Il tema della Digital Transformation pone la nostra attenzione sulla Russia, dove gli adempimenti cogenti e l’iter per l’ottenimento dell’approvazione FSTEC, Federal Service for Technical and Export Control, impattano sui fornitori di sistemi OT.
Cyber Security OT in Russia
La Cyber Security industriale in Russia sta attraversando una fase più matura rispetto ad altri Paesi. Un grosso impulso si è avuto qualche anno fa a seguito dell’attacco causato dai virus Petya e WannaCry, che hanno evidenziato l’esistenza di alcuni punti deboli nei sistemi di sicurezza commerciali russi, così come nei sistemi di sicurezza governativi. A seguito di questo campanello di allarme, la legislazione russa è intervenuta in maniera restrittiva per evitare il danneggiamento dell’economia russa e per riparare il crollo di realtà industriali messe in ginocchio dagli attacchi cyber.
Tuttavia, l’applicazione dei requisiti cogenti ha messo in rilievo problematiche di tipo tecnico ed organizzativo per i costruttori stranieri di dispositivi OT, quali SCADA e PLC, hardware e software indirizzati al mercato russo; problematiche legate all’inderogabile approvazione FSTEC.
La Legge Federale Russa FZ-187 e la classificazione CIF
Tutto inizia con la Legge Federale Russa 187 (FZ-187) sulla protezione delle informazioni delle infrastrutture critiche (CIF). Fanno capo al CIF: enti statali, agenzie governative, entità giuridiche russe e (o) imprenditori individuali che possiedono sistemi di informazione, reti di informazione e telecomunicazione, sistemi di gestione automatizzati che operano nei più svariati campi, come trasporti, energia, metallurgia e chimica.
Nella Federazione Russa, l’Ente autorizzato per l’esecuzione di FZ-187 è l’agenzia federale FSTEC, ossia un servizio statale per il controllo tecnico e delle esportazioni.
I requisiti per l’utilizzo di componenti e infrastrutture critiche dal punto di vista della Cyber Security sono stabiliti in base al grado di pericolo che si riversa sulla salute umana e sull’ambiente, ed in relazione all’importanza politica ed economica.
Nella seguente tabella, sono presentati due esempi di categorizzazioni delle infrastrutture critiche (CIF), in funzione di specifici settori:
| Significato | III Categoria | II Categoria | I Categoria |
|---|---|---|---|
| Sociale (numero di decessi) | 1-50 | 51-500 | >500 |
| Economico (riduzione % del reddito) | 5-10 | 11-15 | >15 |
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Le misure di protezione in conformità con FSTEC
Esistono alcuni requisiti che fabbricanti e system integrator devono prendere in considerazione per analizzare quali sono i componenti critici all’interno dei loro sistemi e adeguarli alle regole russe.
L’elenco delle misure di sicurezza organizzative e tecniche per le strutture CIF significative, è contenuto nell’ordine n. 239 del 25 dicembre 2017, con riferimento all’approvazione dei requisiti per garantire la sicurezza delle strutture significative del CIF RF.
I requisiti sono severi e la protezione delle strutture significative del CIF deve rispecchiare tali requisiti, fatta eccezione per gli oggetti non significativi, per i quali tali misure non sono necessarie.
Sono esempi di misure organizzative e tecniche:
- Access Control (DAD)
- Protezione dei supporti di memorizzazione del computer (ZNI)
- Intrusion Prevention (Computer Attack) (OWL)
- Garanzia di integrità (OTsL)
- Protezione di mezzi e sistemi tecnici (ZTS)
Quello che differenza lo standard russo dalle disposizioni vigenti in altri Paesi è il fatto che ogni singolo componente di un sistema di controllo, hardware o software, destinato al mercato russo deve essere certificato per la conformità ai requisiti di sicurezza o, in alternativa, deve superare una valutazione di conformità sotto forma di test o accettazione ai sensi della Legge Federale n. 184 del 27 dicembre 2002 sulla regolamentazione tecnica.
La valutazione tecnica include sia la certificazione per la conformità con i requisiti delle normative EAEU, sia l’eventuale certificazione nazionale, come specificato nel Registro di Sicurezza delle Informazioni.
Il Registro FSTEC e il processo di approvazione
In generale, tutti i sistemi hardware e software che proteggono le informazioni e che vengono utilizzati in infrastrutture critiche, devono essere inseriti nel Registro di Sicurezza delle Informazioni.
Il processo di certificazione nel sistema russo è condotto da organismi di certificazione e laboratori accreditati di proprietà statale. L’elenco completo degli organismi di certificazione e dei laboratori accreditati è disponibile sul sito ufficiale.
Il processo di approvazione si articola come segue:
1. Presentare la domanda di approvazione
2. Selezionare le apparecchiature OT/software per la sicurezza delle informazioni da certificare
3. Condurre test per certificare gli strumenti di Cyber Security
4. Elaborare una perizia sui risultati dei test effettuati sugli strumenti di sicurezza delle informazioni
5. Elaborare un progetto di certificato di conformità, preparandone almeno un duplicato
6. Etichettare gli strumenti di sicurezza delle informazioni
7. Apportare eventuali modifiche agli item critici perché vengano approvati dai laboratori russi
Con alcune restrizioni:
- Il codice del programma deve essere completamente divulgato e trasmesso ai laboratori russi.
- La domanda di approvazione deve essere validata dal proprietario del dispositivo/software, mentre il costruttore deve ottenere il permesso per richiedere l’approvazione.
- Tutti i test di laboratorio devono essere effettuati all’interno del territorio della Federazione Russa, non essendo permesso condurre tali test in altri Paesi.
Lo scopo è stimolare il mercato interno degli strumenti OT. La certificazione di apparecchiature straniere risulta per questo difficoltosa.
Soluzioni per i fornitori stranieri
I fornitori di tecnologie OT sono di fatto indotti a scegliere componenti già certificati secondo gli standard di sicurezza informatica russi. In caso contrario, il processo di certificazione completo – per ogni componente – deve necessariamente partire da zero. È possibile controllare la lista dei componenti già certificati nel Registro a questo link.
Lo scoglio principale da superare è legato alla divulgazione della codifica del software ai laboratori russi. La strategia più conveniente risulta quindi essere l’acquisto di apparecchiature già certificate, previa consultazione del Registro di Sicurezza delle Informazioni.
Nel caso pratico di una particolare specifica di acquisto, sarà necessario valutare il caso specifico.
Maggiori informazioni:
Domande? Commenti?
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Torna all'elenco degli articoli
