La strada Pharma4.0 intrapresa dalle imprese di produzione in qualunque settore, ed in particolare anche quelle nel Life Science, ha evidenziato che la tecnologia unita alla connettività può portare a più efficienza e più valore.

Spesso però ci si chiede se siamo pronti per questa “iper-connessione”, a volte dimenticandoci che in molte realtà la connessione è già attiva da tempo.

Anche il piano Industria4.0-Impresa4.0 indicato dal ministro Calenda del governo italiano, come tanti piani in altri paesi europei, ricorda che la Cyber Security è tra i pilastri sui quali basare la propria strategia di innovazione.

VENITE A TROVARCI A PHARMINTECH 2019!

Ma dove sono i sistemi da proteggere?

Certamente nei reparti produttivi, ove troviamo sistemi di controllo ed automazione a bordo delle linee di produzione, ma non scordiamo anche tutti i sistemi “ancillari” come ad esempio quelli per la gestione di Building e Facility, di produzione di acqua e vapore, di produzione e gestione dei fluidi (gas, acqua, vuoto, aria compressa, ecc.) di gestione dell’energia ecc.

Le sigle utilizzate per identificarli sono poi quelle delle tecnologie utilizzate: PLC, SCADA, DCS, RTU, Historian, Lims, ERBS, DNC/CNC, reti di fabbrica, BMS, HVAC, WFI, CMMS, IoT, IIoT, ecc.

Sono questi tutti sistemi che appartengono al dominio della OT (Operational Technology) che riguarda l’informatica di fabbrica, che oggi si vuole così differenziare dal dominio della IT (Information Technology) tipico di tutti i sistemi della “informatica tradizionale”, come i gestionali, le applicazioni Office, email, ERP, HR, ecc.

 

Ma c’è una grossa differenza tra la Security IT e la Security OT.

 

La Security IT mira a difendere il dato, la Security OT mira a difendere l’impianto controllato dal sistema di controllo/automazione.

Il rischio non è tanto la perdita del dato, quanto la perdita del controllo del sistema e quindi rischio per l’incolumità delle persone sull’impianto, per danni agli asset stessi dell’impianto, la perdita di produzione, di qualità, di efficienza ecc..

Questo aspetto è evidenziato anche dall’ampiezza e dalla specificità della “superficie di attacco”: mentre nell’IT si parla di PC, Server ed infrastruttura che li collega (ultimamente allargata anche a dispositivi mobili ed applicazioni in Cloud), nell’OT si parla di bus e reti di campo, reti in fabbrica, connessioni con dispositivi distribuiti sia all’interno del perimetro dello o degli stabilimenti, ma anche dispositivi (RTU, PLC ecc.) a volte distribuiti sul territorio e con connessioni “aperte”.

 

Forse l’aspetto più rilevante riguarda proprio i requisiti per la Sicurezza delle informazioni gestite: per l’IT si sono identificate le criticità in Riservatezza, Integrità e Disponibilità dell’informazione (Confidentiality, Integrity, Availability) in questo preciso ordine.

Le priorità nel mondo OT sono esattamente in ordine inverso: prima viene la Disponibilità, con allo stesso livello Integrità, mentre il requisito di riservatezza nell’OT viene spesso tralasciato in quanto spesso scarsamente rilevante.

Se vogliamo esemplificare, nell’IT è importante proteggere i dati, la IP (Intellectual Ptroperty), la Privacy (vedi GDPR), la Reputation, i dati di Business, l’esposizione dell’Azienda sul WEB.

Per l’OT sono importanti i sistemi di produzione, della supply chain, OEE, Tracciabilità, Qualità, Operation Continuity, ecc.

Però dobbiamo notare che nei settori regolamentati come quello del Life Science, c’è una interdipendenza diretta tra la protezione del dato e la protezione del sistema che gestisce la produzione.

Infatti, se l’impianto si ferma (che sia a causa di un “problema cyber”, oppure no) si smette di produrre, non si riesce a spedire il prodotto finito, non si emettono bolle di spedizione e fatture e l’azienda non incassa.

La piramide della disponibilità: quanto è critico il vostro impianto?

QUANTO COSTA OGNI ORA DI DOWNTIME?

Ma, se anche l’impianto produce regolarmente, ci “perdiamo i dati” relativi ai lotti in produzione, ancora non possiamo consegnare il prodotto finito, non possiamo fatturare, e non possiamo incassare.

Il tema della “Data Integrity” è diventato sempre più caldo soprattutto negli ultimi tempi: proteggere il dato è il mantra. Se si pensa alla sigla ALCOA , per identificare i requisiti da rispettare per la Data Integrity, significa che si stanno adottando strategie comuni alla “Cyber Security” per proteggere le informazioni.

