La digitalizzazione del ciclo idrico aumenta efficienza e continuità del servizio, ma richiede standard rigorosi, cybersecurity avanzata e soluzioni resilienti per proteggere infrastrutture critiche. Articolo di Emilia Marcotulli
La crescente digitalizzazione delle infrastrutture del ciclo idrico, caratterizzata dall'impiego di sensori IoT, sistemi di telecontrollo e piattaforme di supervisione, sta trasformando le modalità di gestione degli impianti. Sebbene queste innovazioni tecnologiche abbiano portato notevoli benefici in termini di efficienza, hanno anche aumentato l'esposizione ai rischi informatici, con potenziali impatti sulla continuità del servizio, sulla sicurezza operativa e sulla conformità alle normative europee.
In questo contesto, la cybersecurity diventa un requisito strategico, in particolare per la protezione dei dispositivi OT (Operational Technology), che sono spesso vulnerabili ad attacchi cibernetici. Il webinar organizzato da Servizi a Rete in collaborazione con LACROIX e CyberRabbit ha fornito un approfondimento su queste tematiche cruciali, esaminando il nuovo quadro normativo europeo, le principali vulnerabilità del settore e le soluzioni tecniche per garantire una sicurezza adeguata e una continuità operativa nel lungo periodo.
L'approfondimento normativo: cyber resilience act e direttiva NIS2
Durante il webinar, è stato esplorato il nuovo quadro normativo europeo, che sta introducendo requisiti sempre più rigorosi per gli operatori e i fornitori di infrastrutture critiche, come quelle che gestiscono il ciclo idrico. Al centro dell'attenzione sono stati due regolamenti fondamentali: il Cyber Resilience Act (CRA) e la direttiva NIS2.
Il Cyber Resilience Act, focalizzato sulla sicurezza dei prodotti digitali, impone che la protezione sia parte integrante della progettazione di qualsiasi dispositivo connesso. L'obiettivo del regolamento è ridurre al minimo le vulnerabilità nei prodotti digitali e garantire che i produttori considerino la sicurezza informatica in tutte le fasi del ciclo di vita del prodotto. I temi chiave includono la gestione delle vulnerabilità, la configurazione sicura dei dispositivi e la protezione dei dati sensibili, con l'intento di creare dispositivi più sicuri fin dalla progettazione.
La direttiva NIS2, invece, mira a stabilire una gestione strutturata della cybersecurity lungo tutta la supply chain del settore idrico. Le aziende che operano in settori essenziali sono ora obbligate a garantire un livello di protezione adeguato, gestendo i rischi cibernetici in maniera continua e proattiva. La direttiva, recepita nell'ordinamento italiano con il decreto legislativo 138/2024, pone particolare enfasi sulla resilienza delle reti e dei sistemi, imponendo alle organizzazioni di affrontare le minacce informatiche in modo sistematico e coordinato.
Le vulnerabilità del settore OT: un Rischio per la continuità del servizio
Nel corso del webinar Francesca Celegato, Cyber Security Governance & Compliance Consultant di CyberRabbit, ha messo in luce le principali vulnerabilità che affliggono il settore OT e i rischi concreti derivanti dal loro sfruttamento.
Tra le criticità più comuni nei sistemi OT si trovano "accessi remoti non sicuri, l'autenticazione debole o addirittura assente, la mancanza di monitoraggio degli eventi di sicurezza e dei log, l'esposizione involontaria su Internet e l'uso di protocolli industriali obsoleti". Inoltre, i sistemi legacy "spesso non sono adeguatamente protetti da misure di sicurezza moderne".
Queste vulnerabilità, ha affermato, "sono particolarmente pericolose in un settore dove l'affidabilità operativa è cruciale". Un attacco informatico infatti potrebbe compromettere sistemi vitali come i PLC e i sistemi SCADA, alterando i processi di trattamento e potabilizzazione dell'acqua o manipolando i dati operativi. Le conseguenze di tali eventi non sono solo teoriche tanto che ha sottolineato come gli impatti "potrebbero essere devastanti, con danni economici, ripercussioni sulla salute pubblica e l'imposizione di sanzioni severe per il mancato rispetto delle normative di sicurezza".
