IEC 62443 per i Siti Produttivi
Richiedi un'analisi della Cyber Security degli impianti ottimizzando tempo e risultati
La norma IEC 62443 suggerisce che alla base della sicurezza di un impianto vi sono l’analisi dell’organizzazione e delle vulnerabilità.
I responsabili della Cyber Security delle grandi aziende manifatturiere devono poter agire avendo sempre un quadro aggiornato del livello di sicurezza dell’impianto.
Il nostro servizio di OT Smart Security Assessment prevede due diverse modalità di consulenza:
- Assessment Completo. La valutazione completa della sicurezza dell’impianto è il servizio di 2 specialisti in azione nel vostro stabilimento per 3 giornate. Questa opzione prevede l’analisi delle vulnerabilità di impianto basate su scansioni attive e/o passive, analisi di vulnerabilità legate al social engineering, l’analisi dei rischi di alto livello, l’analisi su governance e organizzazione ed una valutazione dello stato di salute del network in termini qualitativi e quantitativi.
- Assessment di Base. La valutazione di base della sicurezza dell’impianto prevede la presenza di un nostro tecnico in stabilimento per 3 giornate. Questa opzione copre solo la valutazione delle vulnerabilità di impianto basandosi su scansione attive e/o passive, l’analisii su eventuali problemi di sicurezza ed una valutazione dello stato di salute del network in termini qualitativi e quantitativi.
L’Assessment di Base è un valido strumento di analisi iniziale, dopo il quale è comunque consigliabile pianificare successive analisi.
Contattaci per realizzare i vostri progetti di Cyber Security OT con l’aiuto della consulenza.
Traguarda il Cybersecurity Risk Assessment IEC 62443
La norma IEC 62443 suggerisce che il metodo per l’analisi del rischio informatico si compone di due fasi: una prima analisi di alto livello, e una successiva analisi dettagliata degli asset più critici.
La protezione delle infrastrutture critiche e delle risorse chiave è essenziale per la sicurezza e la produttività, per questo il servizio di OT Security Assessment si sviluppa dai pilastri della norma IEC 62443, da cui apprendere il metodo sistematico per la gestione del rischio cyber sugli impianti industriali.
Il servizio di OT Security Assessment che vi proponiamo prevede un percorso di analisi modulare che si sviluppa in due fasi:
- High Level Risk Assessment. Sviluppo della valutazione del rischio di alto livello IEC 62443 secondo il processo descritto nello standard IEC 62443-3-2, inclusa la logica aziendale.
- Low Level Risk Assessment. Sviluppo dettagliato della valutazione del rischio secondo il processo descritto nella norma IEC 62443-3-2, dopo una valutazione del rischio di alto livello. Il dettaglio viene eseguito in base al risultato di alto livello solo sugli asset più critici.
Alcuni dettagli:
- L’analisi di alto livello ha lo scopo di stabilire macroscopicamente rischi e conseguenze di un attacco cyber per dare delle priorità di intervento e scomporre le future analisi in base alle criticità della macchina o del processo produttivo.
- La successiva analisi di dettaglio approfondisce quali minacce affliggono i sistemi in uso. In questa seconda fase si considerano più fattori, quali le vulnerabilità già note, la loro complessità, quali contromisure e procedure sono state adottate in precedenza e se vi siano pratiche operative già in essere per la corretta gestione del fattore umano, spesso principale veicolo di attacco cyber.
- Con queste informazioni a disposizione, vi guideremo nella corretta redazione delle specifiche di cyber security per la protezione degli asset più critici installati nell’impianto finale.
- Sviluppiamo per voi il report di OT Security Assessment per entrambi i livelli attraverso analisi specifiche per ogni tipo di impianto o macchina, per documentare quali siano le reali minacce e le contromisure più adeguate.
- Il Cyber Security Risk Assessment supporta i vostri responsabili OT nelle fasi di implementazione e mantenimento delle contromisure, con conseguente vantaggio in termini di spesa.
