L’evoluzione dello Smart Manufacturing e dell’Industria 4.0 ha definitivamente trasformato la produzione, rendendola sempre più digitale, e di conseguenza esposta ai nuovi rischi informatici. Per questo, la Cybersecurity OT si concentra prima di tutto sulla difesa della produzione. Di conseguenza, si focalizza anche sulla conformità a schemi collaudati come quelli delle normative internazionali, in particolare IEC 62443.
Dal costruttore del componente (o del sistema) all’integratore, la norma dettaglia le procedure di Security Management System. Con lo scopo di raggiungere l’obiettivo finale di tutela dell’end-user, grazie a sistemi OT progettati per essere resilienti alle intrusioni malevoli. Tuttavia, i requisiti sono di varia natura e non si limitano certamente solo alla tecnica. Vediamo da cosa altro dipende la conformità agli standard.
In che modo lo standard IEC 62443 definisce i ruoli
Innanzitutto, la norma IEC 62443 è composta al suo interno da tre norme specifiche. Queste tre norme parlano di Security Management System. Si tratta di:
- IEC 62443-2-1, Management System dell’end-user
- IEC 62443-2-4, Requisiti per l’integratore
- IEC 62443-4-1, Lifecycle Development per lo sviluppo di componenti
La IEC 62443, tramite il concetto fondamentale di Risk Assessment, va incontro alla valutazione del rischio-beneficio. La norma aiuta a quantificare il rischio e, di conseguenza, a quanto corrisponde idealmente il budget per prevenire un attacco cyber da parte dell’end-user. In conseguenza, lo standard prevede i requisiti tecnici per l’intera supply chain, in modo da garantire la corretta configurazione di ogni soluzione finale di automazione.
Ciò che non ci si aspetta è che in realtà tra i fattori essenziali per la conformità ai requisiti di security subentra da subito l’organizzazione. La norma specifica infatti che se la parte di “governance”, ad esempio relativa all’attribuzione dei ruoli e delle responsabilità, non viene sviluppata al pari della parte tecnica, il progetto è destinato a fallire.
Come la formazione incide sui processi di security
A fianco delle procedure e delle tecnologie correttamente configurate, lo standard IEC 62443 riconosce nel personale un ulteriore requisito fondamentale per la riuscita dei processi di security. Infatti, l’aspetto umano, spesso inconsapevolmente, rappresenta una minaccia (si pensi ad esempio all’operatore che lavora con chiavetta USB infetta oppure alla mancata custodia delle password).
Per la corretta adozione del metodo IEC 62443, la chiave è quindi prima di tutto l’introduzione di un piano di formazione che permetta di sviluppare competenze specifiche per l’organizzazione dei processi per l’area OT. La formazione apre le porte alla comprensione dei ruoli e delle responsabilità. E questo lo fa prima ancora di applicare i requisiti standard: è per questo che rappresenta un tassello decisivo.
Per essere davvero efficaci è tuttavia necessario scegliere programmi per lo sviluppo di competenze non generalisti, ma calati sulle diverse esigenze del costruttore, dell’integratore e dell’utilizzatore.
Perché Siemens e H-ON Consulting sono partner per lo sviluppo delle competenze
Siemens Italia, di cui H-ON Consulting è Digital Transition Partner, ha attivato un programma di formazione per soddisfare il bisogno di conoscenza propedeutica alla corretta implementazione dei requisiti dello standard IEC 62443.
A fianco dei servizi di consulenza, i programmi di formazione sono articolati su quattro moduli. I moduli approfondiscono le norme IEC 62443-2-1, IEC 62443-2-4 e IEC 62443-4-1.
È ancora possibile usufruire delle agevolazioni offerte dal piano Transizione 4.0 della Legge di Bilancio 2021 e dai vantaggi del Credito di imposta Formazione 4.0. Scopri i programmi di formazione.
In anteprima, alcune risorse sono disponibili sul sito di H-ON Consulting:
