Cosa stabilisce la Legge FSTEC russa per la Industrial Cyber Security

Tempo di Lettura: 8 minuti - Livello di Difficoltà: avanzato

Il tema della Digital Transformation pone la nostra attenzione ancora una volta sulle problematiche legate alla sicurezza informatica industriale. Nello specifico, pone la nostra attenzione sulla Russia, Paese in cui gli adempimenti cogenti e l’iter per l’ottenimento dell’approvazione FSTEC (Federal Service for Technical and Export Control) hanno un forte impatto sui fornitori di sistemi OT. In questo articolo, una breve guida dedicata ai costruttori stranieri per muoversi all’interno del contesto russo.

La Cyber Security industriale in Russia sta attraversando una fase più matura rispetto ad altri Paesi. Un grosso impulso si è avuto qualche anno fa a seguito dell’attacco causato dai virus Petya e WannaCry, che hanno evidenziato l’esistenza di alcuni punti deboli nei sistemi di sicurezza commerciali russi, così come nei sistemi di sicurezza governativi. A seguito di questo campanello di allarme, la Legislazione sulla Sicurezza Informatica russa è intervenuta in maniera mirata e restrittiva per evitare il danneggiamento dell’economia russa e per riparare il crollo di realtà industriali messe in ginocchio dagli attacchi cyber.
Tuttavia, l’applicazione di requisiti cogenti per Legge e di misure restrittive ha messo in rilievo problematiche di tipo tecnico ed organizzativo per i costruttori stranieri di dispositivi OT, come SCADA e PLC, hardware e software indirizzati al mercato russo; problematiche legate all’ottenimento dell’approvazione FSTEC, requisito inderogabile che attesta la conformità di componenti e sistemi agli standard di Industrial Cyber Security.

La Legge Federale Russa FZ-187 e la classificazione CIF

Tutto inizia con la Legge Federale Russa 187 (FZ-187) sulla protezione delle informazioni delle infrastrutture critiche (CIF). Fanno capo al CIF: enti statali, agenzie governative, entità giuridiche russe e (o) imprenditori individuali che possiedono sistemi di informazione, reti di informazione e telecomunicazione, sistemi di gestione automatizzati che operano nei più svariati campi, come trasporti, energia, metallurgia e chimica.

Nella Federazione Russa, l’Ente autorizzato per l’esecuzione di FZ-187 è l’agenzia federale FSTEC, ossia un servizio statale per il controllo tecnico e delle esportazioni.

I requisiti per l’utilizzo di componenti e infrastrutture critiche dal punto di vista della Cyber Security sono stabiliti in base al grado di pericolo che si riversa sulla salute umana e sull’ambiente, ed in relazione all’importanza politica ed economica.

Secondo il Decreto del Governo della Federazione Russa n. 127, la classificazione del grado di criticità di componenti ed infrastrutture prevede tre livelli di valutazione. La prima categoria rappresenta il massimo livello di importanza e pericolosità. Di conseguenza gli oggetti che rientrano nella prima categoria richiedono gli interventi più robusti. Alla terza categoria appartengono invece componenti o sistemi con requisiti minimi di sicurezza.

Si precisa che tale categorizzazione è riservata ai costruttori o ai main contractor che realizzano infrastrutture complete destinate a end-user russi. Tuttavia, qualsiasi fornitore coinvolto nella Supply Chain dovrà conformarsi ai requisiti applicabili in funzione delle specifiche tecniche di progetto.

Nella seguente tabella, sono presentati due esempi di categorizzazioni delle infrastrutture critiche (CIF), in funzione di specifici settori:

Significato III Categoria II Categoria I Categoria
Sociale (numero di decessi) 1-50 51-500 >500
Economico (riduzione % del reddito) 5-10 11-15 >15

Altre tipologie di danni impattanti sulla categorizzazione sono, ad esempio, l’indisponibilità dei servizi di trasporto o delle comunicazioni, la mancanza di accesso ai servizi pubblici e la violazione dei sistemi di difesa.

La categoria del CIF è assegnata e registrata dagli organi federali russi dopo la presentazione del modulo di domanda da parte del proprietario della struttura. Ne conseguirà il mantenimento nel tempo del Cyber Security Lifecycle, in conformità con le disposizioni di Industrial Cyber Security russe.

Le misure di protezione conformi agli standard di Cyber Security russi

Esistono alcuni requisiti che i costruttori di sistemi di controllo industriale devono prendere in considerazione per analizzare quali sono i componenti critici all’interno dei loro sistemi e adeguarli alle regole russe.

L’elenco delle misure di sicurezza organizzative e tecniche per le strutture CIF significative, è contenuto nell’ordine n. 239 del 25 dicembre 2017, con riferimento all’approvazione dei requisiti per garantire la sicurezza delle strutture significative del CIF RF.

I requisiti sono severi e la protezione delle strutture significative del CIF deve rispecchiare tali requisiti, fatta eccezione per gli oggetti non significativi, per i quali tali misure non sono necessarie.

Fra le misure organizzative e tecniche per la protezione di strutture significative del CIF ritroviamo alcune tipiche misure di protezione per i sistemi di controllo industriale, fra cui:

  • Access Control (DAD)
  • Protezione dei supporti di memorizzazione del computer (ZNI)
  • Intrusion Prevention (Computer Attack) (OWL)
  • Garanzia di integrità (OTsL)
  • Protezione di mezzi e sistemi tecnici (ZTS)

Quello che differenza lo standard russo dalle disposizioni vigenti in altri Paesi è il fatto che ogni singolo componente di un sistema di controllo, hardware o software, destinato al mercato russo deve essere certificato per la conformità ai requisiti di sicurezza o, in alternativa, deve superare una valutazione di conformità sotto forma di test o accettazione ai sensi della Legge Federale n. 184 del 27 dicembre 2002 sulla regolamentazione tecnica.

