I sistemi di controllo industriale della tua azienda
sono sicuri e protetti dagli attacchi informatici?

Industrial
Cyber Security

Il nostro team per la Sicurezza Industriale Informatica sviluppa valutazioni per i sistemi di controllo industriale e test con risultati perseguibili.

Non si sa mai quanto un sistema di sicurezza sia efficace fino a che non lo si mette alla prova. L'automazione è in forte crescita e l'integrazione tra il "mondo IT" e il "mondo OT" aumenta ogni giorno con un'enorme quantità di dati che passa dall'OT (Operations Technology) all'IT (Information Technology) e viceversa.

Siamo sicuri che la sicurezza del prodotto non possa essere garantita in futuro senza una adeguata protezione dagli attacchi informatici industriali.
Ciò significa che PLC, HMI, SCADA e tutti i dispositivi industriali devono essere protetti dagli attacchi informatici.
Sviluppiamo ed applichiamo l’intero ciclo di vita di Industrial Cyber Security per la protezione dei Sistemi di Controllo di Automazione Industriale (IACS). La protezione delle infrastrutture critiche e delle risorse chiave è essenziale per la sicurezza e la produttività, ed è fondamentale per la protezione di ogni IACS.
Il nostro team interno è formato da personale certificato secondo le norme internazionali di riferimento:

  • ISA99/IEC62443 Cyber Security Fundamentals Specialist
  • ISA99/IEC62443 Cyber Security Risk Assessment Specialist

L'Approccio Sistematico

Offriamo una gamma modulare e completa di servizi nell'intero ciclo di vita della sicurezza IACS in conformità ai requisiti delle norme IEC 62443 al fine di implementare un Sistema di Gestione della Sicurezza Informatica, Cyber Security Management System (CSMS).

Un CSMS è suddiviso in tre fasi principali:

  • ASSESSMENT, fase di valutazione
  • IMPLEMENTATION, fase di implementazione
  • MAINTAINANCE, fase di mantenimento

Ciascuna fase è composta da azioni specifiche.

IACS Security Lifecycle
H-ON Consulting: Ciclo di Vita della sicurezza IACS
ASSESSMENT, FASE DI VALUTAZIONE > ANALISI DEI RISCHI

RISK ASSESSMENT

L’analisi dei rischi è il punto di partenza per stabilire la reale consistenza del rischio cyber associato ad un sistema o ad un impianto. Questo servizio può essere svolto con entrambi i livelli di dettaglio stabiliti dalla IEC 62443.
In particolare, conduciamo una analisi di alto livello per stabilire macroscopicamente le conseguenze di un attacco cyber al fine di dare delle priorità agli interventi e scomporre le future analisi, in base alle criticità di una specifica macchina, o parte del processo produttivo.
La seconda analisi di dettaglio viene condotta per approfondire quali minacce affliggono il sistema.
L'analisi dei rischi viene svolta in questa fase tenendo in considerazione un insieme di fattori, quali le vulnerabilità già note, la loro complessità, quali contromisure e procedure sono state adottate in precedenza e se vi siano pratiche operative già in essere per la corretta gestione del fattore umano, spesso principale veicolo di attacco cyber.
Sviluppiamo entrambi i livelli di dettaglio attraverso un’analisi customizzata per ciascun impianto o macchina costituente l’IACS da analizzare, al fine di documentare quali siano le reali minacce dello specifico sistema e definendo una matrice di priorità che supporti il cliente nell’implementazione delle necessarie contromisure in maniera sistematica e puntuale, con conseguente vantaggio anche in termini di spesa.

ASSESS, FASE DI VALUTAZIONE > ANALISI DELLE VULNERABILITÀ

VULNERABILITY ASSESSMENT

Prima di poter procedere con la definizione di qualunque contromisura è necessario analizzare nel dettaglio il sistema in oggetto.
L’analisi delle vulnerabilità ha come principale fine quello di stabilire l’estensione e la composizione del sistema nel dettaglio e, conseguentemente, tutte le vulnerabilità esistenti, inclusa la loro appetibilità in termini di potenziale attacco.
L’analisi delle vulnerabilità può comprendere, a seconda della composizione del IACS in analisi, oltre all’indagine del fattore umano, scansioni passive, attive e analisi di protocollo/pacchetto.
L’indagine delle vulnerabilità oltre a definire quale sia il potenziale veicolo di attacco sito nell’infrastruttura in analisi, consente anche di stabilire le priorità per l’intervento, in base alla loro effettiva fattibilità e tenendo conto delle conseguenze ad esse connesse in caso di attacco informatico.

ASSESS, FASE DI VALUTAZIONE > PENETRATION TEST

PENETRATION TESTS

I Penetration Test consentono di mettere realmente alla prova la resilienza di un dato IACS ad un potenziale attacco cyber, condotto sfruttando le vulnerabilità esistenti, siano esse note o meno. Conduciamo Penetration Test in tutte e tre le modalità white, grey and black box, utilizzando diverse metodologie e strumenti specifici per i sistemi di automazione industriale.
Nel caso in cui H-ON Consulting abbia condotto anche l’analisi delle vulnerabilità, la campagna di Penetration Test viene definita in un piano dettagliato tenendo conto della rilevanza e criticità di ciascuna vulnerabilità analizzata in precedenza, al fine di fornire una specifica puntuale delle reali minacce che affliggono il sistema.

