Il moltiplicarsi degli attacchi a danno delle aziende manifatturiere rende i temi della cybersecurity delle tecnologie OT e della Supply Chain Security sempre più rilevanti. Tradizionalmente isolati dalle reti IT aziendali, i sistemi OT che controllano processi fisici critici – come macchinari industriali, robot e sistemi di controllo accessi – sono ora sempre più interconnessi. Questa convergenza espone i sistemi OT a un panorama di minacce informatiche in continua evoluzione.
La scelta delle soluzioni software dedicate al mondo dell’OT e dei fornitori diventa quindi strategica per la continuità operativa e la resilienza delle imprese. Il ruolo della Supply Chain è cruciale per la sicurezza delle tecnologie OT vista la sempre crescente complessità dei sistemi software e l’esteso utilizzo di componenti esterni.
È quindi necessario un approccio strutturato e basato sulla visibilità e chiara comprensione dell’intera catena di fornitura, delle reali necessità e dei potenziali rischi.
Cybersecurity OT, le sfide della sicurezza informatica in uno scenario in continua trasformazione
Nel 2024 in Italia il settore Manifatturiero è stato il secondo settore più colpito dagli attacchi informatici, secondo i dati dell’Associazione italiana per la sicurezza informatica. Il 15,7% degli attacchi totali che hanno colpito il nostro Paese, infatti, è stato a danno di realtà aziende appartenenti a questo settore. Un aumento favorito dalla vulnerabilità dei sistemi OT e dalla complessità della gestione della sicurezza informatica di queste tecnologie.
In questo scenario, la scelta delle soluzioni software da implementare a livello operativo diventa quindi cruciale. Occorre superare vecchie concezioni e pregiudizi, come l’errore di considerare tutto il software come equivalente.
Soluzioni custom vs. soluzioni standard: quali sono le sfide per la sicurezza informatica?
Esistono differenze significative tra le diverse soluzioni software in termini di architettura, funzionalità, qualità del codice e, soprattutto, sicurezza intrinseca. Ad esempio, i software personalizzati (custom), sebbene progettati per soddisfare esigenze specifiche, possono rappresentare un rischio maggiore dal punto di vista della sicurezza.
Spesso sviluppati esternamente da fornitori con competenze di sicurezza limitate, questi software possono mancare di robuste misure di protezione e essere più suscettibili a vulnerabilità sconosciute.
Sebbene i software custom siano, ancora oggi, preferiti da molte aziende, le soluzioni basate su standard condivisi e riconosciuti internazionalmente offrono un livello di protezione maggiore. Vi sono, infatti, diversi standard e criteri di progettazione e definizione della qualità del software che si stanno affermando che rendono queste soluzioni più sostenibili nel tempo rispetto ai software custom che possono avere un costo iniziale inferiore.
Il ruolo delle Supply Chain nella security delle tecnologie OT
E sono proprio questi criteri e standard, uniti alle certificazioni, che possono guidare la scelta della giusta soluzione software e del fornitore.
Le Supply Chain giocano infatti un ruolo di primaria importanza nella sicurezza cyber delle soluzioni software per l’OT. Si tratta di catene di fornitura intrinsecamente complesse poiché comprendono molteplici componenti, come hardware di terze parti, software open source, firmware proprietario e sistemi operativi di terzi. Questa eterogeneità, unita alla necessità di integrare sistemi legacy con nuove tecnologie, amplia la superficie di attacco.
Dal punto di vista della cybersecurity, questa complessità introduce diversi fattori di vulnerabilità. La dipendenza da fornitori esterni (terze e n-esime parti) espone a rischi di compromissione lungo la catena di fornitura.
Cybersecurity, l’importanza dello scegliere il giusto partner per la propria Supply Chain
Nella scelta dei fornitori di soluzioni OT, una delle prime considerazioni da tenere a mente è quella della specializzazione del provider. Affidarsi a fornitori di soluzioni OT leader di mercato offre numerosi vantaggi cruciali per la sicurezza e l’efficienza dei sistemi aziendali. I fornitori qualificati garantiscono cicli di sviluppo sicuri certificati, gestiscono in modo efficace le vulnerabilità e forniscono una lista dettagliata dei componenti software (SBOM – Software Bill of Materials) utilizzati, promuovendo così la trasparenza e la sicurezza.