L'importanza degli standard tecnici: IEC 62443
Un altro tema cruciale affrontato è stato quello degli standard internazionali necessari per garantire la sicurezza dei sistemi OT. Gianluca Pericoli, Red Team Operator & Information Security Analyst di CyberRabbit, ha illustrato l'importanza dell'IEC 62443, una norma tecnica fondamentale che fornisce linee guida precise per la sicurezza informatica dei sistemi di automazione industriale (IACS).
La norma si concentra su "aspetti vitali per proteggere le infrastrutture critiche", come l'autenticazione e la gestione delle identità, il controllo degli accessi e la protezione contro le modifiche non autorizzate, la difesa contro i malware e la garanzia dell'integrità dei dati. Inoltre, ha sottolineato come tale norma "stabilisca anche la gestione sicura dei flussi di comunicazione, privilegiando la segmentazione della rete come misura preventiva per limitare i rischi".
Gianluca Pericoli ha enfatizzato, in ultima istanza, come l’adozione di questa norma sia essenziale per garantire una protezione solida, favorire la resilienza operativa e assicurare una risposta rapida ed efficace in caso di eventi di sicurezza". L'integrazione di standard riconosciuti come l'IEC 62443 "non è più un’opzione ma una necessità" per le organizzazioni che desiderano proteggere adeguatamente le loro infrastrutture critiche in un contesto sempre più minacciato dagli attacchi informatici.
Le soluzioni proposte da LACROIX: protezione e affidabilità delle infrastrutture
Marcello Cappellari, Responsabile Sales Area Nord e Water & Business Developer presso LACROIX Sofrel Italia ha presentato, in conclusione, le soluzioni IoT industriali sviluppate dall'azienda per ottimizzare e proteggere le infrastrutture idriche ed energetiche. Queste soluzioni mirano a garantire un monitoraggio da remoto efficace e una supervisione continua delle reti idriche, con un focus particolare sulla protezione dei dati e sulla sicurezza.
Tra le soluzioni offerte, Sofrel LogUp si distingue come una piattaforma integrata che combina dispositivi di acquisizione dati, piattaforme di gestione remota e SCADA per raccogliere e monitorare i dati in tempo reale. Una delle innovazioni principali presentate è LX Connect, una piattaforma che ottimizza la sicurezza automatizzata della rete, gestendo i certificati e consentendo aggiornamenti da remoto in modo sicuro e tempestivo.
L'uso di LX Connect permette anche di effettuare un monitoraggio avanzato delle vulnerabilità e di gestire in modo centralizzato gli utenti, garantendo la cifratura dei dati e il controllo dell'integrità delle informazioni scambiate.
Queste tecnologie, ha sottolineato Cappellari, "non solo proteggono le infrastrutture critiche da potenziali attacchi informatici, ma consentono anche una riduzione dei costi di gestione, migliorando l’efficienza operativa e aumentando la resilienza del sistema".
Un futuro più sicuro per il ciclo idrico
La crescente digitalizzazione delle infrastrutture del ciclo idrico non è solo una sfida, ma anche una grande opportunità per ottimizzare l'efficienza e garantire la continuità del servizio. Tuttavia, con l'aumento della connettività e l'adozione di tecnologie avanzate, la protezione contro i rischi cibernetici diventa cruciale.
L'adozione di standard internazionali come l'IEC 62443 e il rispetto delle normative europee, come il Cyber Resilience Act e la direttiva NIS2, sono passi fondamentali per rafforzare la sicurezza delle infrastrutture critiche. La protezione dei dispositivi OT e la gestione efficace delle vulnerabilità sono essenziali non solo per evitare potenziali danni economici ma anche per mantenere alta la fiducia del pubblico e dei regolatori.
Le soluzioni proposte dalle aziende, come quelle presentate da LACROIX, rappresentano un passo decisivo verso la costruzione di sistemi idrici più resilienti e sicuri, con un monitoraggio avanzato e aggiornamenti da remoto che riducono i costi e aumentano l'affidabilità operativa.
Articolo di Emilia Marcotulli
