IL NUOVO REGOLAMENTO MACCHINE (UE) 2023/1230
La novità più importante introdotta dal nuovo regolamento macchine prevede che si debbano tenere in considerazione i pericoli provocati da possibili attacchi informatici illeciti da parte di soggetti malevoli.
Il comitato tecnico TC 44 dell’IEC sta elaborando una norma, che uscirà nella prima metà del 2026, sulla sicurezza informatica delle macchine che si chiamerà EN 50742 e che si occuperà di analisi dei rischi da attacco informatico sui SW embedded o SAAS (software as a Service). Tali rischi dovranno essere tenuti in considerazione solamente qualora incidano sulla sicurezza delle macchine, ovvero nel caso possano comportare un pericolo per l’operatore, e non per altri aspetti quali la sicurezza dei dati.
A tal riguardo l’art.25 del nuovo Regolamento macchine (UE) 2023/1230 dispone che:
“Altri rischi relativi a nuove tecnologie digitali sono quelli provocati da terzi malintenzionati che incidono sulla sicurezza dei prodotti rientranti nell’ambito di applicazione del presente regolamento. A tale proposito i fabbricanti dovrebbero essere tenuti ad adottare misure proporzionate che si limitano alla protezione della sicurezza dei prodotti rientranti nell’ambito di applicazione del presente regolamento. Ciò non preclude l’applicazione ai prodotti rientranti nell’ambito di applicazione del presente regolamento di altri atti giuridici dell’Unione che affrontano specificamente aspetti di cybersicurezza.”
MA COSA PREVEDE IL REGOLAMENTO MACCHINE PER LA CYBERSECURITY?
Il regolamento per la cybersecurity prevede al requisito 1.1.9 che i sistemi informatici delle macchine siano protetti dall’alterazione, in particolare:
- Il collegamento alla macchina mediante un altro dispositivo non determini una situazione pericolosa
- I componenti hardware (ad es. Gateway) che permettono l’accesso al sw legato alla sicurezza siano protetti da alterazioni accidentali o intenzionali
- La macchina raccolga prove in merito a interventi legittimi o illegittimi su tali componenti
- Sw e dati critici per la sicurezza siano individuati come tali e protetti da alterazioni accidentali o intenzionali
- Informazioni su questi sw siano facilmente disponibili in qualsiasi momento, ad esempio sul pannello di controllo della macchina
- La macchina raccolga prove in merito a interventi legittimi ed illegittimi su tali sw.
REQUISITI SICUREZZA INFORMATICA
Il regolamento ha introdotto alcuni nuovi requisiti al punto “1.2.1 requisito essenziale di sicurezza e di tutela della salute”:
- I sistemi di comando devono resistere a influssi esterni intenzionali o meno, compresi tentativi deliberati ragionevolmente prevedibili da parte di terzi che generano situazioni pericolose
- Per dimostrare la conformità della macchina alle autorità nazionali competenti deve essere tenuta traccia per cinque anni delle versioni del sw di sicurezza caricato sulla macchina.
LA VALUTAZIONE DEI RISCHI E LE MINACCE INFORMATICHE
Le nuove disposizioni del regolamento puntano il dito ovviamente sui produttori ed importatori dei macchinari, obbligandoli a gestire i rischi riducendoli o perlomeno a portarli ad un livello tollerabile.
Bisogna tenere in considerazione:
- Valore del sistema da proteggere
- Esistenza ed entità delle vulnerabilità
- Esistenza ed entità della minaccia.
Criticità presenti:
- Molto alte sugli importatori dei macchinari in EU. In questo caso il soggetto che importa il macchinario spesso non ha la minima percezione non solo del rischio, ma nemmeno del fatto che lo stesso sia stato preso in esame dallo sviluppatore dell’embedded (si pensi al fatto che la stragrande maggioranza dei SW installati su macchinari e dispositivi di uso comune è sviluppata con codici scritti in cinese, quindi nemmeno in multilingua).
- Alte sulle piccole PMI, anche in questo caso spesso vi è la mancata percezione del rischio: la focalizzazione è molto spesso sulla sola funzionalità del software macchina e raramente anche sulla sua sicurezza informatica.
La vulnerabilità può essere quindi generata:
- Dall’uso combinato di oggetti: oggetti che singolarmente possono essere considerati sicuri possono non esserlo più se connessi con altri oggetti
- Dalla sicurezza relativa alla connessione in rete dell’utilizzatore: sistemi molto sicuri e protetti possono essere “attaccati indirettamente” attaccando sistemi più deboli presenti sulla rete ethernet dell’utilizzatore
- Dall’architettura della rete: in rete sono presenti diversi sistemi complessi progettati da differenti realtà dell’IT e ahimè spesso in modo diverso. Per questo le interazioni diventano spesso imprevedibili o comunque fragili.
- Molto più spesso da un basso livello di sicurezza: molti sistemi informatici industriali sono spesso soggetti a malware generici e non mirati a causa del basso livello di sicurezza considerato in fase di sviluppo (contenimento costi di sviluppo).
