cei comitato elettrotecnico italiano
www.ceinorme.it my.ceinorme.it cerca
rivista online di informazione del comitato elettrotecnico italiano

Fibre ottiche: le attività del CT86

Impianti elettrici nelle gallerie stradali

www.ceinorme.it my.ceinorme.it
rivista online di informazione del comitato elettrotecnico italiano
Ceifocus | Osservatorio

LA CYBERSICUREZZA IN AMBIENTI INDUSTRIALI E STRUTTURE CRITICHE

26/10/2022
Serie di Norme IEC 62443 e ISO/IEC 27000 a confronto
condividi su facebook   condividi su twitter
rimpicciolisci il testo dell'articolo ingrandisci il testo dell'articolo

Micaela Caserza Magro, Roberto Minicucci, Francesco Russo (CEI CT 65 e TdC 2)

In questo articolo ci focalizzeremo su due aspetti della cybersecurity per ambiti industriali e strutture critiche che vanno tenuti nella massima considerazione da tutti gli attori e in particolare da parte dell’alta dirigenza.

Il primo tema chiarisce quali siano gli elementi che concorrono a implementare una gestione efficiente della cybersecurity. Sostanzialmente, si tratta di bilanciare gli obiettivi generali di impresa con gli investimenti in mezzi e capitale umano che servono a garantire il voluto livello di resilienza dell’impianto.

Il secondo tema chiarisce il legame tra la serie di Norme IEC 62443, utilizzate sia per la gestione dei dati (Information Technology), sia per la gestione dell’operatività degli impianti (Operational Technology) e la serie di Norme ISO/IEC 27000, che si integrano perfettamente in base alla stretta collaborazione con ISO/IEC JTC1 SC27.

La serie IEC 62443 per la cybersecurity in ambienti industriali

La serie di Norme IEC 62443 “Sicurezza per automazione industriale e sistemi di controllo”, sviluppata dall’IEC TC 65 con il supporto di ISA99 (Industrial Automation and Control Systems Security) copre sia gli aspetti generali (Parte1), sia le politiche e procedure (Parte 2), sia i sistemi (Parte 3) e i componenti (Parte 4). La Figura 1 offre un quadro di assieme della serie completa, dove sono mostrati anche i documenti in sviluppo o in aggiornamento (indicati con la ruota dentata).

Figura 1 – Quadro di assieme della serie di Norme IEC 62443

Inoltre, i documenti in sviluppo nel Working Group IEC 65/WG10 “Cyber security” sono dedicati a fornire importanti strumenti complementari per la definizione di profili (Parte 5) e per la specificazione dei metodi di valutazione della cybersecurity (Parte 6).

Il tema dei profili è legato al fatto che la serie di Norme 62443 può essere vista come un “superset” di requisiti destinati a rappresentare le esigenze dei più diversi campi applicativi, i vari ruoli che si riscontrano nei diversi campi e livelli di sicurezza definibili. I profili sono i documenti che, secondo schemi standardizzati, propongono i “subset” di requisiti che rispondono a specifiche esigenze.

Vari ambienti operativi hanno sviluppato già in passato le loro norme di cybersecurity rifacendosi autonomamente ai contenuti delle Norme IEC 62443 nella versione che era disponibile a quel tempo. Per poter utilizzare un approccio più coordinato e raggiungere così un più adeguato livello di corretto uso delle Norme IEC 62443, nel frattempo aggiornate sulla base del ritorno di esperienza dall’uso fatto, a metà 2022 si è avviato il lavoro della Task Force “Horizontality” dell’IEC TC 65. A questa TF partecipano i Comitati Tecnici IEC più coinvolti in tematiche operative, ciascuno con un rappresentante che ha il compito di documentare le esigenze del proprio campo applicativo e i relativi ruoli. È poi compito di IEC CT 65 aiutare a specificare il subset della IEC 62443-1 che risponde alle esigenze individuate per lo specifico campo applicativo.

La specificazione dei metodi di valutazione della cybersecurity è oggetto di una serrata collaborazione tra IEC TC 65 e IECEE (IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components) che sta già portando alla definizione di due Technical Specifications: IEC TS 62443-6-1 per la Parte2-4 (per i fornitori di servizi) e IEC TS 62443-6-2 per la Parte 4-2 (per i componenti).

