cei comitato elettrotecnico italiano
www.ceinorme.it my.ceinorme.it cerca
rivista online di informazione del comitato elettrotecnico italiano

Il contributo del CEI alla radioterapia

e alla medicina nucleare

www.ceinorme.it my.ceinorme.it
rivista online di informazione del comitato elettrotecnico italiano
Ceifocus | Internazionale

PROTEGGERE I PROCESSI PRODUTTIVI DAGLI ATTACCHI INFORMATICI

21/03/2019
condividi su facebook   condividi su twitter
rimpicciolisci il testo dell'articolo ingrandisci il testo dell'articolo

La resilienza agli attacchi informatici può essere raggiunta solo focalizzandosi su IT (Tecnologia dell’Informazione) e OT (Tecnologie di Automazione e Controllo)

I processi produttivi sono particolarmente vulnerabili a causa delle loro complesse interazioni con le attività, gli impiegati, i clienti e gli spedizionieri.

Negli ultimi mesi alcuni studi e rapporti internazionali hanno sottolineato un allarmante aumento di attacchi informatici che prendono di mira i processi produttivi. Una di queste indagini, condotta nelle Americhe, in Asia e in Europa, suggerisce che negli anni passati due terzi delle aziende abbia sperimentato un attacco informatico nella loro catena produttiva.

Parlando più in generale, un processo produttivo è il percorso che prodotti e servizi seguono dal fornitore al cliente.  È un sistema che racchiude al suo interno organizzazioni, persone, attività, informazioni e risorse. I processi produttivi sono particolarmente vulnerabili a causa delle loro complesse interazioni con le attività, gli impiegati, i clienti e, tra gli altri, gli spedizionieri. Può essere difficile conoscere, figuriamoci controllare, le procedure di sicurezza che sono in uso lungo il processo. Un altro tema emerso da un Rapporto del Dipartimento della Difesa Statunitense è che la sicurezza nell’industria manifatturiera tende a focalizzarsi sui servizi di cloud, data management ed altri tipi di risorse della Tecnologia dell’Informazione (IT), mentre il controllo della sicurezza del processo produttivo, per la maggior parte, rientra nella Operational Technology (OT), o Tecnologia di controllo e automazione produttiva. L’interesse primario del Pentagono è ovviamente l’industria militare americana, ma le questioni trattate nel rapporto si applicano a tutti i settori dell’industria e alle infrastrutture critiche di tutto il mondo.

Sicurezza informatica per IT e OT

Il nodo cruciale del problema, identificato nella pubblicazione di 146 pagine, è che i programmi per la sicurezza informatica sono troppo spesso determinati dall’IT. In realtà, i limiti operativi in settori industriali come quello manifatturiero, ma anche in altri come quello energetico, la sanità e i trasporti, sta nel fatto che l’approccio impiegato in termini di sicurezza contro gli attacchi in- formatici richiede di salvaguardare anche l’OT.

Interesse primario dell’IT sono i dati e la capacità di trasmetterli liberamente e in sicurezza.

Questo esiste nel mondo virtuale, dove i dati vengono memorizzati, recuperati,  trasmessi  e  manipolati.  L’IT è flessibile e ha molte porte (gateway) che lo rendono vulnerabile e offrono un’ampia possibilità a numerosi attacchi informatici di varia natura e in costante evoluzione. Difendersi contro questi attacchi vale a dire salvaguardare ogni livello, così come identificare e correggere continuamente le vulnerabilità, per mantenere il flusso di informazioni.

L’OT al contrario appartiene al mondo reale. Mentre l’IT deve salvaguardare ogni livello del sistema, per l’OT si tratta di mantenere il controllo dei sistemi: attivi o disattivi, aperti o chiusi. L’OT garantisce la corretta esecuzione di tutte le attività. Ogni cosa nell’OT è finalizzata al movimento fisico e al controllo di dispositivi e processi per far funzionare i sistemi come previsto, con un obiettivo principale: la sicurezza e una migliore efficienza. Per esempio, l’OT aiuta a garantire che un generatore entri in rete quando c’è un aumento di richiesta energetica oppure che una valvola di controllo del flusso si apra quando un serbatoio chimico è pieno, per evitare la fuoriuscita di sostanze pericolose.

In passato IT e OT hanno avuto ruoli distinti. Le squadre OT erano abituate a lavorare in sistemi chiusi, che facevano molto affidamento su meccanismi di sicurezza fisici per assicurarne l’integrità. Con l’emergere dell’Internet of Things (IoT) industriale e l’integrazione di sensori e software collegati in rete nelle macchine fisiche, il confine tra le due realtà è meno distinto.

