Lo Standard IEC 62443 come riferimento internazionale per la Industrial Cyber Security

Tempo di Lettura: 6 minuti - Livello di Difficoltà: medio

Solo partendo dall’analisi dell’effettivo rischio informatico per il mondo OT, Operational Technology, è possibile investigare quali specifiche contromisure adottare per proteggere i sistemi di controllo, fra cui PLC, SCADA e HMI. Anche se molte aziende sono ancora scettiche nei confronti della prevenzione del rischio informatico, possiamo dire che lo standard internazionale IEC 62443 è a prova di hacker.

A cosa ambisce lo standard IEC per la sicurezza informatica

L’IEC 62443 è lo standard internazionale per la protezione dei sistemi di controllo industriale. Questo standard è quindi l’unica vera soluzione di Cyber Security orientata al mondo dell’automazione di fabbrica.

La norma nasce quasi venti anni fa ad opera di un gruppo di volontari dell’industria facenti parte del comitato SP99, istituito da ISA, International Society Automation & Control. È stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale; da qui la denominazione originale ISA 99/IEC 62443.

L’applicazione di questo standard, benché non sia obbligatoria per le aziende, rende immuni dalle minacce cyber i sistemi di controllo industriale. Nello scenario attuale in cui il numero di pericoli per questo tipo di tecnologie è in continua crescita, l’applicazione dello standard IEC tiene lontane le aziende dai potenziali danni che un attacco informatico può causare, fra cui: guasto degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto.

Lo standard internazionale nasce quindi per proteggere l’Industria 4.0, rendendo sicura ed affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.

Il Cyber Security Lifecycle secondo i requisiti IEC

Prima di approfondire quali passaggi dello standard di Industrial Cyber Security sono i più rilevanti per l’Industria 4.0, è necessario chiarire alcuni termini fondamentali per muoverci al meglio all’interno di questo mondo.

IACS: letteralmente Industrial Automation Control System. Uno IACS è un sistema di controllo di automazione industriale, anche chiamato ICS, Industrial Control System. In un significato più ampio IACS è sinonimo di OT (Operations Technology), in quanto tecnologia che si interfaccia con un processo operativo. In questo senso, il termine è utilizzato per distinguere uno IACS dai device IT, volti alla sola ricezione e trasmissione di informazioni. Esempi di IACS sono quindi i dispositivi industriali come PLC, HMI e SCADA.

IACS Security Lifecycle: è il ciclo di vita della sicurezza, ossia l’insieme delle fasi che è necessario percorrere affinché la protezione degli IACS sia conforme con quanto stabilito dallo standard IEC. Le fasi del ciclo di vita della sicurezza di uno IACS sono Assess, fase di analisi, Implement, fase di implementazione, ed infine, Maintain, fase di mantenimento.

CSMS: è il Cyber Security Management System, ossia il Sistema di Gestione della Sicurezza Informatica che rappresenta l’insieme delle pratiche e delle azioni mirate a identificare i rischi informatici e definire la strategia di contrasto.

IACS Security Lifecycle

H-ON Consulting: Ciclo di Vita della sicurezza IACS

Lo standard internazionale IEC copre tutte le fasi del ciclo di vita previsto dagli IACS, sistemi di controllo di automazione industriale, partendo dalla fase di analisi e indagine delle vulnerabilità, fino al mantenimento nel tempo delle prestazioni di sicurezza contro le minacce cyber.

La fase di analisi (Assess) si compone di attività legate all’individuazione dei rischi ad alto livello, analisi delle vulnerabilità e dei rischi a basso livello, per finire con l’allocazione dei requisiti minimi di sicurezza informatica stabiliti per ciascun componente del sistema IACS.

Hai trovato utili queste informazioni? Contattaci per conoscere come implementare IEC 62443 per la sicurezza informatica della tua azienda, oppure continua a leggere per saperne di più!

Assess

1. Risk Assessment

2. Vulnerability Assessment

3. Penetration Test

4. Threat Modeling

5. Security Level Allocation

È durante la fase di implementazione (Implement) che l’azienda che desidera proteggersi dagli attacchi cyber, deve strutturare l’intero CSMS, Sistema di Gestione della Sicurezza Informatica, adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di conseguenza, i propri sistemi industriali.

Implement

1. Defence Strategy

2. CSMS

3. Security Level verification

La Industrial Cyber Security è tuttavia un processo che necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento (Maintain) del livello di sicurezza degli impianti industriali. Solo così il flusso di dati condivisibili verso l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze disastrose per le aziende.

Maintain

1. Auditing

2. Follow up

 

Perché le aziende dovrebbero conoscere la IEC 62443

L’applicazione di questo standard internazionale è una garanzia per la sicurezza dei dati OT condivisibili con l’IT e per l’intero comparto produttivo. Con l’applicazione di questo standard è possibile evitare ogni possibile contaminazione con dati “infetti”.
Purtroppo, in ottica futura la sicurezza degli impianti industriali potrebbe essere solo un miraggio senza l’adeguata protezione dagli attacchi informatici al mondo dell’automazione. Per questo dobbiamo essere pronti.

Abbiamo dedicato una squadra interna di tecnici certificati secondo le norme di riferimento ISA99/IEC62443 Cybersecurity Fundamentals Specialist ed ISA99/IEC62443 Cybersecurity Risk Assessment Specialist, per aiutare le aziende ad adottare misure di sicurezza informatica realmente concrete, durature nel tempo e conformi con i requisiti stabiliti dalla IEC 62443 per ogni singola fase del IACS Security Lifecycle.

 

Dicono di noi

 

“It is with great pleasure that I have the opportunity to recommend H-ON Consulting for the implementation of Cyber Security for Industrial Automation and Control System (IACS). Their expertise was valuable and I would highly recommend them…”  Sirio Sistemi Elettronici – Scarica il file

Prenota una consulenza preliminare per la sicurezza informatica dei sistemi di automazione della tua azienda con un nostro specialista IEC 62443, contattaci!

Torna all'elenco degli articoli
back top

Send this to a friend