Gli attacchi informatici a macchinari sono diventati un rischio aziendale da considerare tanto quanto la sicurezza del macchinario stesso (safety).
La direttiva macchine, come del resto le altre disposizioni legislative che riguardano la sicurezza dei prodotti, non prendono in considerazione attività criminali che possono avere come oggetto la macchina, quali attacchi informatici.
Infatti, l’attuale legislazione sulle macchine a partire dalla direttiva macchine 2006/42/CE, prende in considerazione l’uso della macchina previsto o l’uso scorretto ragionevolmente prevedibile.
Si presuppone quindi che la macchina venga utilizzata per gli scopi per i quali è stata progettata e fabbricata; oppure che gli operatori ne effettuino un uso improprio per:
La “IT security” non è quindi un aspetto trattato dalla direttiva macchine 2006/42/CE che si occupa solamente di “safety”, ovvero di sicurezza delle persone.
Le macchine sono però sempre più esposte alla possibilità di attacchi informatici in quanto:
Anche il piano nazionale italiano «Industria 4.0» ha dato una forte spinta in questa direzione.
Una macchina non «connessa» può essere considerata sicura dal punto di vista degli attacchi informatici dall’esterno, ma è una realtà sempre più rara nell’attuale panorama industriale.
Inoltre le tecnologie senza fili utilizzate sulla macchina, ad esempio per i comandi o per sensori, possono esporla ad attacchi da parte di persone all’interno dell’organizzazione nella quale la macchina viene impiegata.
Le potenziali conseguenze di attacchi informatici ad una macchina sono molteplici e possono causare:
Gli attacchi possono provenire sia dall’interno che dall’esterno dell’organizzazione in cui la macchina è installata e possono essere dovuti a:
La difesa dagli attacchi informatici alle macchine è complessa e deve comprendere componenti hardware e software.
Questo soprattutto perché i metodi di attacco informatico evolvono in continuazione, quindi non è possibile per il fabbricante della macchina assicurare che non sia vulnerabile solamente per mezzo delle misure di cui la macchina è dotata al momento della sua messa in servizio.
Le misure di protezione contro gli attacchi informatici della macchina devono modificarsi costantemente, per tutto il ciclo di vita della macchina.
Il panorama normativo attuale comprende due rapporti tecnici riguardanti questi aspetti:
La difesa dagli attacchi informatici deve essere condotta in collaborazione tra il fabbricante della macchina e l’utilizzatore (ad esempio per quanto riguarda la protezione delle reti di comunicazione o l’autenticazione degli utenti); per questo motivo è fondamentale che anche le istruzioni per l’uso della macchina contengano tutte le informazioni necessarie affinché l’utilizzatore possa adottare tutte le misure adeguate alla protezione della macchina dagli attacchi.
A questo proposito la norma UNI EN ISO 20607:2019 “Safety of machinery – Instruction handbook – General drafting principles” contiene apposite indicazioni al riguardo, prescrivendo la necessità di specificare nel manuale di istruzioni per l’uso della macchina informazioni in merito alla sicurezza informatica.
Sarà quindi necessario che in futuro i fabbricanti delle macchine eseguano una valutazione dei rischi di attacchi informatici, adottino i mezzi necessari a renderle meno vulnerabili e informino gli utilizzatori, per mezzo delle istruzioni per l’uso, delle misure che devono essere messe in atto per proteggere continuamente le macchine dagli attacchi.
La Conferenza Europea sulla Sicurezza e l'Affidabilità (ESREL) 2024 è un evento chiave nel campo…
Tra il 2017 e il 2018 l'Associazione Ambiente e Lavoro ha pubblicato due numeri di Dossier…
Nell'aprile del 2024 è stata pubblicata l'edizione 2.3 della guida all'applicazione della direttiva macchine 2006/42/CE;…
WEBINAR - La sicurezza dei carrelli senza guidatore e la guida all'applicazione della direttiva macchine…
Vuoi avere maggiori informazioni su Transizione 4.0? In questo articolo abbiamo raccolto le principali domande…
Riportiamo di seguito una notizia da UNI perché parteciperemo al tavolo di lavoro sulla cybersecurity…