TIG. Con Luca Moroni, Co-Founder, Cyber Security Angels (CSA), parliamo di un importante regolamento comunitario che disciplina i requisiti di sicurezza per la progettazione e la costruzione delle macchine, il Regolamento Macchine, o Regolamento UE 2023/1230. Qual è il quadro normativo in cui si colloca questa norma europea?
Luca Moroni. Il Regolamento (UE) 2023/1230 si applicherà a partire dal 20 gennaio 2027, andando a sostituire la Direttiva Macchine 2006/42/CE vecchia di 26 anni: solo dopo tale data i fabbricanti potranno emettere dichiarazioni di conformità al nuovo Regolamento. Scopo della Direttiva Macchine era definire i requisiti essenziali, in materia di sicurezza e di salute pubblica, ai quali devono rispondere le macchine in occasione della loro progettazione, fabbricazione e del loro funzionamento (prima della loro immissione sul mercato). Il nuovo Regolamento Macchine punta a adattarsi alle nuove tecnologie e al progresso tecnologico, quindi include una nuova attenzione sia alla sicurezza informatica sia anche all’AI. Il regolamento è già entrato in vigore (il 19 luglio 2023) ma lascia il tempo di adeguarsi fino alla sua applicazione a gennaio 2027. Il legislatore ha fatto uno sforzo importante cercando di dargli un tempo di vita fino al 2050 anche se è prevista una revisione ogni 4 anni.
TIG. Perché è importante per la cybersecurity dell’Industria 4.0?
Luca Moroni. Il legame tra il Regolamento Macchine e la cybersecurity è strettissimo. Le macchine connesse, infatti, rappresentano potenziali punti di ingresso per attacchi informatici. Il regolamento, in questo senso, contribuisce a:
- Prevenire incidenti, garantendo che le macchine siano progettate e costruite in modo sicuro: si vuole ridurre i rischi di incidenti causati da malfunzionamenti dovuti ad attacchi informatici.
- Proteggere la privacy: le macchine industriali spesso raccolgono e trattano dati personali. Il regolamento contribuisce a garantire che questi dati siano protetti in conformità con le normative sulla privacy.
- Aumentare la resilienza. Promuovendo la progettazione di macchine sicure, si contribuisce a creare sistemi industriali più resilienti agli attacchi informatici.
La realtà ci dice che analizzando la sicurezza negli impianti industriali una delle principali criticità è l’obsolescenza dei sistemi che in alcuni casi non sono nemmeno più supportati; quindi, sono privi di un funzionamento basilare della sicurezza qual è appunto l’aggiornamento costante. Inoltre, altre criticità all’origine di una situazione piuttosto grave, che richiederebbe interventi urgenti, sono le seguenti:
- Se sulla sicurezza informatica in azienda c’è poca cultura, in produzione manca totalmente.
- I fornitori propongono soluzioni finanziate da PNRR/ Industria 4.0 totalmente insicure.
- Gli ambienti di produzione sono caratterizzati da complessità crescenti ma risultano anche essere poco resistenti ad un eventuale attacco.
La Supply Chain in area OT è la vera sfida da vincere. Anche il recente caso della mucca morta per la violazione di un sistema di mungitura (con successiva cancellazione di tutti i dati) rappresenta bene la realtà che abbiamo in ambito automazione industriale. All’interno della associazione Cyber Security Angels (CSA) abbiamo costituito un gruppo di lavoro che analizza la maturità dei fornitori in area OT, per partire da una base comune di condivisione di conoscenza da indirizzare anche a realtà poco mature (come potrebbe essere ad esempio un allevatore).
TIG. Perché un Regolamento invece di una Direttiva?
Luca Moroni. Perché è necessario avere la certezza dell’obbligo applicativo evitando l’interpretazione che ogni singolo paese potrebbe fare (come per la direttiva NIS2). Il regolamento avrà un effetto diretto in modo da tutelare il mercato. Nel regolamento però non è indicato esattamente cosa fare (vedi: Norme della vecchia direttiva) ma piuttosto sono indicate le linee guida.
TIG. Quali sono i punti centrali del Regolamento?
Luca Moroni. Il nuovo Regolamento Macchine:
- Definisce i requisiti essenziali di sicurezza. Stabilisce le caratteristiche che una macchina deve avere per essere considerata sicura e per poter essere immessa sul mercato.
- Definisce che anche un software venduto separatamente dalla macchina (Prodotto correlato) dovrà essere certificato ed avere un marchio CE.
- Si applica a un’ampia gamma di macchine. Copre un ventaglio molto vasto di macchinari, dai più semplici ai più complessi, comprese quelli utilizzate nei processi di produzione automatizzati tipici dell’Industria 4.0. Sono esclusi settori già normati come Automotive e Avionica. Unica opportunità mancata è stata quella di riferirsi solo al mondo business e non all’IoT consumer (il legislatore non ha valutato incidenti come quello della botnet Mirai, che possono comunque avere impatti anche gravi sulle aziende).
Un punto centrale è il concetto di “Prodotti che subiscono modifiche sostanziali”. Riguarda la modifica di un prodotto correlato (vedasi il SW), mediante mezzi digitali, dopo che tale prodotto correlato è stato immesso sul mercato o messo in servizio (modifica non prevista né pianificata dal fabbricante, e che incide sulla sicurezza della macchina o del prodotto correlato creando un nuovo pericolo o aumentando il rischio esistente). La norma richiede:
- L’aggiunta di ripari o di dispositivi di protezione al prodotto correlato, operazione che necessita la modifica del sistema di controllo della sicurezza esistente;
- L’adozione di misure di protezione supplementari per garantire la stabilità o la resistenza del prodotto correlato. Questo in particolare se la modifica non pianificata aumenta quantitativamente o qualitativamente i rischi.
