In occasione del terzo appuntamento del ciclo di incontri I4.0@DEIB il Professor Stefano Zanero del Dipartimento Elettronica, Informazione e Bioingegneria del Politecnico di Milano, ha spiegato come sta cambiando l’esposizione delle piccole e medie imprese manifatturiere ai cyberattacchi nella nascente stagione dell’industria 4.0.
Perché la cyber security è un fattore abilitante per industria 4.0?
Innanzitutto perché l’interconnessione delle fabbriche e la connessione a internet degli strumenti di produzione crea dei nuovi scenari di attacco, delle nuove possibilità di aggressione delle nostre aziende. Il secondo motivo è di carattere tecnico-scientifico: noi esperti di sicurezza ci occupiamo abitualmente di violazione di sistemi informatici, mentre invece nel caso di industria 4.0 e di tutti i sistemi di controllo industriale si tratta di sistemi che hanno un impatto sul mondo fisico. Di conseguenza sia le tecniche di valutazione, sia i modi per fare analisi dei rischi e per disegnare il corretto funzionamento di questi impianti comportano l’utilizzo di tecniche diverse da quelle che usiamo abitualmente per disegnare il corretto funzionamento di una rete informatica.
Erroneamente si pensa che il mondo delle piccole imprese sia poco interessante e appetibile per i cyber attaccanti…
Questa è una sensazione molto diffusa, che per lungo tempo ha avuto anche un suo fondamento: le piccole e medie imprese si sono sentite meno esposte e più protette rispetto agli aggressori di carattere generale. Oggi però anche le piccole medie imprese sono spesso bersaglio di attacchi mirati di aggressori che sono interessati specificamente a loro e che mirano ad aggredire, oltre alla parte finanziaria o di gestione dei dati dell’azienda, anche la parte industriale.
Che cosa può fare la tecnologia per aiutare le aziende a difendersi?
Se è vero che molti attacchi sono altamente sofisticati, è anche vero che gran parte dei danni che piccole medie imprese subiscono derivano da attacchi molto semplici: non solo quindi i sofisticati attacchi Zero Day, ma anche i “Forever Day”, cioè quegli attacchi che funzionano e continueranno a funzionare perché si basano sulla poca esperienza e la poca formazione delle persone. In sintesi, c’è un grande lavoro da fare sullo strato di attacchi più semplici; dopodiché la tecnologia comunque avanza e stiamo cercando di lavorare insieme al mondo della produzione per integrare sempre di più la sicurezza by-design all’interno degli oggetti. Il punto è che oggi siamo in uno svantaggio costante rispetto agli attaccanti perché cerchiamo di proteggere oggetti che non sono stati progettati nel modo giusto e quindi cerchiamo di metterci delle pezze. Ma nella prossima generazione di controllori industriali o di controllori robotici i produttori stanno già adottando delle tecniche di security-by-design, anche in cooperazione con università e centri e centri ricerca come il nostro, per fare in modo di prevenire la possibilità di certi tipi di attacchi di certi tipi di vulnerabilità.
Di cyber security si occuperà anche il nascituro Competence Center capitanato dal Politecnico di Milano?
Assolutamente sì. Uno degli elementi oserei dire fondante del progetto che abbiamo proposto riguarda proprio questo aspetto. E questo non sarà vero neanche solo per il nostro Competence Center. Ad esempio sappiamo già che anche il Compentence Center di Torino avrà una componente relativa alla cyber security e siamo già in contatto con loro per lavorare e fare ricerca insieme.
