Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Stampa questa pagina
La convergenza IT/OT. A che punto siamo? - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

La convergenza IT/OT. A che punto siamo? - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

APRILE 2021

L’ultima mail (31 marzo) proveniente da ISA (International Society for Automation) (www.isa.org), riporta l’annuncio di 9 webinar che trattano di Cybersecurity, IIoT, Industrial IT, IT/OT convergence. La convergenza tra il “mondo” IT (information Technology) e quello OT (Operational Technology) è un argomento che sembra rivestire un sempre maggior interesse, specie in relazione alla cybersecurity che coinvolge sempre più il mondo dell’automazione, una volta regno incontrastato degli specialisti dei sistemi di controllo. La storia di questo “matrimonio”, che forse non si è ancora celebrato, inizia oltre 20 anni fa con i primi tentativi di utilizzo delle tecnologie IT in ambito industriale. Allora ci si preoccupava per la possibilità di dotare i PLC (Programmable Logic Controller) di una porta Ethernet con tutte le conseguenti possibilità, e i rischi, di agevole connessione al mondo TCP/IP. Da allora la situazione è enormemente evoluta e oggi è normale parlare di sistemi ICS (Industrial Control System)/ SCADA (Supervisory control and data acquisition) in cloud. In realtà l’evoluzione tecnologica ha reso sempre meno definiti gli ambiti e le definizioni funzionali di tali sistemi
La spinta maggiore a questa progressiva “invasione” è stata ovviamente quella economica. Le tecnologie IT, grazie alla loro diffusione, costano meno sia in termini di acquisizione che di mantenimento e la loro evoluzione tecnologica è più veloce e meno costosa. Quindi grandi opportunità ma anche maggiori rischi derivanti dal cyber crime, nelle sue varie forme, al quale si è improvvisamente aperto un nuovo “mercato”.
Negli ultimi 5 anni si sono anche affermate nuove tecnologie e concetti (l’intelligenza artificiale, l’Internet delle cose, Block-chain) che hanno reso sempre meno definito il confine tra IT e OT. In particolare, l’Internet delle cose (IoT) ha decisamente esteso il panorama degli “oggetti” connessi includendo anche i sensori e gli attuatori che sino ad alcuni anni fa erano i tipici elementi della OT. In pratica IoT ha abolito i limiti e i perimetri tradizionali con i quali siamo stati abituati a definire, e quindi a difendere, i sistemi informatici, inclusi quelli per uso industriale.
Questa evoluzione non è, ovviamente, sfuggita ai vari enti di normazione e standardizzazione che, con approcci molto differenziati, hanno cercato di “inseguire” il fenomeno e fornire definizioni e metodiche per migliorare l’uso e la sicurezza. Inoltre il mondo IoT ha non solo problemi di sicurezza, intesa nella duplice accezione di safety e security, ma anche di tutela dei dati personali che potrebbero essere presenti o in transito negli apparati IoT.
ENISA (European Union Agency for Network And Information Security) ha sinora dedicato circa 20 documenti al mondo IoT e alle sue declinazioni, tra cui IIoT (Industrial Internet of Things) in particolare in connessione con lo Smart Manufacturing. ENISA definisce IoT come un ecosistema all’interno del quale sono presenti apparati IoT. Ogni settore di applicazione (trasporti, medicina, consumer, ecc.) definisce un ecosistema con le sue minacce e i suoi asset da proteggere. Vengono anche identificati gli standard e le best practices da applicare all’ecosistema considerato.
Molto diverso appare l’approccio dell’americano NIST (National Institute of Standards and Technology) il cui focus sono le caratteristiche di sicurezza dell’IoT come apparato. I documenti riguardano gli obiettivi di tutela della sicurezza e della privacy con cui gli apparati IoT devono essere progettati e le raccomandazioni per i costruttori di IoT. Da evidenziare che i documenti NIST esplicitano le misure proposte in termini di controlli specificati dal NIST SP 800-53 r5 che rappresenta la “Bibbia” dei controlli di sicurezza in ambito forniture IT al governo federale.

L’ISO (International Standard Organization) ha prodotto oltre 150 documenti classificati come IoT ma, il focus varia secondo le finalità del Sottocomitato (SC) coinvolto. ISO sta lavorando sull'IoT in quanto dispositivi e non come ecosistema. Questo approccio è coerente con la storia dell’organizzazione che mira a emettere standard per i prodotti e le industrie correlate. A titolo di esempio si può citare lo SC41 "Internet of Things e tecnologie correlate", creato per esaminare l'IoT. Questo Sottocomitato si concentra principalmente sui sensori IoT (rete, architettura di riferimento, test, sensori specializzati (acustica subacquea, contatore del gas, sottostazioni elettriche, IoT industriale, ecc.)).
Di particolare rilievo appare lo sforzo congiunto ISA (International Society for Automation) e IEC (International Electrotechnical Commission) per il completamento dell’architettura ISA/IEC 62443 relativa alla sicurezza degli IACS (Industrial Automation and Control Systems). Questi ultimi sono definiti come: raccolta di personale, hardware, software, e di regole organizzative per il funzionamento del processo industriale che possono influenzare la sicurezza, la protezione e l'affidabilità operativa. L’architettura ISA 62443 include 4 serie di standard articolati sui seguenti livelli General, Policies and Procedures, System, Component.
Come si può desumere dalla quantità di documentazione disponibile la convergenza IT/OT è in corso da tempo. Inoltre, l’evoluzione tecnologica, forse più veloce dei tentativi di classificazione e definizione di architetture, sta rendendo sempre meno definite categorie una volta immutabili.
Forse la domanda da porsi non è quando avverrà questa convergenza ma, piuttosto, quali sono i requisiti irrinunciabili del settore industriale che lo caratterizzeranno anche in futuro.
Sicuramente il primo requisito è quello del rispetto delle normative di safety per assicurare il corretto funzionamento degli apparati ed evitare incidenti che potrebbero causare danni a persone e cose. La cybersecurity viene dopo la safety e comunque dovrebbe evitare che venga compromessa la safety. Analoghe considerazioni valgono per le esigenze di continuità e i vincoli derivanti in termini di manutenzione e aggiornamento software; il ciclo frenetico di patches del mondo IT non è compatibile con la continuità e il mantenimento delle certificazioni di safety proprie delle installazioni industriali. Infine, la vita operativa degli apparti OT è molto superiore ai 10 anni, un’era geologica per il mondo IT.
Personalmente ritengo che l’attuale enfasi sulla convergenza abbia anche origine commerciali (ad esempio, Microsoft ha acquisito società che operano nel campo OT) e in realtà sia anche riconducibile, come evidenziato da alcuni, ad una differenza “culturale” tra i team IT e OT che si sono sviluppati in ambiti paralleli e adesso devono iniziare a “dialogare” e collaborare.
Come al solito il fattore umano è quello più difficile da “governare” e l’evoluzione verso un mondo sempre più complesso comporta, a mio parere, il definitivo riconoscimento della necessità di abbandonare l’approccio settoriale per adottare quello multidisciplinare.

Glauco Bertocchi

(Newletter AIIC n. 04 (2021))