Nella valutazione dei potenziali rischi per la sicurezza informatica dovrebbe essere applicata la seguente gerarchia:
- eliminare il rischio per la sicurezza informatica in fase di progettazione (evitare vulnerabilità)
- mitigare il rischio per la sicurezza mediante misure di riduzione del rischio (limitare la vulnerabilità)
- fornire informazioni sul rischio residuo per la sicurezza informatica e sulle misure che devono essere adottate dall’utilizzatore.
Fondamentale rimane comunque la comunicazione, tra il costruttore e le altre parti, delle minacce e delle vulnerabilità da gestire.
POSSIBILI CONSEGUENZE DEGLI ATTACCHI INFORMATICI ALLE MACCHINE
- furto di dati della macchina, ad esempio “ricette” dei prodotti in lavorazione. I cybercriminali potrebbero utilizzare in modo improprio protocolli e funzionalità di rete per esfiltrare codice di programma o informazioni di produzione riservati e scoprire ad esempio come viene prodotto qualcosa, quanti pezzi vengono prodotti, da chi, con quali tempistiche o altro. Ovvero, spiare l’intera produzione.
- bloccare il funzionamento di una macchina Cnc con un ransomware per poi chiedere un riscatto (attacco denial-of-service)
- malfunzionamenti o manomissioni sullo stato di configurazione interna o dei parametri di una macchina, che possono non solo compromettere la sua capacità di realizzare correttamente le lavorazioni ma anche influire negativamente sulla macchina stessa. Si pensi ad esempio per una macchina utensile al danno provocato ad un mandrino o a delle guide assi.
- mascheramento di anomalie della macchina, ad esempio cancellazione o falsificazione di messaggi di errore e allarmi
- disabilitazione di segnalazioni di sicurezza per l’operatore, ad esempio il preavviso acustico dell’avvio della macchina
- potenziali comportamenti pericolosi, ad esempio se vengono disabilitate misure di sicurezza o modificati parametri di funzionamento, attacco hijacking, per esempio:
- incremento delle velocità di movimento;
- aumento della forza esercitata dagli organi di lavorazione;
- diminuzione della t° sotto ad un livello che può compromettere la sterilizzazione del cibo.
MISURE DI PROTEZIONE DA ADOTTARE
Le misure di protezione contro gli attacchi informatici delle macchine devono, quindi, evolvere per tutto il ciclo di vita della macchina e devono comprendere componenti hardware e software.
Le macchine sono sempre più esposte a possibili attacchi informatici in quanto sono dotate di equipaggiamenti elettronici programmabili, sono collegate alla rete di comunicazione aziendale e non e possono avere anche la possibilità di essere controllate da remoto.
Per proteggere le macchine Cnc dagli attacchi, le aziende manifatturiere dovrebbero adottare misure di sicurezza, fra cui l’utilizzo di sistemi sensibili al contesto per il rilevamento e la prevenzione delle intrusioni industriali: questi sistemi possono aiutare a monitorare il traffico in tempo reale in relazione ai protocolli industriali delle macchine, in modo da poter distinguere meglio le richieste di lavoro legittime da attività potenzialmente dannose.
Ancora, la segmentazione della rete: una corretta architettura delle reti, insieme a tecnologie di sicurezza standard come le reti locali virtuali e i firewall, è essenziale per limitare le interfacce esposte che potrebbero essere sfruttate dai criminali informatici.
Per finire, una corretta gestione delle patch: i sistemi operativi e i software delle macchine Cnc devono rimanere aggiornati con patch per dissuadere i cybercriminali dallo sfruttamento delle vulnerabilità critiche
CONCLUSIONI
Negli ultimi 2 anni alla società che per il gruppo IMQ si occupa esclusivamente di cybersecurity sono arrivate oltre 50 segnalazioni di attacco informatico rivolto a macchinari di produzione (o meglio ai loro software macchina) e non ai sistemi informativi (es. ERP) e quasi tutti gli attacchi si sono risolti con il pagamento di un riscatto in bitcoin, cogliendo le aziende del tutto impreparate nella gestione di questo tipo di rischio.
La Cyber Security è già una priorità assoluta per le aziende che dipendono dai macchinari industriali per la loro fabbricazione e/o utilizzo per la produzione. Investire nella sicurezza è fondamentale per garantire la continuità operativa, evitare perdite in termini di produzione, tempo e produttività, proteggere la
proprietà intellettuale e preservare la reputazione aziendale.
L’approccio proposto quindi dal nuovo regolamento macchine (UE) 2023/1230 che comprende l’obbligo di introdurre misure tecniche, sensibilizzazione del personale e formazione specialistica, diventerà a nostro avviso uno strumento utile per introdurre la cultura della prevenzione, mitigazione delle minacce informatiche e non ultimo della protezione del cuore tecnologico.
Info sull'autore