rivista online di informazione del comitato elettrotecnico italiano

ELETTROSTATICA

ASSEMBLEA GENERALE: PREMIAZIONI, ATTIVITÀ E BILANCIO 2018

MY CORSI: NUOVO PORTALE FORMAZIONE CEI

www.ceinorme.it my.ceinorme.it
rivista online di informazione del comitato elettrotecnico italiano

PROTEGGERE I PROCESSI PRODUTTIVI DAGLI ATTACCHI INFORMATICI

21/03/2019
condividi su facebook   condividi su twitter
rimpicciolisci il testo dell'articolo ingrandisci il testo dell'articolo

La resilienza agli attacchi informatici può essere raggiunta solo focalizzandosi su IT (Tecnologia dell’Informazione) e OT (Tecnologie di Automazione e Controllo)

I processi produttivi sono particolarmente vulnerabili a causa delle loro complesse interazioni con le attività, gli impiegati, i clienti e gli spedizionieri.

Negli ultimi mesi alcuni studi e rapporti internazionali hanno sottolineato un allarmante aumento di attacchi informatici che prendono di mira i processi produttivi. Una di queste indagini, condotta nelle Americhe, in Asia e in Europa, suggerisce che negli anni passati due terzi delle aziende abbia sperimentato un attacco informatico nella loro catena produttiva.

Parlando più in generale, un processo produttivo è il percorso che prodotti e servizi seguono dal fornitore al cliente.  È un sistema che racchiude al suo interno organizzazioni, persone, attività, informazioni e risorse. I processi produttivi sono particolarmente vulnerabili a causa delle loro complesse interazioni con le attività, gli impiegati, i clienti e, tra gli altri, gli spedizionieri. Può essere difficile conoscere, figuriamoci controllare, le procedure di sicurezza che sono in uso lungo il processo. Un altro tema emerso da un Rapporto del Dipartimento della Difesa Statunitense è che la sicurezza nell’industria manifatturiera tende a focalizzarsi sui servizi di cloud, data management ed altri tipi di risorse della Tecnologia dell’Informazione (IT), mentre il controllo della sicurezza del processo produttivo, per la maggior parte, rientra nella Operational Technology (OT), o Tecnologia di controllo e automazione produttiva. L’interesse primario del Pentagono è ovviamente l’industria militare americana, ma le questioni trattate nel rapporto si applicano a tutti i settori dell’industria e alle infrastrutture critiche di tutto il mondo.

Sicurezza informatica per IT e OT

Il nodo cruciale del problema, identificato nella pubblicazione di 146 pagine, è che i programmi per la sicurezza informatica sono troppo spesso determinati dall’IT. In realtà, i limiti operativi in settori industriali come quello manifatturiero, ma anche in altri come quello energetico, la sanità e i trasporti, sta nel fatto che l’approccio impiegato in termini di sicurezza contro gli attacchi in- formatici richiede di salvaguardare anche l’OT.

Interesse primario dell’IT sono i dati e la capacità di trasmetterli liberamente e in sicurezza.

Questo esiste nel mondo virtuale, dove i dati vengono memorizzati, recuperati,  trasmessi  e  manipolati.  L’IT è flessibile e ha molte porte (gateway) che lo rendono vulnerabile e offrono un’ampia possibilità a numerosi attacchi informatici di varia natura e in costante evoluzione. Difendersi contro questi attacchi vale a dire salvaguardare ogni livello, così come identificare e correggere continuamente le vulnerabilità, per mantenere il flusso di informazioni.

L’OT al contrario appartiene al mondo reale. Mentre l’IT deve salvaguardare ogni livello del sistema, per l’OT si tratta di mantenere il controllo dei sistemi: attivi o disattivi, aperti o chiusi. L’OT garantisce la corretta esecuzione di tutte le attività. Ogni cosa nell’OT è finalizzata al movimento fisico e al controllo di dispositivi e processi per far funzionare i sistemi come previsto, con un obiettivo principale: la sicurezza e una migliore efficienza. Per esempio, l’OT aiuta a garantire che un generatore entri in rete quando c’è un aumento di richiesta energetica oppure che una valvola di controllo del flusso si apra quando un serbatoio chimico è pieno, per evitare la fuoriuscita di sostanze pericolose.

