Integrated Safety-Security Risk Management (ISRM): la convergenza necessaria tra sicurezza fisica e cyber nei sistemi industriali
L’Integrated Safety-Security Risk Management (ISRM) rappresenta oggi una delle sfide più critiche per chi progetta, gestisce e protegge sistemi cyber-fisici nelle infrastrutture critiche e negli ambienti industriali. Per decenni, ingegneri della sicurezza fisica e professionisti della cybersecurity hanno operato in mondi paralleli, con linguaggi, metodologie e priorità profondamente diverse. I primi si concentravano su guasti accidentali, probabilità statistiche e certificazioni SIL; i secondi affrontavano attaccanti intelligenti, vulnerabilità software e strategie di difesa informatica.
Questa separazione, che un tempo aveva una sua logica negli impianti isolati e nei sistemi proprietari, è diventata un rischio sistemico nell’era dell’Industria 4.0. Quando turbine eoliche dialogano con il cloud, quando veicoli autonomi integrano decine di ECU interconnesse, quando una raffineria petrolchimica può essere gestita da remoto attraverso protocolli IP, la distinzione tra un guasto accidentale e un attacco informatico sfuma fino a scomparire nelle conseguenze: in entrambi i casi, il risultato può essere un’esplosione, un fermo produttivo catastrofico o la perdita di vite umane.
Standard internazionali come l’IEC 62443 per i sistemi di controllo industriale e l’ISO 21434 per il settore automotive hanno iniziato a fornire framework strutturati per questa convergenza. Ma il percorso verso metodologie ISRM mature è ancora in fase di definizione, tra zone grigie dove safety e security entrano in conflitto, nuove architetture organizzative necessarie per governare l’integrazione e tecnologie emergenti – dall’intelligenza artificiale all’edge computing – che amplificano ulteriormente la complessità del panorama dei rischi.
Questo articolo esplora come le organizzazioni possano superare l’approccio additivo – che si limita a sovrapporre analisi di safety e security – per abbracciare una visione integrata del rischio nei sistemi cyber-fisici, tracciando un percorso attraverso standard consolidati, pratiche emergenti e le sfide organizzative e tecnologiche che caratterizzeranno il futuro della sicurezza industriale.
Integrated Safety Security Risk Management
L’attacco alla Colonial Pipeline del 7 maggio 2021 ha rappresentato un punto di svolta nella comprensione dei rischi cyber-fisici. Per la prima volta, un ransomware ha causato lo shutdown di un’infrastruttura energetica critica che trasporta quotidianamente oltre 100 milioni di galloni di carburante lungo la costa orientale degli Stati Uniti. L’evento ha dimostrato concretamente come minacce puramente digitali possano generare conseguenze fisiche sulla sicurezza delle persone e dell’ambiente, cristallizzando una verità che gli esperti osservavano da tempo: nei sistemi cyber-fisici moderni, la separazione tra safety e security non è più sostenibile.
Il problema della separazione storica tra safety e security
Le metodologie di risk management sono storicamente nate in domini separati. Gli ingegneri della safety hanno sviluppato approcci sistematici per gestire rischi accidentali, guasti randomici e condizioni degradate, utilizzando tecniche consolidate come HAZOP, Fault Tree Analysis (FTA) e FMEA. Dall’altro lato, i professionisti della cybersecurity hanno costruito framework per contrastare minacce intenzionali, attori ostili e vulnerabilità sfruttabili.
Ma cosa accade quando un attacco informatico può causare l’esplosione di un impianto industriale? Quando un malware può alterare i parametri di sicurezza di una turbina? Quando una vulnerabilità in un controller industriale può compromettere sistemi certificati SIL 3? In questi scenari, applicare separatamente metodologie di safety e security diventa pericolosamente inadeguato.
Quando la safety assume che i guasti siano accidentali
Per decenni, la safety ha operato assumendo sistemi sostanzialmente isolati o guasti di natura accidentale. Le analisi si concentravano su failure mode statisticamente prevedibili. Il concetto stesso di Safety Integrity Level (SIL) presuppone una probabilità di guasto casuale misurabile, calcolabile e mitigabile attraverso ridondanza e diversificazione.
La security, al contrario, ha sempre affrontato avversari intelligenti e adattivi. Gli attacchi non seguono distribuzioni statistiche prevedibili. Un penetration test non garantisce l’assenza di vulnerabilità zero-day. La threat intelligence evidenzia come gli attori delle minacce evolvano continuamente tecniche, tattiche e procedure.