L’attività normativa per la cybersecurity è seguita molto da vicino anche in Europa (CLC/TC 65X “Industrial-process measurement, control and automation”) e, in Italia, dal CEI CT 65 “Misura, controllo e automazione nei processi industriali”, che partecipa ai lavori internazionali IEC e CENELEC e dal Tavolo di Confronto nazionale CEI TdC 2 “Cybersecurity”.

La gestione efficiente della cybersecurity di ambienti industriali

L’implementazione della cybersecurity non riguarda unicamente la definizione e configurazione di soluzioni tecnologiche, ma va vista come un sistema complesso che prevede l’interazione tra elementi diversi ma cooperanti tra di loro: il sistema di gestione aziendale, le persone e la tecnologia disponibile.

Soltanto se la tecnologia è al servizio delle persone e dei processi lavorativi è possibile garantire la sicurezza funzionale, l’integrità, l’affidabilità e la security dei sistemi di controllo e di conseguenza dei processi sottesi a questi ultimi. Questo assunto viene definito in modo chiaro nella parte generale della IEC 62443-1-1, in cui vengono definiti i confini di applicazione dell’impianto normativo e quali siano gli obiettivi specifici che vengono perseguiti.

Nell’ottica della definizione dei processi e dei sistemi di gestione aziendali, la IEC 62443-1-1 stabilisce come deve essere realizzato un security program, che rappresenta l’esplicitazione e l’implementazione di un sistema di gestione della sicurezza cyber (CSMS – Cyber Security Management System). Il security program, come definito nella IEC 624432-1, consiste nell’implementazione e manutenzione di quanto concorre alla riduzione di un rischio di tipo cyber in un IACS (Industrial Automation Control System) e quindi nella gestione e manutenzione della formazione ed informazione del personale, delle policies, delle procedure e delle soluzioni tecnologiche implementate.

Altro punto cardine definito nella IEC 62443-1-1 è il periodo che deve essere preso in considerazione per la security; inoltre, è stato chiaramente identificato che il security program riguarda tutto l’intero ciclo di vita del prodotto/sistema/processo. Pertanto, la cybersecurity deve abbracciare l’intero ciclo di vita di un prodotto/sistema e questo porta alla definizione di tre differenti cicli di vita che tra di loro sono strettamente interconnessi e che coinvolgono diverse figure professionali ed aziende, che all’interno della IEC 62443-1-1 sono definiti come ruoli (asset owner, service provider e manufacturer). Più in dettaglio (Figura 2):

  • Manufacturer: è l’azienda ed il personale dell’azienda che ha in carico la progettazione, implementazione, realizzazione di un componente hardware o software che verrà installato ed entrerà in funzione in un sistema IACS;
  • Asset owner: è l’azienda ed il suo personale che gestisce ed è proprietario di un IACS;
  • Service provider: è l’azienda ed il suo personale che offre servizi all’asset owner sul IACS, quali messa in servizio, implementazione, manutenzione e diagnostica del IACS.
Figura 2 – Ruoli e funzioni demandate ai diversi ruoli per un IACS

Definiti i ruoli e definito che la security riguarda l’intero ciclo di vita è possibile identificare tre diversi cicli di vita che sono di competenza dei diversi ruoli citati:

  • Ciclo di vita legato agli aspetti relativi allo sviluppo di prodotti e di tecnologia che parte dalla fase di progettazione fino allo smaltimento sicuro passando attraverso lo sviluppo ed il test. Questa fase è in carico ai manufacturer ed i requisiti del security program sono specificati nella IEC 62443-4-1;
  • A questo punto entra in scena il ruolo del service provider che concorre alla fase del ciclo di vita relativo alla messa in servizio e successivamente alla parte relativa alla manutenzione, agli upgrade ed alla gestione delle patch di sicurezza che si rendessero necessarie. I requisiti per il security program relativo a questa fase e quindi in carico al service provider sono contenuti nella IEC 61443-2-4;
  • La terza fase del ciclo di vita è rappresentata dalla conduzione e manutenzione dell’intero IACS da parte dell’asset owner. I requisiti per il security program dell’asset owner sono riportati nella IEC 62443-2-1.

