Stefano Zanero
Professore Associato Politecnico di Milano.
La rivoluzione Industry 4.o è un trend inarrestabile che avrà implicazioni importanti per gli anni a venire. Per tutelarsi nello scenario delle fabbriche intelligenti è necessario uno sforzo da parte di tutti gli stakeholder, per sviluppare una consapevolezza condivisa e soluzioni all’altezza delle aspettative
Tutte le analisi e le fonti concordano: la rivoluzione di Industry 4.o e la “fabbrica intelligente” non saranno né una moda passeggera, né un’opzione. Saranno viceversa una necessità competitiva ed un cambio di paradigma che ci accompagnerà per i prossimi anni e che potrebbe trasformare la società prossima ventura nello stesso modo in cui il motore a vapore ha cambiato il corso della storia.
La visione che accompagna questa trasformazione è semplice, attraente e allo stesso tempo profondamente complessa quando si scende dal livello di scenario a quello di dettaglio. Ci si propone di collegare i sistemi informativi aziendali (e i sistemi di e-commerce) ai sistemi di controllo della produzione e di fabbrica, in modo da poter realizzare una gestione efficiente e just-in-time di scorte, magazzino e filiera produttiva. I benefici di un unico processo automatizzato che aggrega gli ordini dei clienti, predispone i piani di produzione e l’acquisto dai fornitori, e infine riconfigura le linee di produzione e la logistica sono evidenti e non necessitano certo di essere approfonditi.
Tuttavia, nel momento in cui colleghiamo i sistemi informativi aziendali a quelli di gestione delle macchine in produzione, ampliamo in modo significativo quella che viene definita in gergo “superficie d’attacco”. Sistemi (pensiamo alle macchine a controllo numerico magari acquistate dieci o venti anni or sono) che mai erano stati pensati per essere raggiungibili da Internet lo sono diventati (anche se in modo, sperabilmente, intermediato). Sistemi moderni disposti sulle linee di produzione sono invece ormai pensati per essere connessi.
Pensate, ad esempio, ai robot di ultima generazione. La gran parte di essi sono pensati e strutturati per essere connessi ad Internet: per ottenere informazioni dai sistemi “Cloud” dei produttori o per essere monitorati e riprogrammati (a volte anche mediante app per cellulari, o mediante l’invio di messaggi e-mail). Iniziano a diffondersi anche “App Store” simili a quelli dei nostri cellulari… ma pensati per i robot! Contemporaneamente, robot e macchine ad alta automazione rappresentano un elemento sempre più critico del nostro tessuto industriale. Alcune stime parlano di oltre 1,3 milioni di robot presenti nelle fabbriche di tutto il mondo entro il 2018.
Questo li rende un bersaglio molto appetibile per almeno due grandi gruppi di avversari: da un lato, cybercriminali in cerca di guadagno; dall’altro, agenzie, eserciti e Stati che per varie ragioni possono voler colpire l’operatività dei settori critici di un avversario. Se questo secondo scenario si applica solo in certi settori industriali (energia, medicina, grande industria pesante), il primo scenario è veramente materia per tutti (si pensi al recente attacco “WannaCry”, che dimostra come i criminali in cerca di profitto colpiscano veramente in modo indiscriminato!).
Parlare di attacchi “cyber” che coinvolgono i robot fa immediatamente appello all’incredulità, e suona come la trama di un libro di fantascienza. Tuttavia gli scenari sono innumerevoli, e possono variare dal danno fisico, al sabotaggio di prodotti, al blocco di linee di produzione. Ognuno di questi potrebbe essere attuato immediatamente o usato per una richiesta di riscatto. Provate a pensare a quanto potrebbe estorcere un cyber-criminale ad una azienda, minacciandola di introdurre silenziosamente dei micro-difetti nella produzione.
Recentemente, una Ricerca del nostro gruppo al NECSTLab del Politecnico di Milano, unitamente al gruppo FTR di Trend Micro, ha rivelato come i robot industriali possono essere compromessi, alterando in maniera decisiva la normale funzionalità dei sistemi industriali e minando la sicurezza del personale e dei consumatori finali.
La Ricerca rivela che nel momento in cui robot e macchine automatizzate divengono sempre più intelligenti e interconnesse, cresce la loro superficie di attacco. Inoltre, servono numerose modifiche architetturali per rendere capaci di resistere al burrascoso oceano di Internet tali macchine, progettate per reti “scollegate”.
Combinando tra loro vulnerabilità di vario tipo (in gran parte dei casi il risultato di errori di programmazione che rivelano una certa vetustà del software usato a bordo dei robot), ci è stato possibile creare vari scenari di attacco specifici dei sistemi robotici industriali. Ad esempio, è stato possibile introdurre micro-difetti nei processi eseguiti dal robot, senza che ciò fosse rilevabile dai sistemi di monitoraggio. In un altro esempio, abbiamo potuto portare il robot nella modalità “automatica” (ovvero la modalità in cui lo stesso si muove ad alta velocità seguendo il programma) da quella “manuale” (usata dall’operatore per programmare il robot tramite un telecomando o teach pendant), senza che ciò fosse immediatamente visibile all’operatore stesso.
Inoltre abbiamo dimostrato che esistono già robot che possono addirittura essere raggiunti direttamente da Internet o che sono protetti solo in modo molto semplice (mediante i cosiddetti “router industriali”, spesso a loro volta vulnerabili o collegati ad Internet con configurazioni di default non sicure).
Per tutelarsi nello scenario Industry 4.o, è necessario uno sforzo da parte di tutti gli stakeholder: produttori ed installatori in primis, ma anche consulenti e ricercatori di sicurezza, sviluppatori di software indipendenti … e aziende utilizzatrici. Dal suo canto, l’università sta iniziando a svolgere ricerche, come quella appena menzionata, anche nella cornice di progetti industriali. Ad esempio, il progetto “FilieraSicura”, finanziato da aziende private ed affidato ad un gruppo di università del Laboratorio Nazionale di CyberSecurity del CINI, cerca di affrontare in un’ottica olistica la sicurezza della filiera (o “Procurement Chain”), sia dal punto di vista della sicurezza e genuinità dei prodotti elettronici ed informatici acquistati, sia (ed è l’argomento di rilievo) per la sicurezza dei metodi produttivi e di logistica.
Fonte: Gruppo Sole 24 Ore
