Industria 4.0: una guida per integrare funzione IT e reparti di produzione
La digitalizzazione dell’industria, con il collegamento in rete di macchine e impianti, sta mettendo a contatto tra loro due mondi che sono finora stati separati e forse si guardavano anche con una certa diffidenza. Parliamo delle tecnologie e delle persone che governano il piano produttivo (OT, operational technology) e di quelle che invece si occupano dei sistemi informativi (IT, Information Technology).
Ciascun campo d’azione è orientato da competenze, approcci, campi di responsabilità e priorità differenti. Per chi gestisce la produzione, il requisito più importante è l’affidabilità del sistema, che deve garantire un funzionamento 24/7 senza downtime. Oltre all’affidabilità e alla resilienza verso condizioni ambientali avverse, le reti e i protocolli di comunicazione devono garantire latenze bassissime, in qualsiasi condizione, perché controllano il movimento di macchinari e hanno effetto diretto sulla sicurezza dell’impianto e delle persone. Real time e determinismo della comunicazione sono le parole chiave.
Per chi gestisce reti e sistemi informatici, invece, la priorità è la cybersecurity, in particolare per quanto riguarda la riservatezza dei dati e delle comunicazioni. Questo comporta l’uso di software e dispositivi di sicurezza che potrebbero portare a rallentamenti o maggiore latenza e devono essere costantemente aggiornati, anche a costo di impegnare un dispositivo di controllo della macchina per un periodo che può andare da qualche secondo a qualche minuto. Protocollo principe del mondo IT è il TCP/IP, che per sua natura privilegia la velocità di banda rispetto alla latenza, e ha un approccio probabilistico alla comunicazione, prevedendo nativamente la possibilità di ritrasmettere eventuali pacchetti persi.
Queste condizioni sono inaccettabili in applicazioni industriali come il motion control, in cui gli interventi di modifica avvengono nel giro di millisecondi e la variabilità nei tempi di invio e ricezione dei segnali (Jitter) si misura nell’ordine dei milionesimi di secondo.
Evento digitale il 21 giugno: L’interazione perfetta tra le reti OT e IT
La posta in gioco: competitività e sicurezza
La collaborazione tra questi due ambienti è però irrinunciabile per la competitività delle aziende.
L’acquisizione dei dati di produzione e la loro analisi, anche con algoritmi di intelligenza artificiale, consente di ridurre i fermi-macchina inattesi, abilitare controllo e assistenza da remoto, ridurre le non conformità, risparmiare nello sviluppo di nuovi prodotti grazie alla simulazione, identificare opportunità e inefficienze con l’integrazione nei sistemi di business intelligence aziendale e poter sviluppare più velocemente nuovi prodotti e servizi.
Se queste sono le opportunità, sul fronte dei rischi è fondamentale garantire che reti, sistemi e dati siano protetti dagli attacchi informatici. L’elevata redditività del ransomware e l’importanza della proprietà intellettuale hanno messo le aziende manifatturiere nel mirino di cybercriminali e gruppi di hacker che agiscono per conto di governi ostili. Un fermo della produzione può infatti rappresentare una minaccia intollerabile, e le conoscenze su processi produttivi altamente specializzati sono molto ambìte.
Gli attaccanti stanno imparando a conoscerne i principali punti deboli del mondo OT, come i sistemi operativi obsoleti e non più aggiornabili presenti nei computer di bordo dei macchinari, che hanno cicli di vita pluridecennali a differenza dei 3-5 anni del mondo IT, o le porte per l’accesso remoto usate dai manutentori interni e dai fornitori per erogare assistenza e supporto.
L’approccio di Siemens
Siemens affronta il tema dell’integrazione IT/OT lavorando su tre filoni fondamentali: una profonda competenza sui diversi processi produttivi nelle loro specificità, prodotti e soluzioni specifiche per creare un backbone di rete che offra le necessarie garanzie di sicurezza e affidabilità e la collaborazione con fornitori di soluzioni IT di provata efficacia in campo OT. Vediamoli più in dettaglio.
Sebbene si possa generalizzare il processo di creazione di un backbone di rete industriale, Siemens sa bene che ogni settore verticale ha le sue specificità. Laddove già non esista un OT Manager, figura speculare all’IT manager per i sistemi di produzione, favorisce la creazione di tavoli di lavoro comuni tra reparto IT e OT e crea percorsi di formazione specifici per le diverse figure interessate, in modo che si possa creare un terreno comune in cui ciascuno possa esprimere al massimo le sue competenze, mantenendo però le responsabilità di ciascuno all’interno del proprio dominio di competenza.
Siemens offre un portfolio di prodotti e soluzioni che supportano i protocolli specifici per l’ambito OT e sono certificate in base ai più rigorosi standard di sicurezza in questo campo, ma offrono una doppia interfaccia per dialogare con i sistemi IT usando i normali protocolli utilizzati in questo ambiente.
Accanto a essi, dispositivi di rete attivi offrono funzioni di intrusion prevention, detection e Next Generation Firewall estesi alla parte OT, inclusa l’analisi di comunicazioni sui protocolli Profinet, Modbus e i segnali analogici, senza però incidere sulle prestazioni dei sistemi di produzione.
Per quanto riguarda la sicurezza di sistemi, Siemens lavora virtualizzando le macchine obsolete oppure applicando una logica whitelisting, che consiste nell’autorizzare all’esecuzione i soli applicativi (DLL, servizi, .exe eccetera) identificati come conosciuti e facenti quindi parte di un elenco di azioni consentite, quando tutto è negato per impostazione predefinita.
Tutti i prodotti sono realizzati con l’approccio Security By Design, validato lungo tutte le fasi: dalla progettazione e test pre-vendita fino alla consegna e al successivo monitoraggio delle vulnerabilità. Per il futuro, la roadmap è già segnata chiaramente e prevede l’adozione dell’approccio Zero Trust lungo tutta la catena.
Fondamentale è poi la partnership con i principali attori del mercato ICT, a partire dai produttori di software e dispositivi come CheckPoint, Fortinet, Palo Alto, ZScaler, McAfee, Nozomi e Claroty, per arrivare alla rete di system integrator qualificati con cui poter analizzare i requisiti e sviluppare applicazioni dialogando con la parte IT.
