La sicurezza informatica (cybersecurity) è diventata nel corso degli anni un fattore di enorme rilevanza per le industrie.
Le ragioni le illustra Carlo Mariani, Head of Product Management & Service, Automation & Electrification in Bosch Rexroth. "È ormai diffusa la consapevolezza della necessità di un sempre maggiore accesso ai dati, anche da remoto. Ciò ha inevitabilmente comportato un aumento esponenziale della possibilità da parte di malintenzionati di sfruttare in modo fraudolento questa enorme mole di informazioni. Di conseguenza, moltissime organizzazioni hanno maturato l’esigenza di doversi dotare di strumenti i più idonei possibile a contrasto di questo fenomeno".
Apertura e collaborazione alla base della sicurezza informatica nell'industria
Ciò premesso, Mariani spiega che alla base dell’approccio adottato da Bosch Rexroth per garantire ai clienti la maggior sicurezza informatica possibile ci sono due pillar fondamentali: apertura e collaborazione.
"Il concetto di apertura facilita l’interazione tra le differenti tecnologie e i differenti provider dell’automazione. Questo è il motivo di fondo per cui costituisce lo strumento per ottenere sistemi sempre più performanti in quanto anche il miglior software, se privato della caratteristica di una facile interazione, è difficilmente proponibile al mercato", spiega il manager.
"È in sostanza la filosofia che sta alla base di ctrlX AUTOMATION, la piattaforma di automazione di Bosch Rexroth. Noi abbiamo fatto la scelta, rivelatasi vincente, di dare possibilità ad aziende che hanno competenze che noi non vantiamo, o che non siamo in grado di sviluppare o di acquistare, di poter portare il loro valore al cliente finale semplicemente aderendo al nostro ecosistema".
"Sono un assertore della teoria secondo cui nessuno può far bene tutto", prosegue Mariani. "Ne deriva che, dal mio punto di vista, gli ecosistemi sono assolutamente fondamentali per dare valore alle proprie abilità anche attraverso competenze altrui”.
La premessa di Mariani è funzionale al ragionamento che sviluppa in materia di cybersecurity, "sfida che Bosch Rexroth affronta dispiegando una strategia che verte su tre step”.
I tre step principali della cybersecurity nell'era di Industria 5.0
Il primo consiste sul progettare e realizzare prodotti "secure by design" o "secure by default", cioè nativamente sicuri perché licenziati dalla fabbrica già protetti. Al punto che "è ragionevole affermare che eventuali falle di sicurezza si possono manifestare solo se l’utente agisce intervenendo in maniera consapevole sul prodotto stesso, in caso disattivi gli strumenti di sicurezza presenti di default o non provveda agli aggiornamenti che regolarmente rilasciamo".
Il secondo principio si basa sul concetto stesso di apertura. "Noi offriamo agli utenti finali, ma anche ad aziende terze, l’opportunità di irrobustire il nostro sistema. Proprio perché usiamo sistemi aperti, gli uni e le altre possono, per così dire, mettere le mani direttamente sul componente, sulla sua impostazione e sulla sua struttura. Ciò rende concreta la possibilità di creare intorno ad esso un’armatura ancora più robusta ed efficace".
Il terzo, ha concluso Mariani, attiene alla logica dell’ecosistema. "Abbiamo sviluppato partnership con fornitori di applicazioni di cybersecurity, con enti certificatori e con diversi consulenti. Sono collaborazioni che proponiamo al cliente per dargli strumenti ancora più efficaci in materia di sicurezza informatica".
L'importanza del quadro normativo
"La questione della cybersecurity nell'industria si conferma dunque cruciale", aggiunge Mariani. "Talmente cruciale e strategica nella sua portata da aver suscitato l’attenzione del legislatore, al punto che oggi questo è un ambito oggetto di strette regolamentazioni".
Mariani si riferisce ad esempio alle Direttive comunitarie come la NIS2 e il CRA, le quali obbligano OEM e fornitori di prodotti a sottostare a precisi obblighi in materia di cybersicurezza.
Il CRA, Cyber Resilience Act
In particolare, il Cyber Resilience Act (CRA), entrato in vigore alla fine del 2024, impone alle aziende la sfida di rendere i propri prodotti digitali completamente sicuri.
Il CRA richiede che i produttori progettino prodotti con componenti digitali in modo da garantire un elevato livello di cybersicurezza. Da un lato, il regolamento impone requisiti sulla sicurezza informatica dei prodotti con elementi digitali. Dall’altro sui processi messi in atto dai produttori per la gestione delle vulnerabilità, al fine di garantire la sicurezza durante l’intero periodo di supporto.
