cei comitato elettrotecnico italiano
www.ceinorme.it my.ceinorme.it cerca
rivista online di informazione del comitato elettrotecnico italiano

Il contributo del CEI alla radioterapia

e alla medicina nucleare

www.ceinorme.it my.ceinorme.it
rivista online di informazione del comitato elettrotecnico italiano
Ceifocus | Internazionale

NORME DELLA SERIE IEC 62443

29/01/2021
Rielaborazione di un articolo di Morand Fachot tratto da IEC e-tech 04/2020
condividi su facebook   condividi su twitter
rimpicciolisci il testo dell'articolo ingrandisci il testo dell'articolo

Una pietra miliare per la cyber security industriale

Molti sistemi e settori utilizzano la serie di Norme IEC 62443

Si tratta di una asserzione in parte vera per alcuni settori relativi a servizi come le finanze o le assicurazioni; tuttavia, i sistemi industriali dipendono dalla tecnologia operativa (OT), che deve essere presa in considerazione per quanto riguarda i rischi informatici.

Questo è lo scopo prioritario delle Norme della serie IEC 62443, preparate dal TC 65 IEC “Industrial-process measurement, control and automation”, in collaborazione con l’International Society of Automation (ISA 99).

Totale sicurezza dei sistemi di automazione e controllo industriale

La serie di Norme IEC 62443 è stata preparata per rendere sicure le reti di comunicaione industriale e i sistemi di automazione e controllo industriale (IACS) attraverso un approccio sistematico. Questo approccio attualmente comprende nove documenti tra Norme, Rapporti Tecnici (TR) e Specifiche Tecniche (TS) con quattro parti ancora in evoluzione. Gli IACS si trovano in ambiti in continua espansione di domini e industrie, molti dei quali, come l’alimentazione e la distribuzione di energia, i trasporti, la produzione, ecc. sono al centro di infrastrutture sensibili.
Essi includono inoltre Sistemi di Controllo e Acquisizione Dati (SCADA) che sono comunemente usati dalle organizzazioni che operano in settori di infrastrutture sensibili, come la generazione, la trasmissione e la distribuzione di energia e le reti di distribuzione di acqua e gas. Garantire l’attenuazione dei rischi e la resilienza è pertanto essenziale.

Protezione contro l’accesso illegale o improprio

Nelle serie di norme IEC 62443 il termine “sicurezza” assume il significato di “protezione con- tro l’accesso illecito o indesiderato, protezione da un’intromissione volontaria o involontaria nel funzionamento corretto o previsto, oppure protezione da un accesso improprio a informazioni confidenziali negli IACS”.

La sicurezza “riguarda computer, reti, sistemi operativi, applicazioni e altri componenti programmabili e configurabili del sistema”.

La serie di Norme IEC 62443 riguarda gli aspetti della sicurezza informatica a tutti i livelli e sono quindi la base per un approccio verso la sicurezza fin dalla fase di progettazione.

Di conseguenza, è necessario un ampio sguardo d’insieme alle pubblicazioni della serie IEC 62443, dal momento che sono rilevanti per tutti gli utenti delle reti di comunicazione e degli IACS in ambito industriale, compresi i possessori delle risorse, i sistemisti, i produttori di apparecchiature, i fornitori, gli operatori di servizi, i professionisti della manutenzione e tutte le organizzazioni private e governative coinvolte o interessate dalla sicurezza informatica dei sistemi di controllo.

La serie IEC 62443 è strutturata in quattro parti come segue:

  • IEC 62443-1 (Parte generale – Una parte su quattro pubblicata)
  • IEC 62443-2 (Policy e procedure – Tre parti su quattro pubblicate)
  • IEC 62443-3 (Sistema – Tre parti tutte pubblicate)
  • IEC 62443-4 (Componenti – Due parti tutte pubblicate).


Approccio distintivo e ad ampio raggio

Molte imprese e industrie che utilizzano l’IT hanno potuto disporre di sistemi di gestione della sicurezza informatica (CSMS) ben consolidati, come definito nella Norma ISO/IEC 27001 e nella Norma ISO/IEC 27002, Norme per la sicurezza informatica, sviluppate dal Comitato Tecnico Congiunto ISO/IEC per la Tecnologia dell’Informazione (ISO/IEC JTC 1).

La serie IEC 62443 riguarda la sicurezza di entrambe le tecnologie IT e OT. Questa integrazione IT-OT ricopre molteplici aspetti e fornisce una struttura flessibile per far fronte e ridurre i punti maggiormente vulnerabili della sicurezza attuale e futura dei sistemi IACS.

