Il Manufacturing Execution System (MES) consente di evitare inefficienze tra quanto pianificato e quanto realmente realizzato dalla fase di produzione, giocando quindi un ruolo strategico nelle organizzazioni definibili “Industry 4.0”: per questo è importante verificarne anche la conformità al GDPR.

Con il termine Industria 4.0 (o Industry 4.0) si definisce una tendenza dell’automazione industriale ad integrare nuove tecnologie produttive per migliorare le condizioni di lavoro e aumentare la produttività e la qualità produttiva degli impianti e sempre più spesso si sente parlare dei Manufacturing Execution System (MES) e del loro ruolo strategico all’interno delle organizzazioni moderne e digitalizzate: in questo senso, è lecito chiedersi quali siano gli aspetti da verificare affinché un sistema MES sia conforme rispetto agli adempimenti delle logiche imposte dal GDPR in merito alla protezione dei dati personali.

Il Manufacturing Execution System: cos’è e come funziona

Prima di rispondere a questa domanda, vediamo innanzitutto cos’è un Manufacturing Execution System (MES).

Il Manufacturing Execution System è un software che si colloca tra un sistema ERP (Enterprise Resource Planning) per la pianificazione delle risorse d’impresa (acquisti, produzione, magazzino, contabilità e vendite) e un sistema SCADA (Supervisory Control And Data Acquisition) dove, grazie all’impiego di sensori, sonde ed indicatori, utile per il monitoraggio e la supervisione dei sistemi fisici.

I sistemi SCADA, infatti, sono impiegati all’interno delle centrali di controllo delle fabbriche, delle stazioni ferroviarie, degli aeroporti, degli acquedotti o dei grandi complessi di edifici, così come, per i sistemi più piccoli, in prossimità del processo da controllare.

I sistemi MES, dunque, si pongono, tanto per intenderci, tra il livello decisionale e il livello di produzione con il fine di metterli in comunicazione ed evitare inefficienze tra quanto pianificato e quanto realmente realizzato dalla fase di produzione.

Secondo l’Associazione MESA (Manufacturing Enterprise Solutions Association), un Manufacturing Execution System deve essere in grado di svolgere almeno le seguenti funzioni:

• gestione gli ordini di produzione;
• gestione delle risorse coinvolte nella produzione;
• eseguire le fasi di produzione monitorandone lo stato di avanzamento;
• tracciare la produzione, dalla materia prima alla consegna al cliente;
• raccogliere quanti più dati sia possibile per monitorare l’andamento della produzione con il fine di analizzarne le performance.

Un sistema MES interconnesso, in grado di dialogare sia con l’impianto produttivo mediante una rete IoT, sia con l’ERP mediante interfacce, ecco che un sistema MES con queste funzionalità rientra nella Horizontal/Vertical Integration, una delle tecnologie abilitanti dell’Industry 4.0.

Nella vertical integration vi sono grandi potenziali di ottimizzazione per logistica e produzione.

Se le procedure di produzione nel sistema ERP e nel controllo macchine in stabilimento erano finora aree divise tra loro e spesso distribuite tra diversi sistemi IT, nell’integrated industry i processi informatici e di comando vengono sempre più spesso messi in rete ed eseguiti in modo integrato.

In tal modo, tutti i reparti aziendali hanno accesso ai dati di produzione e logistici creando così una horizontal integration nell’intera azienda.

Il funzionamento dei sistemi MES dell’industria 4.0 è caratterizzato dalla rilevazione manuale ed automatica di informazioni e dati sull’esecuzione delle attività produttive: dalla fase di prelievo dei componenti primari per l’avviamento del flusso produttivo, alla fase di collaudo e rilascio in magazzino dei prodotti. Il flusso informativo è originato dall’acquisizione degli ordini di produzione dal sistema gestionale e da tutte le informazioni necessarie per la sua corretta esecuzione.

I software MES di ultima generazione consentono di rilevare dati ed informazioni sulle attività produttive attraverso più tecnologie (PC, tablet, smartphone, lettori codici a barre, RFID, NFC ecc.) e risorse aziendali (operatori, attrezzature ecc.). È pertanto possibile comunicare in tempo reale ai diversi soggetti coinvolti tutte le informazioni secondo i più opportuni criteri di responsabilità e di profilazione.

L’interconnessione con i macchinari di produzione consente di evitare azioni ripetitive e “non a valore” da parte degli operatori e scambiare con i macchinari informazioni legate al flusso informativo e dati di processo della macchina. In questo modo è possibile analizzare i trend storici e attivare un processo predittivo degli errori umani e dell’efficienza di utilizzo dei macchinari.

I sistemi MES forniscono dunque informazioni che aiutano i responsabili aziendali a comprendere come le condizioni dell’impianto possano essere ottimizzate per migliorare il processo produttivo. Funzionano in tempo reale per consentire il coordinamento delle risorse coinvolte nel processo manifatturiero ad esempio: materie prime, personale, macchinari e servizi di supporto.