Prendendo in considerazione i contenuti richiesti per ogni security program e per ogni CSMS si parte dalla definizione di quanto richiesto al manufacturer per la definizione di uno sviluppo sicuro di prodotto, dove con “prodotto” si intendono:

  • Software;
  • Dispositivi embedded;
  • Host;
  • Componenti infrastrutturali di rete;
  • Un insieme degli elementi precedentemente definiti che dovrà essere inserito all’interno di un altro sistema per il corretto funzionamento.

La Norma di riferimento è la IEC 62443-4-1, Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements”. Questa norma definisce i requisiti di Sistema per avere lo sviluppo sicuro di prodotto da usarsi per un IACS.

Le fasi che compongono il ciclo di vita di un prodotto sono le seguenti:

  • Definizione dei requisiti di sicurezza;
  • Progettazione sicura;
  • Implementazione sicura, incluso secure coding;
  • Verifica e validazione;
  • Gestione dei difetti;
  • Gestione delle patch;
  • Fine vita del prodotto.

Per ciascuna di queste fasi vengono definite le caratteristiche che devono essere implementate e conseguentemente quali siano i processi, le procedure e le verifiche da portare a termine per poter considerare conclusa in modo sicuro una delle fasi del ciclo di vita del dispositivo.

I requisiti si suddividono per il laboratorio e per il singolo prodotto sviluppato:

  • Laboratorio: è l’insieme delle persone, strutture ed attrezzature impiegate per lo sviluppo di un prodotto. Questo rappresenta il contesto di sviluppo di tutti i prodotti che si realizzeranno e le procedure implementate sono comuni a tutti i prodotti che vengono realizzati all’interno del contesto aziendale definito.
  • Prodotto: è il singolo dispositivo; vengono qui descritti i processi che devono essere applicati e documentati per lo specifico prodotto).

La Norma IEC 62443-4-1 definisce i requisiti organizzati in otto pratiche (Figura 3), che rappresentano le fasi e gli elementi che devono essere considerati per arrivare ad integrare la sicurezza nel ciclo di vita di sviluppo di un dispositivo e quindi ottenere un ciclo di vita sicuro (o secure lifecycle). Per ciascuna pratica vengono definiti, poi, i requisiti da implementare per soddisfare la specifica pratica.

Figura 3 –  Rappresentazione del contenuto della IEC 62443-4-1

Passando ai requisiti del CSMS per i service provider, la norma di riferimento è la IEC 62443-2-4 “Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers”. Anche in questo caso la struttura prevede diverse parti e caratteristiche che devono essere soddisfatte per poter definire i processi che devono essere individuati e valutati per l’intero processo e fase del ciclo di vita gestito in modo sicuro.

Gli elementi che vengono valutati, in questo caso, prevedono degli argomenti specifici i cui requirements devono poter essere gestiti e conosciuti dai service provider, e vengono definiti come “topic”. In totale sono definiti 21 topic: Accounts, Security tools and software, Background checks, Backup, Data protection, (Type of) Devices, (Type of) Events, Hardening guidelines, Manual process, Network design, Passwords, Patch list, Personnel assignments, Portable media, Restore, Risk assessment, Security tools and software, Solution components, Training, user interface, Vulnerabilities.

I topic sono a loro volta dettagliati in “sub topic”, consentendo cosìdi organizzare le competenze e le conoscenze con il necessario dettaglio. La documentazione del sistema di gestione dovrà essere organizzata e suddivisa secondo le diverse functional areas (Tabella 1), che rappresentano le aree funzionali aziendali coinvolte nella definizione di policy e procedure. All’interno delle diverse functional areas vi saranno diversi topic da implementare e gestire.

Tabella 1 – Elenco delle functional areas coinvolte

Dall’analisi delle functional areas coinvolte emerge chiaramente         come siano presenti le tre componenti che concorrono alla security:

  • personale (solution staffing);
  • procedure (configuration management, event management, account management, patch management);
  • soluzioni tecniche e tecnologiche (architecture, wireless, SIS, remote access, malware protection, backup/restore).