La pubblicazione IEC/TS 62443-1-1:2009 definisce la terminologia, i concetti e i modelli per la sicurezza di IACS. Inoltre stabilisce le basi per le altre Norme della serie IEC 62443. Essa elenca i seguenti sette requisiti fondamentali:

  • controllo dell’identificazione e autenticazione (IAC)
  • controllo sull’uso (UC)
  • integrità di sistema (SI)
  • riservatezza dei dati (DC)
  • flusso di dati riservati (RDF)
  • risposta tempestiva agli eventi (TRE)
  • disponibilità delle risorse (RA).

La Norma IEC 62443-2-1:2010 definisce gli elementi necessari a stabilire un sistema di gestione della sicurezza informatica (CSMS) per i sistemi IACS e offre una guida su come svilupparli. Gli elementi di un CSMS descritti nella Norma riguardano sostanzialmente la policy, le procedure, la pratica e il personale, e indicano ciò che deve o dovrebbe essere incluso nel sistema CSMS finale per l’organizzazione.

La pubblicazione IEC TR 62443-2-3:2015 tratta la gestione delle patch nell’ambiente IACS e indica i requisiti per i proprietari degli asset e per i fornitori di prodotti per IACS, che hanno stabilito e ora mantengono, un programma di gestione delle patch per IACS. Questo Rapporto Tecnico raccomanda un formato definito per la diffusione delle informazioni sulle patch di sicurezza dai possessori delle risorse ai fornitori di prodotti per IACS. Esso inoltre fornisce una definizione per alcune delle attività associate allo sviluppo di informazioni sulle patch da parte dei fornitori di prodotti IACS, e alla distribuzione e all’installazione delle patch da parte dei proprietari degli asset.

Il formato e le attività di scambio sono definiti per l’uso in patch relative alla sicurezza; tuttavia possono essere applicabili anche a patch o ad aggiornamenti non relativi alla sicurezza. Questo documento non distingue tra fornitori di prodotto che forniscono componenti per le infrastrutture o per le applicazioni IACS; esso costituisce una guida per tutte le patch applicabili.

La IEC 62443-2-4:2017 specifica i requisiti delle funzionalità di sicurezza per i fornitori di servizi IACS, che questi possono offrire ai proprietari degli asset durante le attività di integrazione e mantenimento di una soluzione di automazione.

Relativamente all’aspetto sistemico, la pubblicazione IEC TR 62443-3-1:2009 offre una valutazione attuale dei diversi strumenti di sicurezza informatica, delle tecnologie e delle contromisure di mitigazione che possono effettivamente essere applicati ai moderni sistemi IACS, basati su strumenti elettronici, che regolano e controllano numerose industrie e infrastrutture sensibili.

Questo documento descrive le diverse categorie delle tecnologie per la sicurezza informatica incentrate su sistemi di controllo, le tipologie  di prodotti disponibili in tali categorie, i pro e i contro sull’utilizzo di questi prodotti negli ambienti IACS automatizzati, relativamente alle minacce previste e alle vulnerabilità informatiche note e, soprattutto, offre raccomandazioni preliminari e una guida per l’uso di questi prodotti e/o contromisure della tecnologia per la sicurezza informatica.

La pubblicazione IEC 62443-3-2:2020, Security for IACS, si incentra sulla valutazione dei rischi per la sicurezza nella progettazione di sistemi. Tra le altre cose, stabilisce le prescrizioni per:

  • definire un sistema per un IACS (attualmente allo studio)
  • suddividere questo sistema in aree e condotti
  • valutare il rischio per ciascuna aerea e condotto
  • stabilire il target del livello di sicurezza (SL-T) per ciascuna area e condotto
  • documentare i requisiti di sicurezza.

Per quanto riguarda i componenti, la pubblicazione IEC 62443-4-1:2018, si focalizza sui requisiti per lo sviluppo del ciclo di vita dei prodotti. Questa Norma definisce le prescrizioni per lo sviluppo di un ciclo di vita sicuro per quanto riguarda la sicurezza informatica dei prodotti previsti per l’uso in ambienti IACS e fornisce una guida su come soddisfare le prescrizioni descritte per ciascun elemento.

La descrizione del ciclo di vita comprende la definizione dei requisiti di sicurezza, una progettazione sicura, un’implementazione sicura (che includa le linee guida di codifica), la verifica e validazione, la gestione dei difetti, la gestione delle patch e il fine vita del prodotto.

Queste prescrizioni possono essere applicate a processi nuovi o esistenti di sviluppo, mantenimento e ritiro di hardware, software o firmware. Si applicano unicamente ai programmatori e ai manutentori del prodotto, e non sono applicabili agli sviluppatori o agli utilizzatori del prodotto. La Norma IEC 62443-4-2:2019 fornisce prescrizioni dettagliate per i componenti del sistema di controllo tecnico associate ai sette requisiti fondamentali precedentemente elencati nella IEC TS 62443-1-1, comprendendo la definizione dei requisiti per i livelli di sicurezza delle funzionalità del sistema di controllo e dei loro componenti.