Il Manufacturing Execution System può operare su più aree funzionali, come la definizione dei processi produttivi, la pianificazione delle risorse, l’esecuzione e la distribuzione dei lavori, la raccolta e l’analisi dei dati, la gestione dei tempi di fermo dei macchinari, il controllo della qualità dei prodotti, la tracciabilità dei materiali e la reportistica relativa a tempistiche, costi, qualità.

Il MES per il controllo e la gestione di produzione e qualità

In un contesto economico sempre più competitivo e globalizzato, le aziende manifatturiere sono sottoposte a una forte pressione per sviluppare prodotti di alta qualità in modo rapido ed economico. In un quadro come questo, non è semplice mantenere elevata la qualità dei prodotti, del processo e al tempo stesso la redditività.

È in questo ambito che entrano in gioco i Manufacturing Execution System, che assicurano un controllo continuo dei processi e quindi un monitoraggio costante della qualità, ed è per questi motivi che sempre più aziende implementano software di Manufacturing Execution System e tutto questo si traduce non solo in un controllo costante, ma anche in ulteriori vantaggi:

• maggiore rapidità nella messa in produzione di nuovi prodotti;
• maggiore flessibilità nei processi produttivi;
• adattamento a imprevisti e nuove condizioni;
• muoversi alla velocità che i clienti si aspettano;
• aumentare la capacità produttiva;
• riduzione dei costi di magazzino;
• riduzione degli sprechi;
• aumento dei tempi di attività delle macchine adottando piani di manutenzione più efficienti;

Più in generale, i MES consentono alle aziende di operare con maggiore efficienza, competitività, coordinamento e costi inferiori.

Rendere il Manufacturing Execution System conforme al GDPR

Proprio per tutte le informazioni strategiche e i dati, anche personali, contenuti e trattati all’interno del Manufacturing Execution System, risulta pertanto ora chiaro, e alla luce di quanto scritto finora, quanto sia fondamentale per la business continuity aziendale proteggere adeguatamente il sistema MES da possibili violazioni esterne.

Il sistema Manufacturing Execution System (MES) si trova al centro del sistema di produzione intelligente, un livello logico complesso basato solitamente su un database, che funge da interfaccia tra il sistema di pianificazione delle risorse aziendali (Enterprise Resource Planning – ERP) e l’impianto produttivo. Gli aggressori, pertanto, possono prendere di mira una combinazione di queste parti (o dei loro componenti) sfruttando le relazioni e i collegamenti tra di esse.

Il database del Manufacturing Execution System contiene informazioni e dati, anche personali, sulle risorse umane provenienti dal sistema MES, oltre a questi sono contenuti dati relativi agli ordini di lavoro e i modelli di lavorazione.

Il database del MES è considerato “attendibile” dal resto del sistema, il che significa che un aggressore con accesso alla rete o a un database MES non autenticato può alterare la produzione, falsificando o modificando i record all’interno del database o generare una violazione dei dati personali (data breach).

Un aggressore con accesso anche indiretto al MES può causare malfunzionamenti nella produzione di merci, sia introducendo un errore nella produzione, ad esempio modificando il valore dei parametri di lavoro al fine di creare difetti nel prodotto finale, o introducendo un valore fuori limite nei parametri dell’operazione, che causerà un “denial of service” che bloccherà la produzione.

Nel settore manifatturiero si nota una transizione da impianti chiusi e statici a soluzioni connesse e dinamiche basate su macchinari modulari riconfigurabili tipiche dell’Industria 4.0. In parallelo a questo trend è necessario adeguare le proprie politiche di sicurezza, abbandonando il presupposto che gli endpoint o le macchine all’interno di un impianto di produzione siano implicitamente “sicure” e optare invece per un approccio più granulare.

Pertanto, sugli endpoint, si dovrebbero svolgere controlli periodici di integrità per individuare eventuali componenti software non conformi. I dispositivi IoT dovrebbero eseguire solo codice firmato, in particolare le librerie di terze parti, che potrebbero nascondere funzioni dannose. Sarebbe infine opportuna un’analisi di rischio del software di automazione.

Come è stato fin qui detto i sistemi MES sono dunque “contenitori” strategici oltre che di dati ed informazioni della produzione e pianificazione anche di dati e di informazioni personali (delle risorse umane impiegate) e che pertanto devono essere trattati conformemente al GDPR (General Data Protection Regulation).

Dunque, ai fine dell’adeguamento al GDPR è necessario eseguire la “mappatura” puntuale dei dati personali che vengono trattati attraverso il software MES e il correlato database.

Ad oggi ancora troppe aziende ignorano il tema della sicurezza e della data protection quando implementano un sistema MES e le aziende che non ignorano questo fattore, comunque, faticano a capire cosa sia necessario fare per rendere conforme al GDPR un Manufacturing Execution System.

Le categorie dei dati da proteggere che sono trattate all’interno del sistema MES sono:

• dati identificativi del personale;
• dati tecnici relativi alla produzione;
• dati finanziari;
• dati commerciali;
• dati di log nei sistemi e nelle applicazioni.

