Perché la sicurezza delle comunicazioni industriali dipende dall’implementazione oltre che dai protocolli
Autore: Redazione ImpresaCity
I protocolli di comunicazione industriale rappresentano la spina dorsale dell’automazione moderna, sia di processo sia di fabbrica, consentendo interoperabilità, controllo in tempo reale e un’integrazione efficiente di dispositivi, sistemi e applicazioni. Tuttavia, molti dei protocolli ampiamente utilizzati oggi sono stati originariamente sviluppati senza considerare la cybersecurity come un requisito primario di progettazione.
Sebbene le organizzazioni di standardizzazione abbiano progressivamente introdotto funzionalità di sicurezza in questi protocolli, esistono ancora numerose implementazioni di sistemi legacy che non dispongono di meccanismi di sicurezza integrati come autenticazione, autorizzazione, integrità e riservatezza.
Per affrontare questa sfida, l’Industrial Security Harmonization Group (ISHG) - che riunisce importanti organizzazioni industriali, tra cui FieldComm Group, ODVA, OPC Foundation e PROFIBUS & PROFINET International - ha definito e pubblicato una visione condivisa che evidenzia una verità fondamentale nella cybersecurity industriale: la sicurezza delle comunicazioni non dipende solo dai protocolli, ma da come questi vengono implementati e gestiti negli ambienti reali.
Il lavoro congiunto dell’ISHG mette in discussione la classificazione semplicistica dei protocolli come “sicuri” o “insicuri”, proponendo invece un approccio più pratico e realistico. La sicurezza dipende dal contesto: è legata a come i protocolli vengono configurati, dove vengono implementati e all’ambiente operativo circostante. Le funzionalità di sicurezza integrate non sono sufficienti da sole: anche i protocolli più avanzati richiedono una corretta implementazione e manutenzione. I controlli compensativi sono essenziali: architettura di rete, segmentazione (zone e conduits), monitoraggio e misure di sicurezza fisica svolgono un ruolo fondamentale, soprattutto nei sistemi legacy e non Ethernet.
Questa prospettiva, focalizzata sull’implementazione, è pienamente in linea con le nuove aspettative normative, incluse quelle previste dal Cyber Resilience Act (CRA) dell’Unione Europea per prodotti hardware e software e dalla direttiva NIS2 per enti e organizzazioni operative. L’ISHG ha discusso di questi temi durante una sessione a Hannover Messe 2026, focalizzata sul white paper “Secure Deployment of Industrial Communication Protocols: A Risk-Based Approach”, offrendo indicazioni concrete agli stakeholder industriali su come proteggere efficacemente i sistemi di comunicazione industriale nella pratica.