L’ultimo tassello della gestione efficace della sicurezza riguarda quanto deve essere implementato a livello di CSMS da parte dell’asset owner. Anche in questo caso, come per gli altri due ruoli visti in precedenza, la definizione delle procedure prevede diverse fasi e coinvolge procedure, personale e soluzioni tecnologiche.

Rispetto agli elementi, nella gestione della sicurezza da parte dell’asset owner diventa cruciale e nevralgico come elemento di input dell’intero sistema di gestione della security la valutazione del rischio. In questo caso soltanto l’asset owner è in grado di valutare il rischio cyber a cui il proprio IACS è esposto e, conseguentemente, solo a valle della definizione del rischio è possibile andare a definire il sistema di security e conseguentemente andare a modellare l’intero sistema di gestione.

La struttura del CSMS, i cui elementi vanno personalizzati in base all’identificazione, classificazione e assessment del rischio, è costituita dai seguenti tre elementi.

  • Policy, procedure e consapevolezza che definiscono la struttura base su cui si deve fondare la security dell’azienda.
    • Organizzazione per la sicurezza (ruoli, responsabilità e definizione dei compiti a livello di organigramma aziendale);
    • Consapevolezza della security e programma di formazione del personale;
    • Piano per la gestione della business continuity e dedizione degli elementi critici che devono essere salvaguardati in caso di attacco;
    • Definizione del piano di sicurezza e sue procedure correlate, per poter conoscere che cosa sia necessario fare per ogni eventualità che viene a trovarsi e quali siano i comportamenti e le gestioni corrette da tenere in azienda al fine di contenere il rischio di tipo cyber;
  • Definizione delle contromisure di sicurezza (qui vengono definite le soluzioni necessarie per gestire la sicurezza e quindi poter realizzare quanto richiesto dalla valutazione del rischio, che ogni evento abbia un rischio associato inferiore al rischio accettabile grazie all’implementazione di contromisure di sicurezza).
    • Sicurezza del personale, che riguarda la scelta e la definizione del personale la cui responsabilità sia quella di esercire il sistema in modo sicuro;
    • Sicurezza fisica ed ambientale, ovvero fare in modo che l’accesso fisico al sistema sia limitato unicamente alle persone che siano in grado di gestirlo e manutenerlo in modo sicuro;
    • Segmentazione della rete, cioè andare a creare delle sottoreti che condividano il rischio di tipo cyber e renderle isolate dalle altre, così che in caso di attacco non vada persa l’intera rete ma solo una parte;
    • Gestione degli accessi al sistema per gli operatori e quindi gestione delle autenticazioni e autorizzazioni sulla base delle reali mansioni ed attività che il personale deve poter svolgere con il sistema.
  • Implementazione del sistema di gestione della security (in questa parte vengono definite le metodologie per poter implementare nel sistema quanto proveniente dall’analisi dei rischi e definito in modo puntuale nella parte della definizione delle contromisure).

Solo se prende atto di questo stretto intreccio tra gestione aziendale e gestione della sicurezza a tutti i livelli e agisce di conseguenza, l’alta dirigenza potrà bilanciare positivamente gli obiettivi generali di impresa con gli investimenti in personale e mezzi per la sicurezza e raggiungere il voluto livello di resilienza dell’impianto.

Uso coordinato di ISO/IEC 27001/2 e IEC 62443 per la cybersecurity di ambienti industriali

La serie di Norme IEC 62443 costituisce uno strumento indispensabile per costruire e gestire sistemi di controllo e automazione industriale a diversi livelli di sicurezza per far fronte alle crescenti minacce cibernetiche.

Molte aziende però hanno già stabilito sistemi di gestione della sicurezza basati sul framework della serie ISO/IEC 27000 tipicamente per i propri ambienti Enterprise.

Dunque le due norme sono in conflitto? Quale approccio seguire se si è già certificati o orientati alla serie ISO/IEC 27000 ma si ha anche un ambiente industriale (OT) che pone ora problematiche di esposizione digitale/cyber?