La convergenza inevitabile nei sistemi OT
Nei sistemi OT (Operational Technology) contemporanei, queste dimensioni si sovrappongono in modi imprevedibili. Un attacco informatico non è più solo questione di confidenzialità o integrità dei dati: rappresenta un nuovo vettore di failure che può innescare conseguenze sulla safety. Parallelamente, un incidente di safety può esporre vulnerabilità sfruttabili da attaccanti.
Integrated Safety-Security Risk Management: oltre l’approccio additivo
La risposta iniziale alla convergenza è stata l’approccio additivo: condurre assessment di safety E assessment di security. Tuttavia, questo metodo rivela rapidamente i propri limiti. I due tipi di analisi utilizzano metriche incompatibili (likelihood probabilistica vs. soggettiva), scale di rischio diverse e strategie di mitigazione potenzialmente conflittuali.
Un esempio paradigmatico: le best practice di security richiedono di patchare regolarmente i sistemi per eliminare vulnerabilità. Le best practice di safety impongono di non modificare sistemi certificati se non attraverso processi di change management rigorosi. Come si prioritizza? Quale rischio prevale?
È qui che emerge l’Integrated Safety-Security Risk Management (ISRM): non una sovrapposizione di metodologie esistenti, ma un ripensamento fondamentale di come valutiamo, quantifichiamo e trattiamo i rischi nei sistemi cyber-fisici.
Il contributo dello standard IEC 62443
Lo standard IEC 62443, nella sua articolazione multi-parte, fornisce un framework completo per la cybersecurity nei sistemi di automazione e controllo industriale. La sua forza sta nel riconoscere esplicitamente l’intersezione tra security e safety, introducendo Security Level commisurati alle conseguenze potenziali di un attacco – conseguenze che includono impatti sulla sicurezza fisica.
La serie IEC 62443-3-2 definisce Security Risk Assessment specifici per ambienti industriali e infrastrutture critiche, introducendo approcci consequence-driven. L’analisi non si limita alla probabilità di successo di un attacco, ma integra sistematicamente la valutazione delle conseguenze sulla safety.
ISO 21434 nel settore automotive
Lo standard ISO 21434, pubblicato nel 2021, porta una prospettiva complementare dal mondo automotive. Introduce il Threat Analysis and Risk Assessment (TARA) da condurre in parallelo con le tradizionali analisi di safety come HARA (Hazard Analysis and Risk Assessment) definite dalla ISO 26262.
L’ISO 21434 richiede esplicitamente di considerare come le minacce cyber possano violare assunzioni di safety e come le misure di mitigazione security possano impattare funzioni safety-critical. Il settore automotive, con veicoli connessi e sistemi ADAS, rappresenta un caso d’uso emblematico della convergenza safety-security.
Elementi costitutivi di un ISRM efficace
Una metodologia ISRM matura deve affrontare diverse dimensioni di integrazione:
Linguaggio comune per eventi indesiderati
Non possiamo più permetterci hazard da un lato e threat dall’altro senza un framework unificante. Alcuni approcci propongono il concetto di “loss scenario” come denominatore comune: una sequenza di eventi che porta a conseguenze negative, indipendentemente dal fatto che l’innesco sia accidentale o doloso.
Modello di rischio unificato
La formula tradizionale del rischio (R = Probabilità × Gravità) diventa insufficiente quando dobbiamo incorporare il livello di capacità dell’attaccante, la superficie di attacco e l’efficacia delle misure di protezione esistenti. Alcuni framework propongono modelli a matrice multidimensionale o approcci semi-quantitativi basati su scenari.
Analisi delle dipendenze e interazioni
Un sistema industriale moderno è un intreccio di componenti fisici, logica di controllo, reti di comunicazione e sistemi IT di supporto. Un attacco a un componente apparentemente secondario può propagarsi attraverso queste dipendenze fino a compromettere funzioni safety-critical.
Tecniche come STPA (System-Theoretic Process Analysis) estese con considerazioni security stanno guadagnando trazione per catturare queste interdipendenze nei sistemi di controllo industriale.
Zone grigie: dove safety e security entrano in tensione
Esistono scenari in cui i requisiti di safety e security entrano in tensione. Consideriamo i sistemi di sicurezza standalone vs. integrati. Una filosofia safety tradizionale suggerisce di mantenere i SIS (Safety Instrumented Systems) completamente separati dai sistemi di controllo di processo. Dal punto di vista security, però, sistemi isolati sono più difficili da patchare, monitorare per anomalie e integrare in strategie di detection complessiva.
Un altro esempio riguarda i fail-safe mode. Molti sistemi safety sono progettati per andare in shutdown in caso di condizioni anomale. Ma un attaccante che riesca a innescare ripetutamente questi shutdown può creare denial-of-service con conseguenze economiche severe, e shutdown ripetuti possono causare stress meccanici che degradano la safety nel lungo termine.