La serie IEC 62443 è adottata in un numero crescente di sistemi e settori

Garantire la sicurezza informatica è un crescente interesse per le industrie in cui gli attacchi informatici possono essere diretti a entrambi i sistemi IT e OT. Per questo motivo, si fa sempre più affidamento sulla serie di Norme IEC 62443 per la protezione informatica, la mitigazione del rischio e la resilienza, oltre che su altre norme.

Nel settore energetico, per ridurre il rischio di attacchi informatici, reti e sistemi di pubblica utilità dipendono, tra numerose altre Norme, anche dalla serie IEC 62443. Questa si applica agli impianti idroelettrici, alle centrali nucleari e ai sistemi di accumulo dell’energia. Così come le ferrovie, la navigazione e l’aviazione confidano su questa serie IEC 62443 per prevenire o ridurre i rischi informatici.

Queste Norme sono essenziali per l’automazione industriale, in particolare con la rapida introduzione di dispositivi dell’Industrial Internet of Things (ossia le tecnologie dell’IoT applicate all’ambiente industriale).

Società internazionali di ingegneria e di certificazione dichiarano la loro conformità alle Norme della serie IEC 62443 come prova di qualità dei prodotti e dei servizi che forniscono.

L’adozione più ampia delle Norme della serie IEC 62443 è quindi destinata ad avanzare velocemente.

condividi su facebook   condividi su twitter
© riproduzione riservata

articoli correlati

Archivio Riviste
2023
Marzo 2023Gennaio/Febbraio 2023
2022
Novembre/Dicembre 2022Ottobre 2022Settembre 2022Luglio/Agosto 2022Giugno 2022Maggio 2022Aprile 2022Marzo 2022Gennaio/Febbraio 2022
2021
Novembre/Dicembre 2021Ottobre 2021Settembre 2021Luglio/Agosto 2021Giugno 2021Maggio 2021Aprile 2021Marzo 2021Gennaio/Febbraio 2021
2020
Novembre/Dicembre 2020Ottobre 2020Settembre 2020Luglio/Agosto 2020Giugno 2020Maggio 2020Aprile 2020Marzo 2020Febbraio 2020Gennaio 2020
2019
Novembre/Dicembre 2019Ottobre 2019Settembre 2019Luglio/Agosto 2019Giugno 2019Maggio 2019Aprile 2019Marzo 2019Febbraio 2019Gennaio 2019
2018
Novembre/Dicembre 2018Ottobre 2018Settembre 2018Luglio/Agosto 2018Giugno 2018Maggio 2018Aprile 2018Marzo 2018Febbraio 2018Gennaio 2018
2017
Novembre-Dicembre 2017Ottobre 2017Settembre 2017Luglio-Agosto 2017Giugno 2017Maggio 2017Aprile 2017Marzo 2017Febbraio 2017Gennaio 2017
2016
Novembre/Dicembre 2016
Archivio in PDF
Articoli più letti
A Milano la riunione plenaria del Technical Committe 86 “Fibre Ottiche” DISPONIBILE LA NORMA CEI 64-8 PARTE 6 IN VERSIONE “SMART” NUOVO VOLUME CEI “PROGETTAZIONE ELETTRICA A REGOLA D’ARTE” Il contributo del CEI alla radioterapia e alla medicina nucleare Pubblicate le nuove Varianti alle Norme CEI 0-16 e CEI 0-21 Al via i Convegni di Formazione Gratuita CEI 2023 CEI TDC 3 Il contributo del CEI alla Transizione Energetica CEI TDC 4 Building Information Modeling (BIM) LE NUOVE NORME CEI PER L’ITALIA DELLA RIPRESA SOCI CEI 2023: NEL CUORE DELL’ATTIVITÀ NORMATIVA NUOVO ABBONAMENTO “CODICI ICS” A CATALOGO LE PRIME NORME IEC “EXV” CYBERSICUREZZA IN INFRASTRUTTURE CRITICHE LA CYBERSICUREZZA IN AMBIENTI INDUSTRIALI E STRUTTURE CRITICHE CEI CT 318 A CATALOGO LE NORME DEGLI ENTI AAMI E AENOR IL TC 106 DELL’IEC ANNUNCIA IL NUOVO PIANO STRATEGICO PER SVILUPPARE STANDARD AVANZATI SU 5G, WIRELESS POWER TRANSFER E CAMPI ELETTROMAGNETICI LA NORMATIVA CEI A SOSTEGNO DELLA SALUTE E DEL BENESSERE DELLE PERSONE