Gli esperti del settore discutono della sicurezza informatica delle apparecchiature al Bauma 2025

I relatori alla tavola rotonda sulla sicurezza informatica (da sinistra a destra): Marcus Hiemer, ZF Group; Johannes Hipp, VDMA; Roman Hofmann, Liebherr; Chris Sleight, Off-Highway Research; Laura Fiumara, CECE. (Immagine: KHL Group)

La nostra è un'epoca in cui è difficile trovare un momento in cui non siamo connessi a internet. Praticamente ogni scrivania in ogni posto di lavoro ha un computer in rete, ogni tasca ha uno smartphone e una miriade di mani giocherellano senza sosta con i tablet.

Tale connettività si è estesa anche alle macchine. Chiamata Internet of Things (IoT), è ciò che permette a un'apparecchiatura di avvisare un operatore di una potenziale condizione di guasto o a un OEM di distribuire un aggiornamento firmware wireless che sblocca nuove funzionalità.

Questa interconnessione facilita inoltre il dirottamento elettronico dei dati da parte di malintenzionati senza scrupoli, e persino delle apparecchiature stesse.

"Oggi gestiamo molti dati interconnessi tra loro", ha affermato Marcus Hiemer, Senior Manager, Electronics Off-Highway di ZF Group. "Pertanto, è fondamentale proteggere i dati e, in particolare, garantirne la riservatezza, la disponibilità e l'integrità."

Hiemer ha fatto le sue osservazioni durante un dibattito sulla sicurezza informatica tenutosi presso lo stand ZF durante il Bauma 2025. Moderato da Julian Buckley, direttore di Power Progress International , Hiemer era affiancato da diversi altri esperti del settore:

• Laura Fiumara, responsabile delle politiche digitali, Comitato per le attrezzature europee per l'edilizia (CECE)
• Johannes Hipp, portavoce tecnico del VDMA
• Roman Hofmann, responsabile della sicurezza dei prodotti, Liebherr
• Chris Sleight, amministratore delegato, Off-Highway Research

Capire la situazione

Fiumara ha parlato delle attuali minacce alla sicurezza informatica delle apparecchiature.

"Posso solo affermare che, grazie alle competenze condivise dai nostri membri – rappresentiamo tutti i produttori di macchine edili – il numero di attacchi informatici nel nostro settore rimane al momento limitato", ha affermato. Tuttavia, Fiumara ha aggiunto che l'aumento del numero di macchine connesse sul mercato, unito alla maggiore consapevolezza della sicurezza informatica tra i membri del CECE, ha spinto il settore ad agire per affrontare potenziali minacce alla sicurezza.

Il numero di dispositivi connessi, sebbene non limitato ai macchinari fuoristrada, non è esiguo. Uno studio del 2024 pubblicato sul Journal of Science and Technology Policy Management ha citato un rapporto di Statista secondo cui entro il 2030 ci saranno circa 50 miliardi di dispositivi IoT connessi in tutto il mondo.

"C'è molto malware", ha aggiunto Hofmann. "Si sta automatizzando. Ci sono bot malware in giro e nessuno può sapere se il tecnico di assistenza che sta lavorando sulla macchina ha un PC o un laptop infetto con software di assistenza installato [che diffonde] malware sulla macchina stessa".

Secondo Hiemer, la sicurezza informatica è un problema che deve essere affrontato lungo tutta la catena di fornitura.

"Se produciamo una centralina, ad esempio, dobbiamo assicurarci che non venga manomessa durante la consegna alla tappa successiva della catena di fornitura", ha affermato. "Quindi, si tratta di gestire tutti i processi."

Regolamenti e standard

Secondo Hipp, il contesto normativo europeo affronterà presto la sicurezza informatica dell'IoT.

"Alla fine di dicembre 2027, tutti in Europa dovranno rispettare il Cyber Resilience Act (CRA)", ha affermato. "Questo regolamento riguarda ogni prodotto con elementi digitali. Quindi, ogni prodotto, dal fornitore al computer – l'intero computer – dovrà soddisfare i requisiti di cyber resilienza."