Purtroppo però anche nel recente passato quando si parlava alla Security si pensava solo a “Access Control”: ne abbiamo esempi anche nelle diverse formulazioni del 21CFR Part11 di FDA e nell’EU Annex 11.

In effetti anche le Gamp5 rispecchiano questo orientamento, che era poi diffuso nel 2005 quando furono pubblicate.

Qualche ripensamento lo possiamo vedere nei documenti Good Practice Guide emessi da ISPE-GAMP negli ultimi anni.

Possiamo però trarre alcun i buoni spunti con un occhio alla Compliance dei sistemi valutando le Appendici di GAMP5 in ottica di Operation Continuity, che è forse l’aspetto più rilevante per giustificare investimenti in Security, soprattutto in settori regolamentati come quello del farma.

Ecco allora che alla Appendice O11 di Gamp5 dal titolo “Security Management” (che proprio menziona tra i requisiti della Security la triade confidentiality-integrity-availability) possiamo affiancare in ottica Security/Operation-Continuity le seguenti appendici, con valore di “buona norma” per integrare adeguatamente le nostre “Security Policy”:

  • O10 “Business Continuity Management”
  • O9 “Backup & Restore”
  • O3 “Performance Management”
  • O4 “Incident Management”
  • O6 “Operational Change & Configuration Management”
  • O7 “Repair Activity”
  • O5 “Corrective & Preventive Action”
  • O8 “Periodic Review”
  • O13 “Archiving & Retrieval”

Possiamo inoltre ricordare che ci sono altre importanti standard consolidati nel mondo industriale che possono essere dei validi riferimenti, anche se non stati specificamente pensati per il settore Life Science: parliamo dello Standard ISA95, che illustra il modello gerarchico funzionale dei sistemi all’interno di organizzazioni industriali, e lo standard ISA99 divenuto IEC62443 che si occupa specificamente della Security dei sistemi utilizzati nel manufacturing.

In particolare IEC62443 oltre a definire modelli e terminologia di reti e sistemi utilizzati in fabbrica, illustra come corrette architetture di rete si possono realizzare con adeguata segmentazione in Zone ed identificazione ed utilizzo di Conduit (fisici o logici) per permettere le comunicazioni tra le zone, segregando asset informatici critici in zone protette.

Anche il NIST in USA ha emesso Standard che posso essere dei riferimenti per la protezione di reti e sistemi industriali: pensiamo a SP800-53 generico sulla Information security nelle organizzazioni, e SP800-82 più specifico in quanto “Guide to ICS Security”.

Dobbiamo però notare che i sistemi industriali e le tecnologie evolgono seguendo i trend dettati dalla ICT: ecco allora che anche nei sistemi industriali, come predicato anche dai piani Industria4.0, si utilizzano Cloud, Industrial Internet, Industria IoT (Internet of Things), Big Data ed Analytics, Digital Twins, AR/VR, ecc.

Queste nuove architetture e tecnologie impongono nuovi modelli di protezione in quanto rischi, vulnerabilità e minacce possono essere differenti.

A questo riguardo possiamo allora considerare tra i modelli ed i riferimenti da studiare, quelli indicati da CSA (Cloud Security Alliance) oltre ai documenti NIST come ad esempio NIST SP800-144 su “Network of Things” ed SP800-183 su “Guidelines on Security & privacy in Public Cloud Computing”.

SCARICA QUI LA PRESENTAZIONE DI ENZO M. TIEGHI SULLA CYBER SECURITY IN AMBIENTE MANIFATTURIERO E DI PROCESSO

Non dimentichiamoci che oggi le minacce sono diffuse e poco prevedibili, e soprattutto con “danni collaterali” che possono avere impatti molto rilevanti. Un esempio da menzionare possono essere i danni provocati da campagne di ransomware (tipo Cryptolocker, poi Wannacry, Pethya, ecc.) nella prima metà del 2017 ad aziende industriali di ogni settore in tutto il mondo.

Contromisure, strumenti e tools per proteggere reti e sistemi nelle industrie e nelle utility oggi sono sempre più evoluti e possono e rappresentare una risposta efficace: ieri forse bastavano alcune semplici regole da adottare in modo serio e diffuso in tutta l’organizzazione. Oggi è necessario fare un salto in avanti nelle strategie di protezione e le tecnologie oggi disponibili possono rappresentare validi strumenti per “andare avanti a produrre” (Operation Continuity).

 

Enzo M. Tieghi, AD di ServiTecno ed esperto di OT Cyber Security

VENITE A TROVARCI A PHARMINTECH 2019!

Ma dove sono i sistemi da proteggere?