La valutazione tecnica include sia la certificazione per la conformità con i requisiti delle normative EAEU, sia l’eventuale certificazione nazionale, come specificato nel Registro di Sicurezza delle Informazioni.

Il contenuto del Registro di Sicurezza delle Informazioni è descritto nel successivo paragrafo.

Il Registro di Sicurezza delle Informazioni e il processo di approvazione FSTEC

Le norme sulla certificazione degli strumenti di sicurezza delle informazioni sono disponibili a questo link, relativamente all’ordine 55.

In generale, tutti i sistemi hardware e software che proteggono le informazioni e che vengono utilizzati in infrastrutture critiche, devono essere registrati nel sistema.
La registrazione degli strumenti di sicurezza delle informazioni viene effettuata per soddisfare i requisiti russi di Sicurezza delle Informazioni stabiliti da FSTEC.

Come menzionato, tali requisiti sono stabiliti dagli atti normativi russi, unitamente alle condizioni, alle specifiche tecniche, alla categoria CIF assegnata e ai compiti di sicurezza concordati fra i richiedenti e gli organi federali.
Il processo di certificazione nel sistema russo è condotto da organismi di certificazione e laboratori accreditati di proprietà statale. L’elenco completo degli organismi di certificazione e dei laboratori accreditati è disponibile sul sito ufficiale.

Il processo di approvazione si articola nei seguenti step:
1. Presentare la domanda di approvazione
2. Selezionare le apparecchiature OT/software per la sicurezza delle informazioni da certificare
3. Condurre test per certificare gli strumenti di Cyber Security
4. Elaborare una perizia sui risultati dei test effettuati sugli strumenti di sicurezza delle informazioni
5. Elaborare un progetto di certificato di conformità, preparandone almeno un duplicato
6. Etichettare gli strumenti di sicurezza delle informazioni
7. Apportare eventuali modifiche agli item critici perché vengano approvati dai laboratori russi

In un secondo momento, i certificati di conformità dovranno essere rinnovati o estesi per protrarne la validità.

Come accennato, diversamente dai classici processi di certificazione, troviamo maggiori restrizioni. Per esempio:

  • Il codice del programma deve essere completamente divulgato e trasmesso ai laboratori russi.
  • La domanda di approvazione deve essere validata dal proprietario del dispositivo/software, mentre il costruttore deve ottenere il permesso per richiedere l’approvazione.
  • Tutti i test di laboratorio devono essere effettuati all’interno del territorio della Federazione Russa, non essendo permesso condurre tali test in altri Paesi.

Tali misure restrittive, introdotte nel 2018, hanno lo scopo di stimolare il mercato interno degli strumenti OT. La certificazione di apparecchiature straniere risulta per questo difficoltosa. Allo stato attuale non tutte le società straniere sono infatti in grado di inviare il loro codice sorgente software ai laboratori russi per permetterne la registrazione.
Per questo, il costruttore di software o hardware OT, che voglia instaurare rapporti con utilizzatori russi deve seguire alcuni accorgimenti, come vedremo nel prossimo paragrafo.

Come distribuire apparecchiature OT sicure in Russia

A causa dell’articolato processo di certificazione descritto nel paragrafo precedente, ed in particolare nei confronti delle apparecchiature di sicurezza straniere, i fornitori di tecnologie OT sono indotti a scegliere componenti già certificati secondo gli standard di sicurezza informatica russi. In caso contrario, il processo di certificazione completo – per ogni componente – deve necessariamente partire da zero. È possibile controllare la lista dei componenti già certificati nel Registro a questo link.

Per i potenziali fornitori stranieri, è quindi consigliabile ottenere informazioni dal proprietario della struttura, in particolare per accertarsi che sia presente nella lista FSTEC, ed in quale categoria CIF si trova la struttura.
In caso positivo, la soluzione più conveniente per i costruttori stranieri è fornire strumenti già certificati, inclusa la parte software. In caso contrario, il fornitore è tenuto a certificare gli strumenti da zero, includendo la divulgazione della codifica del software agli organismi e ai laboratori di certificazione statali russi.

In conclusione, per ovviare ai problemi di integrazione degli strumenti all’interno di un sistema progettato per il mercato russo, lo scoglio principale da superare è legato alla divulgazione della codifica del software ai laboratori russi. La strategia più conveniente risulta quindi essere l’acquisto di apparecchiature già certificate, previa consultazione del Registro di Sicurezza delle Informazioni.
Nel caso pratico di una fornitura industriale per esempio dall’Europa alla Federazione Russa, come una macchina o la parte di un sistema industriale da integrare all’interno di un CIF, il fornitore dovrà inserire nel proprio contratto chiari riferimenti alla Legge Federale FSTEC e ai requisiti di sicurezza informatica ed attenersi a tali normative. Tali requisiti dettagliati dovranno essere descritti nelle specifiche di acquisto, in riferimento agli standard di sicurezza da implementare durante le fasi di progettazione, approvvigionamento e produzione.

Hai trovato utili queste informazioni? Contattaci per richiedere una consulenza preliminare su come applicare la legge FSTEC ed essere conforme agli standard russi di Cyber Security.

Torna all'elenco degli articoli
back top

Send this to a friend