In passato IT e OT hanno avuto ruoli distinti. Le squadre OT erano abituate a lavorare in sistemi chiusi, che facevano molto affidamento su meccanismi di sicurezza fisici per assicurarne l’integrità. Con l’emergere dell’Internet of Things (IoT) industriale e l’integrazione di sensori e software collegati in rete nelle macchine fisiche, il confine tra le due realtà è meno distinto.

Dal momento che sempre più oggetti si connettono, comunicano e interagiscono tra loro, c’è stata un’impennata nel numero di “endpoint” (ossia di tutti quei dispositivi collegati alla rete) e quindi dei potenziali modi con cui i pirati informatici possono ottenere accesso alle reti e ai sistemi delle infrastrutture.

Proteggere la catena produttiva

Questo ci riporta alla catena produttiva, dove sembra probabile che abbiano origine la maggior parte degli attacchi informatici. Di nuovo, ci sono importanti differenze tra IT e OT.

La catena produttiva dell’IT è definita come “una serie di organizzazioni con una serie di risorse e processi collegati, ciascuna delle quali agisce da acquirente, fornitore, o entrambi i ruoli, per costituire successive relazioni di fornitura, stabilite in base alla posizione di un ordine d’acquisto, di un contratto o di altro accordo formale di approvvigionamento”.

Una definizione di catena produttiva per impianti industriali “smart” dovrebbe includere non soltanto la catena produttiva dell’IT, ma anche la catena  produttiva dell’OT. Questa include persone (imprenditori, fornitori, venditori e lo staff OT) e processi e prodotti: componenti e sistemI fondamentali per l’OT, come l’ automazione industriale e i sistemi di controllo (IACS), e, sempre di più, elementi dell’Internet of Things (IoT).

Quando si tratta di proteggere la catena produttiva, è di fondamentale importanza installare una tecnologia sicura. Una tecnologia obsoleta è un grosso problema, specialmente se i dispositivi compromessi sono le porte (gateway), gli accessi al controllo industriale o ai sistemi di controllo di supervisione e acquisizione dati (SCADA).

Importanza della gestione del rischio

Una tecnologia sicura rappresenta solo una parte della sfida, da sola non assicura resilienza. L’approccio più sicuro comprende una comprensione e riduzione del rischio al fine di attuare la protezione giusta in punti appropriati del sistema. Ciò si applica sia all’IT che all’OT.

È vitale che questo processo sia strettamente allineato alle finalità organizzative, poiché decisioni non appropriate possono avere serie conseguenze sulle attività. Idealmente, il processo dovrebbe basarsi su un approccio di sistema che coinvolga tutti gli stakeholder presenti nell’organizzazione.

Una volta che un’organizzazione abbia compreso il sistema ed individuato ciò che è importante e necessita maggior protezione, si devono intraprendere tre passaggi per affrontare il rischio e le conseguenze di un attacco cibernetico:

  • comprendere le minacce conosciute attraverso la modellazione delle minacce e la valutazione del rischio;
  • fronteggiare i rischi e attuare misure protettive con l’aiuto di Norme Internazionali, che riflettono lo stato dell’arte globale;
  • applicare il livello appropriato della valutazione di conformità – prove e certificazione – rispetto ai requisiti.

Un approccio di sistema basato sul rischio aumenta la fiducia di tutti gli stakeholders, dimostrando non solo l’impiego di misure di sicurezza che si basano sullo stato dell’arte, ma anche che un’organizzazione ha adottato le giuste misure con efficienza ed efficacia.

Norme e Valutazione di Conformità per proteggere la catena produttiva

La IEC ha elaborato numerose Norme per proteggere  le  attività  industriali  e quelle relative ad infrastrutture critiche, tra queste sono da includere Norme generali, applicabili a molte situazioni diverse, e Norme particolari, per es. per le centrali nucleari o per il settore sanitario.