Questi concetti impongono una reattività nella gestione della componente software inimmaginabile oggi. Considerate che il tempo di vita di un impianto è di 15 anni contro i 3 di un classico sistema informatico.
TIG. Quali sono le novità più importanti del Regolamento Macchine?
Luca Moroni. Con questa norma, la macchina non è più solo un meccanismo in quanto il suo “peso digitale” diventa importante. Inoltre, la macchina avrà sempre più capacità di prendere decisioni ma dovrà anche spiegare le motivazioni delle sue decisioni. Si suggerisce quindi un comportamento adeguato, in modo che l’operatore umano possa a sua volta decidere in modo consapevole.
C’è la consapevolezza che un blocco del sistema digitale può incidere sulla sicurezza di una macchina e che questo blocco può essere anche intenzionale e doloso (come nel caso di un ransomware). Il produttore però è responsabile di tutto quello che compone la macchina e deve garantirne la sicurezza nel tempo (comprendendo in questo il sistema operativo, le librerie software, parti di programmi funzionali all’uso della macchina fatti sviluppare da fornitori esterni e così via).
C’è poi la responsabilità sul Change delle configurazioni di sicurezza. Oggi il mondo della post-vendita vive di installatori che modificano i software delle HMI (Human Machine interface) senza averne le competenze e senza porsi il problema della sicurezza. L’Articolo 18 dice che una persona fisica o giuridica che apporta una modifica sostanziale alla macchina o a un prodotto correlato è considerata un fabbricante ai fini del presente regolamento ed è soggetta agli obblighi dello stesso fabbricante[1]. Come è per un medico, che, se sbaglia, ne risponde, l’installatore acquisisce le responsabilità globale del fabbricante nel caso cambi la configurazione di sicurezza.
Il vero punto complicato è l’analisi del rischio digitale su quello che sarà il ciclo di vita della macchina. Una scorretta valutazione necessita una ricertificazione della macchina se si influenzano gli aspetti della sicurezza. Dal punto di vista della sicurezza logica gli ambiti coinvolti sono:
- Comunicazione
- Resilienza e capacità di rilevare intrusioni
- Resilienza alla corruzione dei dati
- Identificazione della configurazione sicura della macchina e suo aggiornamento costante.
- Logging e immodificabilità degli stessi
- Tutto cio che viene assemblato nella macchina deve essere securizzato e mantenuto sicuro nel tempo
- resistenza ad attacchi informatici volontari
- Security By Design
- Valutazione Rischio Cyber
- Rischi Cloud
TIG. Quali saranno quindi, secondo te, gli impatti principali e le priorità da considerare, sia lato aziende fornitrici, sia lato aziende utenti di macchine industriali?
Luca Moroni. In mancanza di norme mi aspetto che ci sia un giustificato recepimento di quanto scritto nel regolamento come linea guida. Quindi gli adeguamenti, anche se non pienamente maturi, dovrebbero quanto meno andare nella direzione giusta.
Il vero problema è il reskill dell’ufficio tecnico delle imprese manifatturiere e gli adeguamenti nel mondo dei fornitori OT che fino ad oggi hanno tenuto in considerazione solo la Disponibilità tralasciando aspetti come Riservatezza e Integrità. Nella realtà delle aziende italiane l’area tecnica è spesso non soggetta alle regole di sicurezza richieste dall’ufficio IT: è un mondo un po’ a parte e anche poco recettivo. Dal 2027 queste stesse persone, oltre a interiorizzare i concetti di sicurezza informatica, dovranno essere talmente competenti da prevedere i rischi di sicurezza per il futuro (pena l’esigenza di ricertificare il prodotto che realizzano). Se è vero che c’è uno skill gap nel modo della cybersecurity tradizionale, nell’ambito OT questo Skill diventa un oceano. Poiché in molte aziende non si riuscirà a far cambiare dall’oggi al domani il modo di pensare delle persone, cercheranno di avere a bordo un esperto che però difficilmente troveranno.
Inoltre, il regolamento vale solo per le nuove macchine e non è retroattivo per cui non ci sarà una bonifica delle situazioni esistenti. Ad oggi come riferimento per un prodotto sicuro c’è la norma IEC 62443 che nei punti 4-1 e 4-2 riguarda i prodotti. Cominciare a valutare su come ottenere un riconoscimento formale della sicurezza della macchina è un buon obiettivo. Molto più semplicemente si può iniziare da una analisi del livello di sicurezza di quello che abbiamo in produzione oggi.
Questa valutazione di controllo deve essere segregata dai classici fornitori OT che fino ad ora hanno considerato la sicurezza un fardello. Ritengo però che solo poche macchine siano così pericolose da necessitare un ente terzo di certificazione per il marchio CE. Bisognerà in ogni modo valutare la catena di fornitura, che probabilmente tornerà in mano al produttore perché il distributore e l’installatore non si assumeranno un rischio che prima non avevano.
Concludo sottolineando che questa trasformazione sarà inarrestabile: anche le altre leggi stanno convergendo su una visione comune, ad esempio il Cyber Resilience Act (CRA) approvato il 24 marzo di quest’anno, secondo cui la cybersecurity diventa un elemento essenziale anche nell’ambito industriale e nei processi di sviluppo produttivo, avendo effetti rilevanti sulla Safety. Il CRA sarà valido in tutti gli stati membri dell’UE e potrebbe essere un fattore discriminante e competitivo nel business model dei produttori.
Intervista a cura di:
Elena Vaciago, Research Manager, The Innovation Group
———————-
Il tema sarà oggetto di approfondimenti durante il CISO PANEL di TIG, il prossimo 19 settembre 2024 a Milano.
(Evento ristretto, rivolto solo ai Responsabili della Cybersecurity di organizzazioni private e pubbliche italiane).