Dal momento che sempre più oggetti si connettono, comunicano e interagiscono tra loro, c’è stata un’impennata nel numero di “endpoint” (ossia di tutti quei dispositivi collegati alla rete) e quindi dei potenziali modi con cui i pirati informatici possono ottenere accesso alle reti e ai sistemi delle infrastrutture.

Proteggere la catena produttiva

Questo ci riporta alla catena produttiva, dove sembra probabile che abbiano origine la maggior parte degli attacchi informatici. Di nuovo, ci sono importanti differenze tra IT e OT.

La catena produttiva dell’IT è definita come “una serie di organizzazioni con una serie di risorse e processi collegati, ciascuna delle quali agisce da acquirente, fornitore, o entrambi i ruoli, per costituire successive relazioni di fornitura, stabilite in base alla posizione di un ordine d’acquisto, di un contratto o di altro accordo formale di approvvigionamento”.

Una definizione di catena produttiva per impianti industriali “smart” dovrebbe includere non soltanto la catena produttiva dell’IT, ma anche la catena  produttiva dell’OT. Questa include persone (imprenditori, fornitori, venditori e lo staff OT) e processi e prodotti: componenti e sistemI fondamentali per l’OT, come l’ automazione industriale e i sistemi di controllo (IACS), e, sempre di più, elementi dell’Internet of Things (IoT).

Quando si tratta di proteggere la catena produttiva, è di fondamentale importanza installare una tecnologia sicura. Una tecnologia obsoleta è un grosso problema, specialmente se i dispositivi compromessi sono le porte (gateway), gli accessi al controllo industriale o ai sistemi di controllo di supervisione e acquisizione dati (SCADA).

Importanza della gestione del rischio

Una tecnologia sicura rappresenta solo una parte della sfida, da sola non assicura resilienza. L’approccio più sicuro comprende una comprensione e riduzione del rischio al fine di attuare la protezione giusta in punti appropriati del sistema. Ciò si applica sia all’IT che all’OT.

È vitale che questo processo sia strettamente allineato alle finalità organizzative, poiché decisioni non appropriate possono avere serie conseguenze sulle attività. Idealmente, il processo dovrebbe basarsi su un approccio di sistema che coinvolga tutti gli stakeholder presenti nell’organizzazione.

Una volta che un’organizzazione abbia compreso il sistema ed individuato ciò che è importante e necessita maggior protezione, si devono intraprendere tre passaggi per affrontare il rischio e le conseguenze di un attacco cibernetico:

  • comprendere le minacce conosciute attraverso la modellazione delle minacce e la valutazione del rischio;
  • fronteggiare i rischi e attuare misure protettive con l’aiuto di Norme Internazionali, che riflettono lo stato dell’arte globale;
  • applicare il livello appropriato della valutazione di conformità – prove e certificazione – rispetto ai requisiti.

Un approccio di sistema basato sul rischio aumenta la fiducia di tutti gli stakeholders, dimostrando non solo l’impiego di misure di sicurezza che si basano sullo stato dell’arte, ma anche che un’organizzazione ha adottato le giuste misure con efficienza ed efficacia.

Norme e Valutazione di Conformità per proteggere la catena produttiva

La IEC ha elaborato numerose Norme per proteggere  le  attività  industriali  e quelle relative ad infrastrutture critiche, tra queste sono da includere Norme generali, applicabili a molte situazioni diverse, e Norme particolari, per es. per le centrali nucleari o per il settore sanitario.

Contemporaneamente la IEC lavora per la Valutazione di Conformità e a schemi di certificazione globale attra- verso Gruppi di Lavoro (WGs) istituiti dalla sua Commissione per la Valutazione della Conformità (CAB) e dal Certification Management Committee (CMC) della IECEE, ossia il sistema IEC per gli schemi di valutazione della conformità per apparecchiature e componenti elettrotecnici (“IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components”).

Oltre alla famiglia di Norme ISO/IEC 27000 per la gestione dei servizi IT, e a pubblicazioni orizzontali della serie IEC 62443 per reti di comunicazione industriale e IACS, numerosi Comitati e SottoComitati Tecnici IEC hanno sviluppato Norme, Specifi- che Tecniche e prescrizioni per settori specifici.

La Commissione IEC per la Valutazione della Conformità ha istituito il WG 17 per analizzare le necessità di mercato e individuare una road map per i servizi di certificazione per prodotti, servizi, personale e sistemi integrati nell’ambito della cyber- security.

Tuttavia, questo esclude le applicazioni di automazione industriale, oggetto del WG 31 IECEE CMC. Il WG 17 CAB inoltre comunica agli altri settori industriali l’approccio generale di cyber- security indicato dal WG 31 IECEE CMC e come questo possa applicarsi ad altri settori.