Contemporaneamente la IEC lavora per la Valutazione di Conformità e a schemi di certificazione globale attra- verso Gruppi di Lavoro (WGs) istituiti dalla sua Commissione per la Valutazione della Conformità (CAB) e dal Certification Management Committee (CMC) della IECEE, ossia il sistema IEC per gli schemi di valutazione della conformità per apparecchiature e componenti elettrotecnici (“IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components”).

Oltre alla famiglia di Norme ISO/IEC 27000 per la gestione dei servizi IT, e a pubblicazioni orizzontali della serie IEC 62443 per reti di comunicazione industriale e IACS, numerosi Comitati e SottoComitati Tecnici IEC hanno sviluppato Norme, Specifi- che Tecniche e prescrizioni per settori specifici.

La Commissione IEC per la Valutazione della Conformità ha istituito il WG 17 per analizzare le necessità di mercato e individuare una road map per i servizi di certificazione per prodotti, servizi, personale e sistemi integrati nell’ambito della cyber- security.

Tuttavia, questo esclude le applicazioni di automazione industriale, oggetto del WG 31 IECEE CMC. Il WG 17 CAB inoltre comunica agli altri settori industriali l’approccio generale di cyber- security indicato dal WG 31 IECEE CMC e come questo possa applicarsi ad altri settori.

Principale obiettivo del WG 31 IECEE CMC è quello di “attuare un approccio unico di Valutazione della Conformità per la serie di Norme IEC 62443”. Con questa finalità, nel giugno 2018 ha preparato l’OD-2061, un Documento Operativo, che descrive come la valutazione di conformità possa essere gestita ed applicata ad alcune Norme della serie IEC 62443.

L’OD-2061 spiega inoltre in quali condizioni si possa ottenere una Certificazione di Conformità Informatica IECEE (“IECEE Cyber Certificates of Conformity – Industrial Cyber Security Capability”).

Attualmente queste certificazioni sono relative alle seguenti valutazioni, ciascuna applicabile a una o più Norme del- la serie IEC 62443:

  • Capacità/funzionalità di un prodotto;
  • Capacità/funzionalità di un processo;+
  • Applicazione delle capacità/funzionalità di prodotto;
  • Applicazione delle capacità/funzionalità di processo;
  • Soluzioni relative all’applicazione dei risultati/delle soluzioni adottare.

Insieme alle Norme IEC per la sicurezza informatica, la recente introduzione di schemi relativi alla valutazione di conformità dovrebbe garantire che i sistemi che si affidano a reti di comunicazione industriale e allo IACS, incluse le catene produt- tive, siano meglio protetti dalle minacce informatiche.