Immagine: vectorfusionart tramite Adobe Stock

Fiumara ha aggiunto che molti produttori sono in attesa dello sviluppo di standard nell'ambito del CRA. "In base a questo nuovo regolamento, la sicurezza informatica si intende, fin dalla progettazione e per impostazione predefinita, che tutti i componenti e gli elementi di una macchina debbano essere progettati come cyber-resilienti fin dalla fase di progettazione".

Tuttavia, esiste un altro regolamento che sta già adottando misure per affrontare la sicurezza informatica, in particolare per quanto riguarda la telematica: la Direttiva sulle apparecchiature radio (RED). Hofmann l'ha descritta come "il primo passo per far emergere una certa sicurezza informatica" per il mercato.

Secondo una panoramica dei requisiti di sicurezza informatica RED sul sito web di TÜV SÜD, a gennaio 2022 sono state introdotte disposizioni aggiuntive alla RED. Tra queste, il potenziamento della rete, la protezione dei dati personali e la protezione dalle frodi. Questi requisiti entreranno in vigore il 1° agosto di quest'anno.

"Esistono già norme per la Direttiva sulle Apparecchiature Radio che riguardano tutti i prodotti e gli elementi delle apparecchiature radio", ha affermato Fiumara. "Questo sarebbe il primo passo per l'attuazione della CRA, anche in combinazione con il regolamento macchine, che riguarda in particolare i macchinari nel nostro settore".

Secondo Hiemer, sono in corso altre attività di standardizzazione per affrontare la sicurezza informatica.

"Stiamo lavorando a uno standard ISO off-highway per la sicurezza informatica", ha affermato, riferendosi alla norma ISO 24882. "Anche in ZF stiamo sviluppando il nostro nuovo controller in base a quello standard."

Hiemer ha spiegato che, sebbene il controller EC5 di ZF sia stato sviluppato prima dell'entrata in vigore di protocolli di sicurezza informatica più rigorosi, ora l'unità è conforme allo standard di sicurezza informatica proposto, pur mantenendo lo stesso fattore di forma.

Oltre l'Europa

Sebbene le normative sopra menzionate riflettano la legislazione europea in materia di sicurezza informatica, il panel ha discusso il potenziale di una legislazione simile in altre regioni del mondo. Sleight ha ritenuto che tale proliferazione rappresentasse una sfida per gli OEM.

"Uno studio delle Nazioni Unite ha rilevato che l'80% dei paesi del mondo ha una qualche forma di legislazione sulla sicurezza informatica, e circa un ulteriore 5% la sta sviluppando", ha affermato. "E questo è preoccupante, perché lo abbiamo visto in altri aspetti della conformità dei prodotti: c'è una direzione generale da seguire. Lo abbiamo visto con le emissioni dei motori. Ma quando le cose non sono armonizzate, si aggiungono molti grattacapi e molti costi".

Sleight ha affermato che, anche se le normative in tutto il mondo sono funzionalmente simili, i requisiti di certificazione per la vendita in diverse aree geografiche potrebbero essere onerosi.

"Penso che questa sia una delle maggiori preoccupazioni del settore in materia di sicurezza informatica: è necessario ripetere questa operazione più e più volte, in più blocchi e in più aree, anche con gli standard ISO e SAE?"

Obblighi per gli utenti

Il panel ha suggerito che anche gli utenti hanno un ruolo da svolgere nella sicurezza informatica.

"Ci sarà una sorta di processo di formazione per il settore", ha affermato Sleight. "I prodotti saranno cyber-resilienti, e questo è ciò che i clienti useranno, ma credo che ci sarà una certa responsabilità da parte loro nel capire quali sono le buone pratiche di sicurezza informatica e quali sono i comportamenti rischiosi".

Sebbene il panel abbia affermato che spetterà agli OEM fornire aggiornamenti di sicurezza informatica alle macchine per tutta la loro effettiva durata di vita, spetterà agli utenti finali decidere se implementare o meno tali aggiornamenti.