È ormai ampiamente condivisa la necessità di difendere gli impianti industriali contro negligenze e possibili attacchi che possono minarne la security. La serie IEC 62443, oltre a specificare i requisiti che devono avere i sistemi e i prodotti per rispondere alle esigenze di security, definisce anche i processi di gestione della security che vanno adottati da tutti gli attori, a partire dal progettista del sistema fino al conduttore dell’impianto, lungo tutta la vita dell’impianto, fino alla sua dismissione.

Molte organizzazioni però, avendo già fatto un cammino in questo senso sul versante “office” con la serie ISO/IEC 27000, hanno cercato di estendere tale norma all’ambiente industriale, trovandosi però di fronte ad alcune incongruenze ed interrogativi, che di seguito si cercherà di chiarire, insieme alla relazione tra ISO/IEC 27001/2 e la serie IEC 62443.

Aspetti fondamentali della IEC 62443 e della ISO/IEC 27001/2

La ISO/IEC 27001 definisce una serie di requisiti e controlli per l’implementazione di un framework di riduzione del rischio ed è stata usata per molto tempo per l’organizzazione di un sistema di gestione della sicurezza informatica aziendale.

La serie IEC 62443, come detto precedentemente, fornisce invece requisiti, sia tecnici che di processo, per tutte le entità coinvolte nella protezione di un impianto industriale da minacce cyber.

Diciamo subito che la ISO/IEC 27001 e la serie IEC 62443 indirizzano due aspetti diversi ma complementari di un approccio complessivo alla cybersecurity OT.

La 62443 si focalizza su necessità specifiche del mondo OT, ed in questo senso è complementare alla serie ISO/IEC 27000; l’intera infrastruttura OT può essere gestita come parte integrante dell’infrastruttura IT dell’azienda, o come parte autonoma, in ogni caso la serie IEC 62443 fornisce gli strumenti per gestire le aree complementari.

La ISO/IEC 27001 definisce requisiti genericamente applicabili a organizzazioni di varie dimensioni e tipo, riguardanti il sistema di gestione della cybersecurity, in aggiunta la ISO/IEC 27002 identifica controlli da considerare allo scopo di implementare un programma di cybersecurity risk-based. In questo senso la ISO/IEC 27002 può essere sostituita da un qualunque altro insieme di controlli come appropriato.

Un ambiente OT necessita di attenzioni particolari volte a non causare interruzioni di servizi e potenziali problemi di sicurezza funzionale, pertanto alcuni requisiti generici della ISO/IEC 27002 richiedono una caratterizzazione specifica oppure modifiche anche significative. A titolo di esempio, nella Figura 4 sono riportate delle considerazioni riguardanti l’implementazione di tali controlli nel mondo OT.

Figura 4 – OT considerations regarding some IT security control implementations

Come si evince, la serie IEC 62443 completa i controlli contenuti nella ISO/IEC 27002, aggiungendo dettagli critici relativi all’ambiente OT.

Ci sono poi elementi della ISO/IEC 27001 non coperti dalla serie IEC 62443, in particolare quelli relativi alla implementazione di un sistema di gestione della cybersecurity, il che suggerisce di prendere a riferimento entrambi gli standard quando si deve proteggere un’infrastruttura OT. E, in effetti, uno dei primi requisiti della IEC 62443-2-1 richiede proprio un coordinamento tra programma di security per sistemi di controllo e automazione industriali e sistema di gestione aziendale della cybersecurity (ISO/IEC 27001 o altro, ad es. NIST, ecc.).

Evidentemente la difficoltà di questo approccio non è tanto dal punto di visto tecnico, quanto da quello organizzativo, che richiederà una corretta definizione di ruoli e responsabilità specialmente sui versanti di interfaccia tra IT e OT, tecniche e gestionali, nonché sulla terminologia.