Articolo di Mike Mullane tratto da IEC etech 6/2018

condividi su facebook   condividi su twitter
Articoli più letti
AGGIORNATE LE REGOLE TECNICHE DI CONNESSIONE ALLE RETI ELETTRICHE L’ATTIVITÀ TECNICO-NORMATIVA CEI NEL 2018 RICCARDO LAMA NUOVO PRESIDENTE GENERALE CEI GESTIONE E CONTROLLO DELLE CARICHE ELETTROSTATICHE LE INTERVISTE AGLI OFFICERS CEI CT 306 LA CONNETTIVITÀ IN AMBITO RESIDENZIALE PER LA DIGITAL HOME ICDL 2019: A ROMA LA CONFERENZA INTERNAZIONALE DELL’IEEE EFFICIENZA ENERGETICA DELL’ILLUMINAZIONE EFFICIENZA ENERGETICA DEGLI EDIFICI SICUREZZA DEGLI ISOLAMENTI PER BASSA TENSIONE NUOVE NORME SUL FOTOVOLTAICO NUOVA VARIANTE 5 NORMA CEI 64-8 GUIDA CEI 64-12 ALLA PREDISPOSIZIONE DEGLI IMPIANTI ELETTRICI NELLE OPERE EDILI NUOVI SERVIZI CEI BOOKMARK E NOTEPAD LA COMPATIBILITÀ ELETTROMAGNETICA NELLA TECNOLOGIA SOTTOCOMITATO CEI SC 210/77B COSTANTE PROGRESSO E DIFFUSIONE DELLA PRODUZIONE DI ELETTRICITÀ DAL VENTO LE INTERVISTE AGLI OFFICERS CEI CT 88 EQUIPAGGIAMENTO ELETTRICO DELLE MACCHINE RADIO E TV DI QUALITÀ IL CT 316: TRA NORMAZIONE TECNICA E REGOLAZIONE CONVEGNI DI FORMAZIONE GRATUITA CEI 2019 SOCI CEI 2019: PROTAGONISTI DEL FUTURO INDUSTRIA 4.0: TECNOLOGIE ABILITANTI CORSI CEI 0-14 PER LE VERIFICHE DEGLI IMPIANTI: TERRA, ATEX E FULMINI COMITATO TECNICO CEI 316 PROTEZIONE DEGLI IMPIANTI DALLE SOVRATENSIONI TRASFORMATORI DI MISURA INNOVATIVI CONVEGNI DI FORMAZIONE GRATUITA 2019: LA FORMAZIONE A NORMA ARRIVA IL SERVIZIO BOOKMARK QUADRI DI AUTOMAZIONE E DISTRIBUZIONE NUOVE NORME PER L’INDUSTRIA 4.0 ITS SCHOOL PROJECT: ASSEGNATO IL PRIMO PREMIO, AL VIA IL BANDO 2019 ENERGIA ELETTRICA A PORTATA DI TUTTI E2 FORUM: MOSTRA SU MOBILITÀ VERTICALE E TECNOLOGIE INTELLIGENTI PER GLI EDIFICI AGGIORNATA LA NORMA PER GLI INTERRUTTORI MANUALI I CONCETTI DI BASE PER I SISTEMI DI ALLARME NORME TECNICHE E REGOLA DELL’ARTE PER SISTEMI DI SICUREZZA SISTEMI E COMPONENTI ELETTRICI ED ELETTRONICI PER TRAZIONE IL PREMIO CEI – MIGLIOR TESI DI LAUREA 2018 PREMIERA’ PER LA PRIMA VOLTA CINQUE STUDENTI L’IMPIANTO ELETTRICO UTILIZZATORE A SERVIZIO DELL’AZIENDA 4.0 CORSO CEI INDUSTRIA 4.0 CORSO CEI CAVI CPR COMITATO TECNICO CEI CT 81 L’ATTIVITÀ TECNICO-NORMATIVA CEI NEL 2017 A SUPPORTO DELL’INDUSTRIA E DEL PAESE UNA CASA EFFICIENTE E MODERNA ASSEMBLEA GENERALE E PREMIAZIONI CEI RILEVAZIONE DEI GUASTI NEI SISTEMI ELETTRICI VENTESIMA CONFERENZA INTERNAZIONALE IEEE SUI LIQUIDI DIELETTRICI (ICDL) REGOLAMENTO CPR: TRE NUOVE VARIANTI CEI SUI CAVI SMART MANUFACTURING IL BACKGROUND TECNOLOGICO E NORMATIVO DI INDUSTRIA 4.0 I CAPITOLATI TECNICI ANIE PER LE DOTAZIONI DEGLI “IMPIANTI A LIVELLI” CONSOLIDANO