Contattaci per realizzare i vostri progetti di Cyber Security OT con l’aiuto della consulenza.
Scopri come sviluppare procedure di Governance conformi a IEC 62443
Scopri tutte le opzioni di consulenza per implementare il ciclo di vita della cybersicurezza.
La norma IEC 62443 suggerisce che la sicurezza di un’impianto passa prima di tutto attraverso la Governance, a specifiche policy e alla gestione delle emergenze, in conformità al ciclo di vita della Cyber Security OT.
Implementare il ciclo di vita della sicurezza è lo scopo conclusivo di un intero processo di gestione per le grandi aziende manifatturiere, che comprende l’analisi dettagliata e la definizione delle azioni correttive per la protezione dei dispositivi OT dagli attacchi informatici.
Le attività raccomandate dagli standard IEC 62443 si concentrano sulla governance, sul piano di ripristino delle emergenze (disaster recovery), sulle policy di security, sul design e messa in sicurezza degli impianti dal punto di vista della security.
Le attivitià per il Lifecycle, se aggregate, costituiscono una consulenza completa; su richiesta, possono essere concordate separatamente:
- Supporto alla Governance. In conformità con il Cyber Security Management System suggerito dalla norma IEC 62443-2-1, il nostro supporto include il controllo dei processi documentati nella norma IEC 62443-2-1, e lo sviluppo della documentazione (manuale, procedure, istruzioni, policy).
- Definizione del Piano di Ripristino delle Emergenze. Tenuto conto della continuità operativa e dalle esigenze aziendali, i nostri specialisti assistono lo sviluppo del piano, inclusi i requisiti e le specifiche hardware/software e piano specifico per prevenire il rischio di minaccia cyber alle infrastrutture potenzialmente attaccabili, oppure risanare gli asset in caso di avvenuto attacco.
- Sviluppo delle Policy di Cyber Security OT. Le policy hanno il compito di descrivere i requisiti da implementare per assicurare l’adeguato livello di sicurezza delle tecnologie al servizio degli impianti produttivi. Il nostro supporto tecnico interviene nello sviluppo delle Policy per traguardare gli obiettivi di conformità agli standard IEC 62443 (o NIST).
- Supporto al Design di Alto Livello. La conformità di un’architettura OT deriva dallo stato effettivo dell’infrastruttura. Attraverso l’analisi dello stato attuale, il nostro compito è supportare i responsabili della Cyber Security delle grandi aziende manifatturiere nello stabilire gli interventi di mitigazione verso i rischi di security.
- Sviluppo del Piano per le Remediation. Sulla base dei requisiti implementabili, dello stato attuale e del budget disponibile, è possibile determinare un programma di lungo periodo per determinare quali remediation adottare sull’impianto. Il nostro supporto tecnico ne segue l’impostazione e l’attuazione.
Contattaci per realizzare i vostri progetti di Cyber Security OT con l’aiuto della consulenza.
Certificazione IEC 62443
La dichiarazione della conformità agli standard IEC 62443 è l'apice a cui mirare per comprovare la sicurezza di un'infrastruttura efficiente
Ottieni lo State of Compliance rilasciato dall’Ente Accreditato ISASecure®.
La nostra divisione interna BYHON è l’unico ente di certificazione italiano accreditato ISASecure® per il rilascio della certificazione secondo gli schermi IEC 62443.
Nel caso di un’installazione specifica su un impianto, eseguiamo la verifica di terza parte per emettere rapporto tecnico e dichiarazione di conformità. La valutazione può essere fatta per una nuova installazione, per un revamping di una installazione esistente oppure per un’infrastruttura in uso.
Lo scopo del servizio è di eseguire una valutazione indipendente che evidenzi la conformità di specifiche installazioni a commessa in funzione di un determinato livello di sicurezza (SL-T) conforme a IEC 62443.
La dichiarazione di conformità è un valido e comprovato strumento per attestare la rispondenza di una configurazione OT ai parametri di sicurezza, integrità, disponibilità e riservatezza, come da standard ISA 99/IEC 62443.