ISO/IEC 27001/2 versus IEC 62443-2-1

Un possibile approccio è quello di sfruttare la struttura presente nella IEC 62443-2-1, basata su cosiddetti Security Program Element, ovvero gruppi di requisiti relativi a specifiche aree di cybersecurity (ad es. Remote Access, Patch management ecc.), e di mapparne i controlli ai relativi controlli presenti nella ISO/IEC 27002. Non è necessario essere esaustivi in questa corrispondenza, evidentemente ci saranno requisiti non applicabili, secondo il contesto specifico (Figura 5).

Figura 5 – Combining ISO IEC 27001/2 controls and IEC 62443-2-1 requirements for OT Security Programs

Conclusioni

La serie IEC 62443 costituisce un valore aggiunto significativo per chiunque abbia la responsabilità di gestire o di contribuire con vario ruolo, alla cybersecurity di un ambiente industriale.

Fornisce considerazioni e requisiti specifici che la ISO/IEC 27001 per sua natura non contiene, e ne delimita chiaramente la pertinenza in base al ruolo (service provider, product supplier, asset owner).

ISO/IEC 27001 e IEC 62443 si complementano con l’obiettivo di implementare una strategia di cyber security per la protezione di impianti industriali basata sul rischio e comprensiva di tutti gli attori appropriati.

condividi su facebook   condividi su twitter
© riproduzione riservata

articoli correlati

Archivio Riviste
2023
Maggio 2023Aprile 2023Marzo 2023Gennaio/Febbraio 2023
2022
Novembre/Dicembre 2022Ottobre 2022Settembre 2022Luglio/Agosto 2022Giugno 2022Maggio 2022Aprile 2022Marzo 2022Gennaio/Febbraio 2022
2021
Novembre/Dicembre 2021Ottobre 2021Settembre 2021Luglio/Agosto 2021Giugno 2021Maggio 2021Aprile 2021Marzo 2021Gennaio/Febbraio 2021
2020
Novembre/Dicembre 2020Ottobre 2020Settembre 2020Luglio/Agosto 2020Giugno 2020Maggio 2020Aprile 2020Marzo 2020Febbraio 2020Gennaio 2020
2019
Novembre/Dicembre 2019Ottobre 2019Settembre 2019Luglio/Agosto 2019Giugno 2019Maggio 2019Aprile 2019Marzo 2019Febbraio 2019Gennaio 2019
2018
Novembre/Dicembre 2018Ottobre 2018Settembre 2018Luglio/Agosto 2018Giugno 2018Maggio 2018Aprile 2018Marzo 2018Febbraio 2018Gennaio 2018
2017
Novembre-Dicembre 2017Ottobre 2017Settembre 2017Luglio-Agosto 2017Giugno 2017Maggio 2017Aprile 2017Marzo 2017Febbraio 2017Gennaio 2017
2016
Novembre/Dicembre 2016
Archivio in PDF
Articoli più letti
Nuovo Volume “Impianti d’antenna terrestri e satellitari” PUBBLICATA LA NUOVA NORMA DEL TECNICO METROLOGO UNI CEI 11902 L’attività del Comitato Tecnico CEI 86 “Fibre ottiche” e dei suoi SottoComitati Impianti elettrici nelle gallerie stradali Sottoscritta la Convenzione CEI – Fondazione CNI 2023/2024 Pubblicata la prima norma CEI in versione “REDLINE” Impianti agrivoltaci: nuovo documento CEI PAS 82-93 La pulizia professionale tra soluzioni prestazionali ed ecocompatibili A Milano la riunione plenaria del Technical Committe 86 “Fibre Ottiche” DISPONIBILE LA NORMA CEI 64-8 PARTE 6 IN VERSIONE “SMART” NUOVO VOLUME CEI “PROGETTAZIONE ELETTRICA A REGOLA D’ARTE” Il contributo del CEI alla radioterapia e alla medicina nucleare Pubblicate le nuove Varianti alle Norme CEI 0-16 e CEI 0-21 Al via i Convegni di Formazione Gratuita CEI 2023 CEI TDC 3 Il contributo del CEI alla Transizione Energetica CEI TDC 4 Building Information Modeling (BIM) LE NUOVE NORME CEI PER L’ITALIA DELLA RIPRESA SOCI CEI 2023: NEL CUORE DELL’ATTIVITÀ NORMATIVA