Tempo di lettura: 6 minuti Difficoltà: Advanced
16 Maggio 2019
16 Maggio 2019
Tempo di lettura: 6 minuti Difficoltà: Advanced

Anche se molte aziende sono ancora scettiche nei confronti della prevenzione del rischio informatico, possiamo dire che le best practices IEC 62443 sono a prova di hacker.

A cosa ambisce lo standard IEC per la sicurezza informatica

L’IEC 62443 è lo standard internazionale per la sicurezza dei sistemi di controllo industriale. Questo standard è quindi l’unica vera soluzione di Cyber Security orientata al mondo dell’automazione di fabbrica.

La norma nasce quasi venti anni fa ad opera di un gruppo di volontari dell’industria facenti parte del comitato SP99, istituito da ISA, International Society Automation & Control. È stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale; da qui la denominazione originale ISA 99/IEC 62443.

 

L’applicazione di questo standard è oggi facoltativa per il fabbricante (anche se l’obbligatorietà dei requisiti di Cyber Security è prevista nella versione presto in vigore del Nuovo Regolamento Macchine); tuttavia l’adozione delle best practices della norma IEC 62443 rende i sistemi di controllo industriale immuni dalle minacce cyber, quali guasto degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto.

Lo standard internazionale nasce quindi per proteggere l’Industria 4.0, rendendo sicura ed affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.

 

Il ciclo di vita della sicurezza all’interno della best practices IEC 62443

Per approfondire lo standard IEC 62443, chiariamone la terminologia:

IACS: letteralmente Industrial Automation Control System. Uno IACS è un sistema di controllo di automazione industriale, anche chiamato ICS, Industrial Control System. In un significato più ampio IACS è sinonimo di OT (Operational Technology), in quanto tecnologia che si interfaccia con un processo operativo. In questo senso, il termine è utilizzato per distinguere uno IACS dai device IT, volti alla sola ricezione e trasmissione di informazioni. Esempi di IACS sono quindi i dispositivi industriali come PLC, HMI e SCADA.

IACS Security Lifecycle: è il ciclo di vita della sicurezza, ossia l’insieme delle fasi che è necessario percorrere affinché la protezione degli IACS sia conforme con quanto stabilito dallo standard IEC. Le fasi del ciclo di vita della sicurezza di uno IACS sono Assess, fase di analisi, Implement, fase di implementazione, ed infine, Maintain, fase di mantenimento.

CSMS: è il Cyber Security Management System, ossia il Sistema di Gestione della Sicurezza Informatica che rappresenta l’insieme delle pratiche e delle azioni mirate a identificare i rischi informatici e definire la strategia di contrasto.

 

Lo standard internazionale IEC 62443 copre tutte le fasi del ciclo di vita previsto dagli IACS, partendo dalla fase di analisi e indagine delle vulnerabilità, fino al mantenimento nel tempo delle prestazioni di sicurezza contro le minacce cyber.

La fase di analisi (Assess) si compone di attività legate all’individuazione dei rischi ad alto livello, analisi delle vulnerabilità e dei rischi a basso livello, per finire con l’allocazione dei requisiti minimi di sicurezza informatica stabiliti per ciascun componente del sistema IACS.

Assess

1. Risk Assessment

2. Vulnerability Assessment

3. Penetration Test

4. Threat Modeling

5. Security Level Allocation

 

È durante la fase di implementazione (Implement) che l’azienda che desidera proteggersi dagli attacchi cyber, deve strutturare l’intero CSMS, Sistema di Gestione della Sicurezza Informatica, adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di conseguenza, i propri sistemi industriali.

 

Implement

1. Defence Strategy

2. CSMS

3. Security Level verification

La Cyber Security OT è un processo che necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento (Maintain) del livello di sicurezza degli impianti industriali. Solo così il flusso di dati condivisibili verso l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze disastrose per le aziende.

 

Maintain

1. Auditing

2. Follow up

 

Perché applicare lo standard IEC 62443

L’applicazione di uno standard internazionale è una garanzia per la sicurezza dei dati OT condivisibili con l’IT e per l’intero comparto produttivo. Con l’applicazione di questo standard è possibile evitare ogni possibile contaminazione con dati “infetti”.

 

Dicono di noi

 

“It is with great pleasure that I have the opportunity to recommend H-ON Consulting for the implementation of Cyber Security for Industrial Automation and Control System (IACS). Their expertise was valuable and I would highly recommend them…”  Sirio Sistemi Elettronici – Scarica il file

 

Hai bisogno di supporto per analizzare la Cyber Security della vostra infrastruttura OT?

Torna all'elenco degli articoli
Send this to a friend