ASSESS, FASE DI VALUTAZIONE > MODELLAZIONE DELLE MINACCE

THREAT MODELING

La modellazione delle minacce (Threat Modeling), condotta secondo schemi consolidati, serve ad analizzare la sicurezza di un firmware, un'applicazione o più in generale di un software applicativo.
È un approccio strutturato che consente di identificare, quantificare e affrontare i rischi per la sicurezza associati a un'applicazione.
La modellazione delle minacce integra il processo di revisione del codice di sicurezza.
La modellazione delle minacce ha come finalità quella di fornire le informazioni minime per la specifica delle contromisure e delle eventuali misure di mitigazione. Una mancanza di protezione contro una minaccia potrebbe indicare una vulnerabilità.
La conseguente esposizione al rischio potrebbe però essere mitigata con l'implementazione di una contromisura appropriata.
Forniamo il servizio di Threat Modelling per tutte le tipologie di software/firmware di componenti di sistemi di automazione, incluse le verifiche di software applicativo.

ASSESS, FASE DI VALUTAZIONE > ALLOCAZIONE DEL LIVELLO DI SICUREZZA (SL-T)

SECURITY LEVEL ALLOCATION (SL-T)

H-ON Consulting: Industrial Cyber Security - Security Level Verification

Uno dei risultati ottenibili dalle analisi di vulnerabilità e relativi Penetration Test, è la stesura dei requisiti minimi di Cyber Security. I requisiti sono le specifiche che una eventuale nuova installazione o modifica agli impianti esistenti deve rispettare per non alterare, o per garantire ex novo, il livello di sicurezza minimo atteso.
In linea con gli standard IEC 62443, forniamo il servizio di SL Allocation, con relativo supporto nella scrittura delle specifiche tecniche da introdursi poi nei capitolati, a garanzia che le forniture rispettino gli standard di sicurezza previsti.

IMPLEMENT, FASE DI IMPLEMENTAZIONE > STRATEGIA DI DIFESA

DEFENCE STRATEGY

Supportiamo i nostri clienti e gli integratori di sistema al fine di stabilire, a partire dai risultati della fase di Assess, quali contromisure attuare in maniera stratificata, puntuale e specifica per ciascuna delle vulnerabilità rilevate.
La strategia difensiva viene stabilita tenendo conto delle principali caratteristiche del sistema IACS in analisi.
Col nostro supporto è possibile definire una serie di soluzioni specifiche e potenzialmente attuabili per proteggere il sistema, sia nel caso di sistemi appena realizzati che per interventi su impianti con una considerevole anzianità.
Supportiamo i nostri clienti con la scrittura di specifiche tecniche contenenti i requisiti minimi di Cyber Security.

IMPLEMENT, FASE DI IMPLEMENTAZIONE > SISTEMA DI GESTIONE DELLA SICUREZZA INFORMATICA

CYBER SECURITY MANAGEMENT SYSTEM

In linea con i requisiti della IEC 62443, lavoriamo a fianco dei nostri clienti durante l’implementazione del Cyber Security Management System (CSMS), definendo policy e procedure per la gestione e per la conduzione degli impianti dal punto di vista della protezione contro gli attacchi cyber.
Il nostro supporto include anche tutti i documenti di training e formazione del personale per la gestione corretta di macchine ed impianti, al fine di ridurre al minimo la probabilità per gli impianti di essere colpiti da attacchi cyber causati dal fattore umano.
Realizziamo anche procedure di incident recovery per prevenire il rischio di minaccia cyber a infrastrutture potenzialmente attaccabili.

IMPLEMENT, FASE DI IMPLEMENTAZIONE > VERIFICA DEL LIVELLO DI SICUREZZA (SL-C AND SL-R)

SECURITY LEVEL VERIFICATION (SL-C AND SL-R)

H-ON Consulting: Industrial Cyber Security - Security Level Verification

Quando un sistema è realizzato in conformità ai requisiti di Cyber Security deve rispondere ad uno dei quattro livelli di sicurezza (SL) stabili dalla norma IEC 62443.
La consulenza mirata prevede in questa fase la verifica di conformità del sistema col SL previsto.
Ripercorriamo tutte le fasi di sviluppo attraverso prove sull’oggetto, al fine di verificare che i requisiti minimi stabiliti dalle norme IEC 63443 siano rispettati.

MAINTAIN, FASE DI MANTENIMENTO > CONTROLLO

AUDITING

La Cyber Security si basa su tecniche di protezione specifiche per le specifiche minacce e vulnerabilità in continua evoluzione ed estensione.
Questo comporta che un sistema reso sicuro oggi, domani potrebbe già non esserlo più, in virtù delle nuove minacce e vulnerabilità che potrebbero affliggerlo.
Al fine di supportare i nostri clienti nel mantenimento nel tempo del livello di sicurezza, conduciamo un auditing periodico e mirato a valutare per ciascun specifico IACS, l’effettivo rispetto delle procedure di Cyber Security stabilite dal CSMS, e se vi sono nuove vulnerabilità o minacce in grado di compromettere il sistema.

MAINTAIN, FASE DI MANTENIMENTO > CONTROLLI SUCCESSIVI

FOLLOW-UP

H-ON Consulting: Industrial Cyber Security - Follow-Up

I risultati delle attività di auditing sono tracciati e gestiti in modo da attivare tutte le necessarie attività per ripristinare in conseguenza a modifiche, tutti i livelli e le caratteristiche difensive del sistema, con l’obiettivo di rispettare il livello complessivo di sicurezza stabilito.
Il Follow-up è un piano volto a stabilire quali attività dell’intero ciclo di vita di sicurezza devono essere ripetute anche parzialmente, al fine di ripristinare il livello di Cyber Security originario fino alla successiva verifica.