I nuovi modelli di interconnessione 4.0 hanno portato l’azienda a rivedere i paradigmi di cyber security seguiti in ambito IT, inefficaci in ambito operazionale, ove il risk management va calibrato su logiche differenti. Blocchi della produzione, manomissione dei software di supervisione e controllo, pericoli per l’incolumità degli operatori, sono aree di rischio che richiedono procedure e codici di condotta ben precisi per poterne contenere i possibili effetti. Nel corso del seminario si affronteranno le questioni tecniche, metodiche e giuridiche che ruotano attorno ai nuovi paradigmi della cyber security.
3. Industria 4.0
Progetto di norma
UNI1603705 (Uni-Uninfo)
«Tecnologie Abilitanti per
Industria 4.0 – Integrazione ed
interconnessione: aspetti
principali ed esempi»
3
«Industria 4.0 (I 4.0)»
È un processo produttivo in grado di far
circolare e gestire le informazioni legate
alla generazione di valore aggiunto tra i
vari componenti del sistema produttivo
tra loro interconnessi (macchine, esseri
umani, prodotti e sistemi informatici).
4. Paradigma 4.0
«Integrazione»
elaborazione dei dati disponibili
provenienti dalle macchine,
trasformandoli in informazioni e dati
interpretati, capaci di migliorare le fasi
di produzione e di processo
● circolarità
● flusso costante di dati e di
informazioni lungo l’intera catena di
creazione del valore (in/out)
4
«Interconnessione»
● scambiare informazioni con sistemi
interni e/o esterni per mezzo di un
collegamento basato su specifiche
documentate, disponibili
pubblicamente e internazionalmente
riconosciute
● Identificazione univoca, al fine di
riconoscere l’origine delle
informazioni, mediante l’utilizzo di
standard di indirizzamento
internazionalmente riconosciuti
5. Tecnologie Abilitanti
● Disponibilità dei dati e
analitica dei Big Data
● Beni strumentali e sistemi
di produzione avanzata
● Connettività spinta
5
«Connettività e networking»
Implementare un’interconnessione
di macchine:
● permanente
● basata su standard
● sicura (norme e standard de
facto in tema di sicurezza
informatica e qualità dei dati)
6. Aumento esponenziale
delle informazioni digitali
Viene generato un flusso di dati legato al ciclo
produttivo, gestito su più livelli, attraverso
workstation e operatori con funzioni diverse,
strutturato in uno o più database. Impatto sul
«perimetro» di informazioni tutelate
dall’ordinamento giuridico.
6
Maggiore esposizione
del ciclo produttivo
I sistemi dei processi di automazione si sono
evoluti, da computer isolati, a reti chiuse, a
dispositivi pc-like e dispositivi mobili, a sistemi
interconnessi, non solo tra dispositivi pc-like, ma
anche con macchinari industriali. Nuove esigenze
di sicurezza e protezione degli assets aziendali.
7. Questioni giuridiche
IP
Protezione degli
assets aziendali
(tradizionali e non)
Privacy
Protezione dei dati
personali e dei
sistemi sui quali
risiedono (GDPR)
Responsabilità
Confini e perimetri delle
«responsabilità» lungo
la filiera del dato
7
8. Data Breach
violazione di sicurezza che comporta
accidentalmente o in modo illecito la
distruzione, la perdita, la modifica, la
divulgazione non autorizzata o
l’accesso ai dati (personali) trasmessi,
conservati o comunque trattati
8
Violazione Know
How aziendale e
informazioni
riservate
Personal
Data Breach
Security incident
9. 9
Incidente
se vi è rischio per
i diritti e le libertà
se il rischio è
elevato
Notifica
all’Autorità di
controllo (art. 33)
72 ore
Comunicazione
agli interessati
(art. 34)
Numero e tipologie di dati violati
Numero e tipologia di registri esposti
Cause e conseguenze della violazione
Misure per attenuare effetti negativi
Misure per porre rimedio all’attacco
10. 10
Data Processing Agreement
Accordo Titolare – Responsabile ex art. 28 GDPR
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento,
quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie
sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il
trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti
dell'interessato.
[…]
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da
altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il
responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la
durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di
interessati, gli obblighi e i diritti del titolare del trattamento.