“Il crimine informatico si è evoluto in servizio. Gli attacchi ransomware nel 2021, tra cui Kaseya, SolarWinds e Colonial Pipeline, hanno reso evidente, se neccessario, l’importanza di integrare la cybersecurity nella cultura aziendale e di implementarla lungo tutta la supply chain“, dice Sudhir Ethiraj, responsabile globale della cybersicurezza di Tüv Süd*.
Tüv Süd Individua alcuni trend per il 2022 > 1. nel Cybercrime as a Service (CaaS), un nuovo modello di business e un mercato destinati a crescere, il ransomware è commercializzato dai criminali informatici come un normale software; 2. una consapevolezza crescente sulla sicurezza informatica, anche se in campi quale l’IIoT le misure rincorrono gli hacker; 3. i rischi nella supply chain richiedono che vi siano standard condivisi lungo tutta la filiera dei fornitori; 4. serve una armonizzazione globale attorno a “standard come spina dorsale della cybersecurity”; 5. poiché l’intelligenza artificiale serve sia le aziende per individuare tempestivamente attacchi o furti di informazioni, sia i criminali informatici: serve consapevolezza sull‘affidabilità delle istanze di ai e dei dati.
In ambienti industriali, il cybercrime e i ransomware non danneggiano solo gli asset fisici, ma mettono anche a serio rischio le persone e l’ambiente circostante. Si pensi alla produzione di vaccini. Tra le misure di prevenzione ci sono le certificazioni e gli standard.
Sulla loro importanza e sul perché certificazione e compliance non sono la stessa cosa hanno parlato all’Automation Fair, a Houston e on demand a novembre, la responsabile della Sicurezza prodotto di Rockwell Automation, Shoshana Wodzisz, e il Business development manager di Tüv Rheinland Usa, Ted Haschke.
“Gli standard sono importanti sia per l’it (information technology) sia per l’ot (operational technology) perché inquadrano tutti gli aspetti della cybersicurezza e sono un punto di riferimento comune. Le aziende possono così collaborare usando la stessa terminologia e linguaggio, capire insieme quali sono le aspettative e gli obiettivi verso i quali lavorare, quali sono i requisiti”.
Da molti anni, spiega Wodzisz, c’è per l’ot e per l’automazione industriale uno standard specifico e globale: IEC62443. L’importanza per un’azienda come Rockwell è che è specifico per la produzione industriale e copre un buon numero di aree riguardanti persone, processi e tecnologie. Per questo Rockwell Automation lo ha adottato da diversi anni. “L’IEC62443 è lo standard predominante in quanto è l’unico per l’automazione e i sistemi di controllo industriale che è globale. È composto da molteplici parti, quindi affronta le esigenze nell’ot non solo per i produttori di prodotti o componenti come Rockwell Automation, ma anche per gli integratori di sistemi e i proprietari dei sistemi finali. Alle imprese fornisce un quadro comune per affrontare ogni tipo di esigenza relativa alla cyber sicurezza”, spiega Haschke.
Le due aree fondamentali che lo standard IEC62443 ingloba quanto a certificazioni e requisiti, continua Wodzisz, sono una prima parte tecnica che specifica ciò che è necessario fare per sviluppare prodotti o sistemi sicuri, dalla gestione delle password, ai registri di controllo o all’avere tutte le istanze firmate digitalmente.
“La parte più importante per un’azienda come Rockwell Automation, tuttavia, è quella relativa ai requisiti necessari per sviluppare prodotti e processi sicuri, indipendentemente che si tratti di componenti o sistemi. Include l’uso dei principi standard di progettazione per la sicurezza del settore e garantisce che sia definita una procedura per la gestione degli incidenti, perché gli incidenti e le vulnerabilità accadono”, dice Wodzisz. “In sintesi, garantisce che i requisiti di sicurezza siano definiti dall’inizio e che la cybersicurezza sia parte integrante del prodotto o del sistema piuttosto che aggiunti alla fine“.
Haschke spiega che la procdura per la certificazione nello standard IEC62443 va ben oltre il prendere un prodotto, fare dei test di penetrazione, altri test e osservarlo tecnicamente.
“In aziende come Rockwell i processi informatici della cybersicurezza stanno diventando organici e il risultato è che ora dispone di molti team interni, come nella produzione o nel design, ben formati, e in alcuni casi certificati, sulle procedure della cybersicurezza”. A cascata, riferiscono a Rockwell, i loro clienti e altri clienti nel settore ora chiedono non solo i prodotti certificati, ma anche che il loro personale sia formato per una competenza di base in cybersicurezza.
Per Rockwell Tüv Rheinland assolve a tre funzioni: certifica i prodotti, fa l’audit e certifica i processi e addestra il personale sui requisiti della cybersicurezza. “Chi segue i nostri corsi e supera un esame ottiene il certificato di ‘cyber security specialist’. Si potrebbe dire che Rockwell sta creando una cultura organica della sicurezza informatica che li differenzia dai concorrenti nel settore”.
“Compliant”, “costruito a norma”, “conforme”, “certificato”: sono termini spesso usati in maniera intercambiabile. Perché è importante la terminologia?
“’Certificato’ è una parola molto importante”, spiega Haschke, “significa che il prodotto o il processo è stato testato e/o controllato da un’organizzazione terza indipendente e accreditata. Bisogna stare attenti perché gli altri termini non implicano necessariamente che una terza parte indipendente abbia eseguito test intensi e invasivi sul prodotto o riprodotto il processo per verificare che siano soddisfatti tutti i requisiti dello standard”.
Avere i prodotti o processi testati e certificati da un’organizzazione terza indipendente e accreditata come Tüv , spiegano, è davvero l’unico modo per essere sicuri al 100% che il prodotto o il processo soddisfino tutti i requisiti e gli standard.
“Una impresa può esaminare i requisiti e cercare di adempierli, ma non può certificare sé stessa. Questo è importante”, precisa Wodzisz, “non si auto valutano gli esami!”.
Inoltre, concludono i due esperti, tutte le certificazioni sono disponibili pubblicamente sul sito di Tüv o su quello di Rockwell Automation, per un’ulteriore prova di legittimità e genuinità. Sui siti web c’è anche l’elenco di chi ha ottenuto il certificato da specialista in sicurezza informatica. “Vogliamo semplificare il più possibile la ricerca di aziende i cui prodotti che sono stati certificati da Tüv”.
*Fondato nel 1866, il Gruppo Tüv Süd, ora globale, fornisce alle aziende servizi di sicurezza tra cui assessment tramite vari tipologie di test, certificazioni nei settori manifattura, data center e cloud, energie rinnovabili, automotive inclusa guida autonoma, robotica e Industria 4.0.