Principale obiettivo del WG 31 IECEE CMC è quello di “attuare un approccio unico di Valutazione della Conformità per la serie di Norme IEC 62443”. Con questa finalità, nel giugno 2018 ha preparato l’OD-2061, un Documento Operativo, che descrive come la valutazione di conformità possa essere gestita ed applicata ad alcune Norme della serie IEC 62443.

L’OD-2061 spiega inoltre in quali condizioni si possa ottenere una Certificazione di Conformità Informatica IECEE (“IECEE Cyber Certificates of Conformity – Industrial Cyber Security Capability”).

Attualmente queste certificazioni sono relative alle seguenti valutazioni, ciascuna applicabile a una o più Norme del- la serie IEC 62443:

  • Capacità/funzionalità di un prodotto;
  • Capacità/funzionalità di un processo;+
  • Applicazione delle capacità/funzionalità di prodotto;
  • Applicazione delle capacità/funzionalità di processo;
  • Soluzioni relative all’applicazione dei risultati/delle soluzioni adottare.

Insieme alle Norme IEC per la sicurezza informatica, la recente introduzione di schemi relativi alla valutazione di conformità dovrebbe garantire che i sistemi che si affidano a reti di comunicazione industriale e allo IACS, incluse le catene produt- tive, siano meglio protetti dalle minacce informatiche.

Articolo di Mike Mullane tratto da IEC etech 6/2018

condividi su facebook   condividi su twitter
© riproduzione riservata

articoli correlati

Archivio Riviste
2023
Marzo 2023Gennaio/Febbraio 2023
2022
Novembre/Dicembre 2022Ottobre 2022Settembre 2022Luglio/Agosto 2022Giugno 2022Maggio 2022Aprile 2022Marzo 2022Gennaio/Febbraio 2022
2021
Novembre/Dicembre 2021Ottobre 2021Settembre 2021Luglio/Agosto 2021Giugno 2021Maggio 2021Aprile 2021Marzo 2021Gennaio/Febbraio 2021
2020
Novembre/Dicembre 2020Ottobre 2020Settembre 2020Luglio/Agosto 2020Giugno 2020Maggio 2020Aprile 2020Marzo 2020Febbraio 2020Gennaio 2020
2019
Novembre/Dicembre 2019Ottobre 2019Settembre 2019Luglio/Agosto 2019Giugno 2019Maggio 2019Aprile 2019Marzo 2019Febbraio 2019Gennaio 2019
2018
Novembre/Dicembre 2018Ottobre 2018Settembre 2018Luglio/Agosto 2018Giugno 2018Maggio 2018Aprile 2018Marzo 2018Febbraio 2018Gennaio 2018
2017
Novembre-Dicembre 2017Ottobre 2017Settembre 2017Luglio-Agosto 2017Giugno 2017Maggio 2017Aprile 2017Marzo 2017Febbraio 2017Gennaio 2017
2016
Novembre/Dicembre 2016
Archivio in PDF
Articoli più letti
A Milano la riunione plenaria del Technical Committe 86 “Fibre Ottiche” DISPONIBILE LA NORMA CEI 64-8 PARTE 6 IN VERSIONE “SMART” NUOVO VOLUME CEI “PROGETTAZIONE ELETTRICA A REGOLA D’ARTE” Il contributo del CEI alla radioterapia e alla medicina nucleare Pubblicate le nuove Varianti alle Norme CEI 0-16 e CEI 0-21 Al via i Convegni di Formazione Gratuita CEI 2023 CEI TDC 3 Il contributo del CEI alla Transizione Energetica CEI TDC 4 Building Information Modeling (BIM) LE NUOVE NORME CEI PER L’ITALIA DELLA RIPRESA SOCI CEI 2023: NEL CUORE DELL’ATTIVITÀ NORMATIVA NUOVO ABBONAMENTO “CODICI ICS” A CATALOGO LE PRIME NORME IEC “EXV” CYBERSICUREZZA IN INFRASTRUTTURE CRITICHE LA CYBERSICUREZZA IN AMBIENTI INDUSTRIALI E STRUTTURE CRITICHE CEI CT 318 A CATALOGO LE NORME DEGLI ENTI AAMI E AENOR IL TC 106 DELL’IEC ANNUNCIA IL NUOVO PIANO STRATEGICO PER SVILUPPARE STANDARD AVANZATI SU 5G, WIRELESS POWER TRANSFER E CAMPI ELETTROMAGNETICI LA NORMATIVA CEI A SOSTEGNO DELLA SALUTE E DEL BENESSERE DELLE PERSONE