Oltre a una valutazione dettagliata dei rischi, questi devono essere considerati già in fase di sviluppo del prodotto. I prodotti devono garantire di essere sicuri di default e aggiornabili. Inoltre, il CRA impone che incidenti critici e vulnerabilità sfruttate vengano segnalati entro 24 ore e risolti rapidamente tramite aggiornamenti.
"Il Cyber Resilience Act stabilisce requisiti obbligatori di cybersicurezza per produttori e rivenditori durante l'intero ciclo di vita del prodotto – per tutti i prodotti connessi a un altro dispositivo o rete", commenta Steffen Winkler, Senior VP Sales Business Unit Automation & Electrification Solutions di Bosch Rexroth. "Il sistema operativo ctrlX OS di Bosch Rexroth è già ben preparato per soddisfare i requisiti del CRA. Le aziende manifatturiere possono garantirsi un futuro sicuro con questa soluzione".
ctrlX OS, il sistema operativo già pronto per il CRA
Il sistema operativo ctrlX OS, basato su Linux, è un elemento chiave nel mondo dell'automazione di Bosch Rexroth. È progettato e configurato per essere sicuro fin dall'origine ("secure by design" e "secure by default") ed è certificato secondo IEC 62443-4-2 SL2 da TÜV Rheinland. I dati salvati, trasferiti o elaborati sono completamente protetti. Il sistema fornisce anche una piattaforma per distribuire e applicare rapidamente e in modo affidabile le patch di sicurezza senza compromettere il funzionamento.
Il sistema operativo e il relativo ecosistema sono concepiti per l’ambiente industriale e possono essere utilizzati anche da altri fornitori sui propri componenti di automazione. Di conseguenza, tutti i dispositivi basati su ctrlX OS – sia di Bosch Rexroth sia di terze parti – soddisfano standard molto elevati in materia di cybersicurezza. Per questi motivi, ctrlX OS è considerato uno dei sistemi operativi più moderni, aperti e sicuri.
Un esempio: il sistema di controllo ctrlX CORE
Un esempio di dispositivo ctrlX OS è il sistema di controllo ctrlX CORE, progettato per essere sicuro già appena acceso. ctrlX CORE garantisce un elevato livello di cybersicurezza grazie alla conformità agli standard internazionali e alla sua architettura "secure by design". Tutti gli accessi utente sono soggetti per impostazione predefinita a regole rigorose per le password. Il livello di protezione può essere ulteriormente aumentato se necessario. Estensioni funzionali e aggiornamenti per la correzione delle vulnerabilità vengono forniti regolarmente tramite canali sicuri.
L’accesso ai dati dei dispositivi richiede sempre autenticazione e autorizzazione. Il sistema di controllo utilizza ctrlX OS certificato IEC 62443-4-2, rispettando così gli standard più recenti in ambito cybersicurezza.
Inoltre, il sistema di controllo può essere ampliato con ulteriori app di sicurezza dal ctrlX OS Store, come Security Scanner, Firewall e VPN Client. Queste applicazioni aiutano gli utenti a soddisfare i requisiti del CRA per le proprie macchine. L’app Firewall riduce al minimo le vulnerabilità. Il client VPN garantisce una manutenzione remota sicura e l’accesso protetto ai dispositivi da reti esterne. L’accesso può essere limitato in base allo stato della macchina e all’approvazione in loco.
Come parte dei controlli di accettazione delle macchine a livello di rete, il Security Scanner consente l’inventario completo di tutti i componenti e la valutazione dello stato di sicurezza dell’intera macchina. Le potenziali vulnerabilità possono così essere identificate e affrontate in modo mirato.
Retrofit: cybersicurezza anche per macchine esistenti
Il sistema ctrlX CORE garantisce cybersicurezza sia per ambienti industriali nuovi sia esistenti. "Per soddisfare i requisiti del CRA, soprattutto in un contesto di attacchi informatici in aumento, è essenziale proteggere anche le macchine già installate. ctrlX CORE può essere usato come gateway di sicurezza anche in soluzioni di automazione con hardware e software di terze parti per renderli sicuri".
"Con ctrlX CORE è possibile integrare funzioni avanzate di cybersicurezza anche in sistemi datati. Questo rappresenta un grande vantaggio negli ambienti brownfield", afferma Winkler.
Verso un concetto di sicurezza personalizzato
Bosch Rexroth supporta inoltre le aziende con servizi e consulenze completi in ambito cybersicurezza. Questo include l’analisi delle minacce, le valutazioni dei rischi, gli scan di sicurezza e la formazione per lo sviluppo delle competenze IT. Insieme agli utenti vengono sviluppati e implementati concetti di cybersicurezza personalizzati.
"Stiamo orientando in modo coerente tutti i prodotti e i servizi affinché le aziende rispettino i regolamenti e possano così progettare sistemi sicuri e robusti nel lungo periodo. Solo in questo modo potranno essere pronte per il futuro", conclude Winkler.