La security digitale nelle reti di comunicazione industriali in accordo agli standard serie IEC 62443

La serie di standard IEC 62443 definisce le line guida per incrementare la sicurezza informatica degli IACS.

Mentre le minacce informatiche attuali diventano sempre più pericolose per i sistemi di automazione, la continua evoluzione dei rischi suggerisce che un elevato livello di sicurezza informatica può essere raggiunto con l’approccio di tecniche di security digitali o di sicurezza funzionale.

Gli Industrial Automation Control Systems (IACS) hanno bisogno di implementare alti livelli di security per la sicurezza funzionale. Senza security il raggiungimento delle funzioni di sicurezza può essere compromesso.

Se uno IACS esegue una funzione di sicurezza e l’attacco cyber è classificato come potenzialmente pericoloso, il sistema di controllo deve essere sviluppato e validato in accordo agli standard IEC 62443, al fine di:

  • garantire un adeguato livello di security contro le minacce esterne;
  • aumentare il livello di protezione dei dati; 
  • aumentare l’affidabilità dei sistemi.

Gli standard di security digitale industriale si strutturano su quattro segmenti:

segmenti_cybersecurity

Esempi di IACS sono elencati di seguito:

  • Industrial Control Systems (ICS) e Distributed Control Systems (DCS).
  • Programmable Logic Controllers (PLCs).
  • Remote Terminal Units (RTUs).
  • Intelligent Electronic Devices (IEDs).
  • Supervisory Control and Data Acquisition (SCADA).
  • Networked Electronic Sensing & Control and Monitoring & Diagnostic Systems (inclusi Safety-Instrumented Systems - SIS).

Il nostro obiettivo è diminuire la vulnerabilità e la violazione della sicurezza digitale e quindi ridurre possibili danni pericolosi.
Come? DNV esegue un Security Assessment al fine di determinare il Security Level idoneo per i prodotti o i sistemi d’interesse.
Il Security Level è il “Livello di confidenza del grado di vulnerabilità dello IACS da attacchi pericolosi.”
È possibile raggiungere quattro Security Level:

  • Security Level 0 (SL0): nessuna protezione richiesta.
  • Security Level 1 (SL1): protezione contro la violazione occasionale o casuale.
  • Security Level 2 (SL2): protezione contro la violazione intenzionale con mezzi scarsi, con risorse scarse, competenze generiche del sistema e motivazione scarsa.
  • Security Level 3 (SL3) Protezione contro la violazione intenzionale con mezzi sofisticati, con risorse moderate, competenze specifiche del sistema e motivazione moderata.
  • Security Level 4 (SL4) Protezione contro la violazione intenzionale con mezzi sofisticati con risorse ingenti, competenze specifiche del sistema e forte motivazione.

Gli step di un nostro assessment sono:

  • analisi delle tecnologie di sicurezza implementate;
  • verifica dei requisiti dello IACS security management system;
  • determinazione del target SL per componenti e sistemi; 
  • capacità di progettare in ottica security;
  • analisi del rischio;
  • definizione e implementazione delle contro misure necessarie;
  • analisi delle possibili minacce;
  • Assessment quantitativo, con stima della probabilità di penetrazione nelle reti locali;
  • Penetration-test per il rilievo sperimentale della vulnerabilità del sistema.

Di seguito si riportano alcuni esempi di prodotto e di sistemi sotto il campo di applicazione degli standard di sicurezza nel campo dell'automazione:

  • Embedded Devices (e.g. Controllers).
  • Host Devices (e.g. Operator Stations).
  • Network Devices (e.g. Firewalls, Routers).
  • Application Software (e.g. Engineering Tools, HMI’s).

Quali sono i principali benefici del Security Assessment?

Il vantaggio potrà apparire intangibile, ma questo tipo di assessment aumenterà la vostra credibilità sul mercato, con un conseguente incremento delle vendite: 

  • la maggior parte dei sistemi di comando e controllo sul mercato richiede una dimostrazione del livello di security espresso in SL.
  • disponibilità ed eccellente manutenibilità che hanno i prodotti progettati per soddisfare alti livelli di security digitale.

Quali sono le norme della sicurezza informatica?

La serie di standard IEC 62443, definisce le line guida per incrementare la sicurezza digitale degli Industrial Automation and Control Systems (IACS). Questi standard si applicano agli utilizzatori finali (es. proprietari della rete), system integrators, operatori di security e costruttori di sistemi di controllo. 

Tutti gli standard IEC 62443 sono organizzati su quattro livelli denominati 1. Generali, 2. Politica e Procedure, 3. Sistemi e 4. Componenti.

  1. Prima categoria include informazioni e concetti generali, modelli e la terminologia. Sono descritti anche i parametri di sicurezza digitali e il ciclo di vita della sicurezza digitale per IACS.
  2. Seconda categoria destinata ai gestori della rete.
  3. Terza categoria descrive il modello di sviluppo di sistemi attraverso l’integrazione di componenti.
  4. Quarta categoria descrive i requisiti dei prodotti che implementano tecniche di protezione da attacchi cyber.

Da dove iniziare?

Gli step seguenti rappresentano il percorso di security industrial assessment:
Step 1: definire la capacità di condurre FSE (es. Management).
Step 2: definire un livello di rischio tollerabile.
Step 3: identificare le funzioni di sicurezza per ciascuna minaccia.
Step 4: definire SL per gli IACS a livello di componente o sistema.
Step 5: analisi delle minacce, valutazione del rischio.
Step 6: connection port scanning, penetration testing, fuzz testing, communication port load testing e binary code scanning.
Step 7: assessment di raggiungimento del target SL.
Step 8: determinazione del rischio residuo.

Come possiamo aiutarti?

DNV - Business Assurance offre una gamma di servizi per aiutare le aziende ad adottare i requisiti degli standard di security digitale al fine di immettere sul mercato sistemi di controllo IACS sicuri.

  • IT Security Management Certification;
  • Certificazione di componenti.