Generalmente, per quanto riguarda le categorie di persone interessate al trattamento dei dati troviamo:

• clienti persone fisiche;
• fornitori persone fisiche;
• dipendenti.

Qualora il sistema MES fosse erogato tramite modalità IASS (Infrastructure as a service), tramite dunque un’offerta di cloud computing, in cui un vendor fornisce agli utenti l’accesso alle risorse di calcolo, ad esempio server, storage e connessione di rete è necessario considerare che il fornitore del servizio tratta i dati personali forniti, archiviati, trasmessi, o creati dal cliente, o dall’utente finale nel contesto della fruizione dei servizi derivanti da operazioni di assistenza, ove ciò sia strettamente necessario ai fini della prestazione dei servizi richiesti dal cliente e che vengono identificati nelle condizioni generali di licenza del prodotto in oggetto.

Conclusioni

L’intera rete aziendale deve essere messa in sicurezza per salvaguardare i 3 principi cardine del GDPR di “riservatezza”, “integrità” e “disponibilità”. Le aziende che si sono dotate di sistemi software MES devono iniziare il lavoro di compliance al Regolamento proprio affrontando questo capitolo perché è qui che vengono “trattati” dati “strategici” non solo per il business aziendale ma anche i dati “personali” da proteggere da possibili violazioni (data breach).

Occorre pertanto eseguire una “mappatura” puntuale dei dati trattati all’interno del sistema software MES.

Un sistema MES GDPR compliant tutela primariamente la protezione delle informazioni personali trasmesse: sono molte di più di quelle che si pensa, a partire dal nome e cognome delle persone che hanno accesso al sistema e ai relativi privilegi di accesso che devono essere protetti da password “robuste” oltre ai dati personali delle persone preposte le cui attività vengono schedulate ed interfacciate con il registro delle timbrature (registro delle presenze con gli orari di entrata e di uscita).

È importante localizzare la posizione dei server del “cloud” che l’azienda utilizza. Infatti, rintracciare con certezza la posizione dei dati è uno dei punti fondamentali e richiesti esplicitamente dal GDPR.

I fornitori di cloud che aderiscono al Codice del CISPE (Cloud Infrastructure Services Provider in Europe) devono dare ai clienti la possibilità di memorizzare ed elaborare i loro dati interamente all’interno dello Spazio Economico Europeo e si impegnano a non accedere o utilizzare i dati dei clienti per i propri scopi, tra cui, in particolare, ai fini di data mining, profilazione o di direct marketing.

Effettuare un’adeguata analisi dell’attuale infrastruttura utilizzata individuando eventuali rischi e punti deboli delle risorse informatiche è fondamentale.

La rete aziendale deve essere protetta da accessi non autorizzati attraverso strumenti specifici, software e hardware, e basandosi sul loro corretto funzionamento/configurazione.

Fra questi possiamo trovare firewall, Intrusion Detection System, Intrusion Prevention System e Mail/Web Filter.

Anche segmenti e settori delle stesse reti, inoltre, possono ad esempio bloccare attacchi che da internet arrivano alla rete, isolando i dispositivi infetti.

Abbiamo visto che ai sistemi MES possono essere connessi tablet, smartphone ed in generale dispositivi wireless, è importante perciò, proteggere le reti wireless, la cui cattiva configurazione apre importanti rischi di sicurezza a causa della possibilità di intrusione anche all’esterno dell’azienda.

Come mettere in sicurezza un Manufacturing Execution System

Una buona politica di sicurezza dovrebbe, pertanto, basarsi su queste semplici regole:

• Usare sempre password forti, cioè che includano numeri, lettere e caratteri speciali.
• Non condividere né permettere la visualizzazione delle password.
• Aprire solo allegati di posta elettronica provenienti da fonti affidabili.
• Incoraggiare il personale a utilizzare il web in modo responsabile.
• Controllare attentamente l’ingresso di estranei in ufficio.
• Monitorare l’accesso alla rete: pen-drive o dispositivi plug-in potrebbero essere utilizzati per rubare dati e informazioni aziendali.

Infine, per dimostrare il principio di “accountability” raccomandato dal GDPR, l’azienda può dotarsi di un sistema di gestione per la sicurezza delle informazioni secondo la norma ISO/IEC 27001 integrandolo con un sistema di gestione privacy e di un piano per la gestione della Business Continuity secondo la norma UNI/EN/ISO 22301, quest’ultimo è il documento che contiene la strategia operativa da adottare per ripristinare la continuità aziendale a fronte di interruzioni ed eventi particolari anche non riguardanti i temi della sicurezza o dell’infrastruttura IT.

In breve, il Business Continuity Plan permette all’azienda di gestire gli eventi critici che ne minacciano la sopravvivenza con il ripristino delle attività nel minor tempo possibile.

L’attuazione della normativa permette di analizzare e mappare i vari ambiti di trattamento dei dati, predisporre la modulistica adeguata e dotarsi di misure tecniche ed organizzative che possano facilitare la gestione dei processi in base a quanto previsto dalla normativa.

Fonte: Claudio Solera e Paolo Rabaioli per cybersecurity360.it