware e software ed è necessario avere sempre online le versioni di backup dei sistemi di controllo. Inoltre, va monitorato costantemente lo stato di salute dei sistemi di controllo.
Stefano Mele, Carnelutti Studio Legale Associato Si deve passare dalla privacy alla protezione dei dati personali per la tutela dei clienti e dei dipendenti. La direttiva NIS è rivolta a operatori di servizi essenziali e anche a operatori di servizi informatici. Ha l’obiettivo di armonizzare i livelli di sicurezza all’interno di tutti i paesi europei e va recepita a livello governativo.
Andrea Maggipinto, studio legale AMLAW Nel caso della tutela del segreto industriale la responsabilizzazione dell’azienda è l’elemento chiave per la protezione del segreto industriale.