I loro prodotti e sistemi sono sottoposti a test di penetrazione per identificare e mitigare potenziali minacce. Inoltre, considerano i rischi associati a componenti open source e commerciali, assicurando la gestione del rischio da terze parti.
Scegliere fornitori con una comprovata esperienza e supporto continuo garantisce anche la stabilità e l’affidabilità nel tempo. Criteri aggiuntivi, come l’analisi della composizione del codice, la formazione specifica in cybersecurity e la valutazione dei componenti software/hardware, rafforzano ulteriormente la protezione e l’integrità dei sistemi implementati.
Cybersecurity delle tecnologie OT, le normative e gli standard di settore
Nel processo di selezione dei fornitori di software OT, le certificazioni possono rappresentare un elemento di differenziazione e offrire un certo livello di garanzia sulle pratiche di sicurezza adottate.
Certificazioni come ISO/IEC 27001, che attesta la gestione della sicurezza delle informazioni, e la ISA/IEC 62443-4-1, che verifica l’adozione di un ciclo di vita sicuro per i prodotti industriali, sono fondamentali. Allo stesso modo, le certificazioni ISO/IEC 30111:2019 e ISO/IEC 29147:2018 offrono garanzie sulla gestione e divulgazione delle vulnerabilità.
L’Unione Europea ha ulteriormente rafforzato questo quadro normativo con la direttiva NIS2, che impone misure di sicurezza adeguate e proporzionate, considerando anche la sicurezza della supply chain.
Parallelamente, il Nuovo Regolamento Macchine impone requisiti per la sicurezza e l’affidabilità dei sistemi di comando, mentre il Cybersecurity Act ha introdotto un quadro di certificazione armonizzato per i prodotti ICT, assicurando che i sistemi OT siano protetti da standard di sicurezza adeguati e uniformi, riducendo il rischio di frammentazione normativa tra gli Stati membri.
Sicurezza della memoria: la scelta dei linguaggi di programmazione nel software OT
Altro tema particolarmente stressato nell’ambito della sicurezza del software è l’importanza della scelta di linguaggi di programmazione adeguati, soprattutto in relazione alla sicurezza della memoria.
Si sta diffondendo sempre più il principio secondo cui linguaggi ampiamente utilizzati come C e C++, pur offrendo elevate prestazioni e controllo a basso livello, sono intrinsecamente insicuri dal punto di vista della gestione della memoria. La mancanza di meccanismi automatici per prevenire errori come buffer overflow e use-after-free rende questi linguaggi vulnerabili a una vasta gamma di attacchi informatici.
In contrapposizione, si sta affermando l’utilizzo di linguaggi memory-safe come Rust, soprattutto nelle sue configurazioni “safety” che offrono garanzie sul corretto utilizzo della memoria. Rust, attraverso il suo sistema di ownership e borrowing, mira a prevenire molti errori comuni di gestione della memoria a tempo di compilazione, riducendo significativamente il rischio di vulnerabilità.
Tuttavia, è importante riconoscere che l’adozione di Rust in ambienti OT consolidati presenta ancora sfide legate all’interoperabilità con il codice C/C++ esistente e alla disponibilità di sviluppatori esperti.
Priorità alla sicurezza: il vero costo del software nel settore OT
È fondamentale comprendere che, nel moderno sviluppo software, il costo della scrittura del codice è relativamente basso rispetto all’impegno economico e di risorse necessario per garantire la sua sicurezza e affidabilità. Il vero costo risiede (e risiederà sempre di più) nei processi di test approfonditi, nella convalida rigorosa e nelle certificazioni necessarie per attestare la qualità e la sicurezza del software.
Il futuro della cyber sicurezza nel settore OT appare però promettente, con una crescente consapevolezza della necessità di considerare il software non più come una semplice sequenza di istruzioni, ma come un prodotto complesso che deve esprimere chiaramente degli aspetti qualitativi misurabili e verificabili.
L’enfasi sulla sicurezza by design, l’adozione di linguaggi di programmazione memory-safe dove appropriato e l’implementazione di processi di sviluppo e testing più robusti contribuiranno a rendere il software OT più sicuro e resiliente.