Contattaci per certificare l’infrastruttura OT nel modo più efficace.
Training IEC 62443
Scopri i vantaggi di una formazione on-the-job per la Cyber Security OT
La norma IEC 62443 suggerisce che una delle maggiori vulnerabilità risiede nel fattore umano. In questo scenario, si rende necessaria una corretta formazione del personale coinvolto nella Cyber Security.
Non si sa mai quanto un sistema di sicurezza sia efficace fino a che non lo si mette alla prova. L’automazione è in forte crescita e l’integrazione tra le tecnologie IT e le tecnologie OT aumenta ogni giorno con un’enorme quantità di dati che passa dall’OT (Operations Technology) all’IT (Information Technology) e viceversa.
Siamo sicuri che la sicurezza degli impianti industriali non possa più essere garantita senza una adeguata protezione informatica. Ciò significa che PLC, HMI, SCADA e tutti i dispositivi di automazione e controllo devono essere protetti dai potenziali attacchi.
L’obiettivo del training di Cyber Security OT è farvi acquisire le competenze chiave per gestire la progettazione di macchine e sistemi secondo i requisiti della norma IEC 62443.
Le giornate di formazione, da organizzarsi online oppure in presenza in base alle esigenze e alla numerosità dei partecipanti, sono rivolte a figure quali:
- IT Manager
- OT Manager
- Automation Manager
- Automation Engineer
- General Manager
Il programma di formazione si sviluppa on-the-job, in quanto accompagna concettualmente e operativamente le figure aziendali fin dalla fase di analisi della vostra infrastruttura di rete, sulla base delle linee guida fornite dalla norma IEC 62443.
Le sessioni di formazione sono erogate da specialisti interni certificati IEC 62443/ISA 99 e si fondano sui pilastri di Cyber Security OT:
- Cyber Security, perchè è importante e Cyber Security OT vs IT
- Il Cyber Security Lifecycle secondo la norma IEC 62443
- Progetto pilota, test di resilienza e applicazione delle pratiche di Cyber Security sugli asset aziendali
Il nostro approccio unisce al piano formativo quello consulenziale per garantire un risultato massimo. L’obiettivo è rendere le competenze acquisite immediatamente spendibili, in quanto parte integrante di progetti di analisi del rischio cyber sugli asset aziendali più critici, per i quali identificare vulnerabilità e misure per il miglioramento del livello di security.
L’obiettivo del corso è rendere le competenze acquisite immediatamente spendibili all’interno della vostra organizzazione, e attestate attraverso il certificato di partecipazione.
Attiva un programma di formazione per eliminare in modo definitivo i dubbi in merito alla Cyber Security OT.
Faq
- Introduzione di policy e procedure organizzative, che comprendono ad esempio la formazione del personale che interagisce con l’infrastruttura OT
- Selezione delle misure tecniche legate alla segmentazione della rete, al controllo degli accessi, all’autenticazione e all’autorizzazione
- Implementazione e mantenimento del piano di gestione dei rischi e di incident recovery
Articoli Consigliati
La Cyber Security industriale dal punto di vista dell’End-User
Lo standard IEC 62443 spiegato da Massimiliano Latini
OT Cybersecurity Assessment: l’analisi di alto livello
Come far parlare la stessa lingua ai reparti IT e OT
Perché Sceglierci
Abbiamo maturato esperienza nell'ambito della Cyber Security OT dal 2014
Testiamo le soluzioni di Cyber Security OT nel nostro laboratorio interno
I nostri tecnici sono certificati IEC 62443/ISA 99 (Fundamentals Specialist e Cyber Security Risk Assessment Specialist)
Siamo specializzati nel campo dell'automazione e delle reti OT
Collaboriamo con i principali fornitori di tecnologie per suggerire sempre la soluzione OT più indicata
La nostra divisione interna BYHON è Ente Accreditato ISASecure® per la certificazione di Cyber Security OT