Questi conflitti non hanno risposte univoche. Richiedono giudizio ingegneristico informato, analisi caso per caso e scelte che bilanciano rischi di natura diversa. Il valore di un framework ISRM maturo è fornire il processo strutturato attraverso cui queste decisioni possono essere prese in modo trasparente e tracciabile.
Framework emergenti: NIST, FAIR e pratiche avanzate
Mentre IEC 62443 e ISO 21434 forniscono fondamenta solide, la pratica dell’ISRM evolve rapidamente. Il NIST Cybersecurity Framework 2.0, rilasciato il 26 febbraio 2024, ha esplicitamente riconosciuto la necessità di considerare impatti cyber-fisici, introducendo la nuova funzione “Govern” e categorie che trascendono confidenzialità, integrità e disponibilità dei dati per abbracciare conseguenze operative e di sicurezza fisica.
Parallelamente, framework come FAIR (Factor Analysis of Information Risk) vengono adattati per incorporare elementi di consequence analysis tipici della safety. L’approccio quantitativo del FAIR si presta a essere esteso con metriche safety-oriented.
Digital twin e simulazione per validazione integrata
Una tendenza emergente è l’uso di digital twin e simulazione per validare l’efficacia delle misure integrate. Invece di analisi puramente teoriche, organizzazioni stanno creando repliche digitali dei loro asset critici per testare simultaneamente la risposta a guasti accidentali E ad attacchi deliberati, identificando failure mode che emergono solo dall’interazione tra i due domini.
Implicazioni organizzative: governare l’integrazione
Un’ISRM efficace non è solo questione tecnica, ma organizzativa. Storicamente, safety e security hanno riportato a funzioni aziendali diverse, con background formativi distinti e culture professionali diverse. L’ingegnere safety tipicamente proviene da meccanica, chimica o ingegneria dei processi. Il professionista security ha spesso background in informatica o networking.
Questa separazione crea silos che ostacolano l’integrazione metodologica. Organizzazioni stanno sperimentando modelli di governance ibridi: comitati congiunti safety-security, ruoli come il Safety & Security Manager, processi di risk assessment che richiedono approvazione congiunta.
Ma serve anche investimento in formazione cross-domain. I safety engineer devono sviluppare alfabetizzazione in cybersecurity – comprendere superficie di attacco, threat actor capabilities, security controls. Specularmente, i security professional devono acquisire principi safety: consequence analysis, protective layers, concetti SIL/PL.
Il futuro dell’ISRM: AI, edge computing e nuove sfide
Le sfide dell’ISRM sono destinate ad amplificarsi con l’evoluzione tecnologica. L’introduzione di intelligenza artificiale e machine learning in sistemi industriali crea nuove dimensioni di rischio. Un modello di ML può degradare gradualmente per data drift, creando failure mode che non sono né puramente accidentali né chiaramente malevoli.
L’edge computing, con la proliferazione di dispositivi IIoT (Industrial Internet of Things), espande la superficie di attacco mentre distribuisce funzioni potenzialmente safety-critical su infrastruttura più difficile da controllare. Sensori smart, attuatori connessi, gateway edge – ognuno può essere punto di guasto o punto di ingresso per attaccanti.
La risposta non può essere semplicemente “più sicurezza” o “più safety” in astratto, ma metodologie che comprendano interazioni complesse, anticipino scenari emergenti e bilancino rischi in un landscape dinamico.
Conclusioni: la convergenza come opportunità strategica
L’Integrated Safety-Security Risk Management rappresenta un cambio di paradigma necessario per affrontare la realtà dei sistemi cyber-fisici contemporanei. La convergenza tra safety e security non è una complicazione da gestire, ma un’opportunità per sviluppare sistemi intrinsecamente più robusti, resilienti e sicuri in senso olistico.
Gli standard come IEC 62443 e ISO 21434 forniscono fondamenta solide, ma la costruzione di pratiche ISRM mature richiede sperimentazione, condivisione di esperienze e volontà di superare confini disciplinari storici. Richiede che ingegneri safety e professionisti security non solo collaborino, ma sviluppino un linguaggio comune e una visione condivisa del rischio.
Nel momento in cui quasi ogni processo industriale, infrastruttura critica e sistema di trasporto diventa connesso e software-defined, la domanda non è più se integrare safety e security, ma quanto rapidamente ed efficacemente riusciamo a farlo. Le organizzazioni che svilupperanno capacità ISRM mature non solo proteggeranno meglio asset e persone, ma acquisiranno vantaggio competitivo in un mondo dove la resilienza diventa fattore critico di successo.