L’IMPIEGO DELLE NORME CEI LA VALUTAZIONE DEL RISCHIO RETINICO DA RADIAZIONE LASER PROGETTAZIONE ANTINCENDIO PER GLI IMPIANTI ELETTRICI STRUTTURE DI SUPPORTO PER IMPIANTI FOTOVOLTAICI L’IDROGENO COME VETTORE ENERGETICO SISTEMI DI ALLARME SONORO PER APPLICAZIONI DI EMERGENZA “PIANO IMPRESA 4.0” PUNTA SU INNOVAZIONE E COMPETENZE PROTEZIONE DEGLI IMPIANTI ELETTRICI BT CITTÀ E COMUNITÀ INTELLIGENTI E SOSTENIBILI: IL RUOLO DELLA NORMATIVA EUROPEA Confermato il ruolo del CEI quale organismo nazionale di normazione “ITS SCHOOL PROJECT”: il nuovo premio che vede gli studenti protagonisti PRODOTTI ELETTROTECNICI A PROVA DI FIAMMA DIVENTARE SOCI CEI NEL 2018: COME E PERCHÉ L’INNOVAZIONE TECNOLOGICA A BORDO TRENO L’EVOLUZIONE DEI SISTEMI DI MISURA DELL’ENERGIA NELL’ERA DELLA DIGITALIZZAZIONE PRIMO APPUNTAMENTO CON I SEMINARI CEI 2018 ECONOMIA CIRCOLARE PER LE IMPRESE DEL SETTORE ELETTRICO ED ELETTRONICO ESTERI NATURALI: COSA, COME E PERCHÈ IN ARRIVO I NUOVI SEMINARI DI FORMAZIONE GRATUITA 2018 LUCE SUL CRIMINE: NUOVA GUIDA CEI 34-161 ATMOSFERE ESPLOSIVE: IMPIANTI ELETTRICI SEMPRE PIÙ SICURI IMPIANTI TEMPORANEI, SICUREZZA PERMANENTE CEI: LA FORMAZIONE “A REGOLA D’ARTE” LOTTA ALLA CRIMINALITÀ: LA RISPOSTA NORMATIVA SICUREZZA ANTINCENDIO: PIÙ PREVENZIONE CON IL NUOVO CODICE DEI VIGILI DEL FUOCO COSTRUIRE LE “CITTÀ DEL FUTURO”: LE NORME CHIAVE DELL’EVOLUZIONE IL “TESORO DEGLI ITALIANI”: UN PATRIMONIO DA SALVAGUARDARE CONTATORI DI ENERGIA ELETTRICA DI SECONDA GENERAZIONE REGOLAMENTO PRODOTTI DA COSTRUZIONE (CPR) SICUREZZA DEGLI IMPIANTI ELETTRICI VARIANTE 1 ALLA GUIDA CEI 46-136 INTERVISTA A MARCO FONTANA (PRESIDENTE) E UMBERTO PARONI (SEGRETARIO) CEI/CT 20 LE NUOVE FRONTIERE DELL’ILLUMINAZIONE PREDISPOSIZIONE DEGLI IMPIANTI ELETTRICI IN RELAZIONE ALLE ESIGENZE UMANE Norma Italiana CEI 64-21 e utenze deboli: il videocitofono smart CLASSIFICAZIONE DEI SISTEMI DI AUTOMAZIONE DEGLI IMPIANTI TECNICI NEGLI EDIFICI NORME E ATTIVITÀ DEL COMITATO TECNICO CEI 44 LA PROTEZIONE DELLE PERSONE CON LE TECNOLOGIE FOTOELETTRICHE IMPIANTI A LIVELLI VARIANTE 3 ALLA NORMA CEI 64-8 CONFERENZA SULLA DIGITALIZZAZIONE INTERNAZIONALE ARRIVA LA NEWSLETTER DEI CORSI CEI ACCORDO ACCREDIA – CEI LA RICARICA DEI VEICOLI ELETTRICI: INTEROPERABILITÀ E SICUREZZA MEDICALE, INDUSTRIALE, DATA CENTER Soci CEI 2017 MISURE E UNITÀ DI MISURA NUOVA GUIDA TECNICA CEI 100-7 APPARECCHIATURA DI MANOVRA MT-AT E NORMATIVA CEI INTERVISTA A GIACOMO CORDIOLI, PRESIDENTE DEL CEI/CT 17 Primo Seminario di formazione gratuita CEI 2017 “Impianti elettrici. Prestazioni funzionali e di sicurezza” IL PIANO NAZIONALE INDUSTRIA 4.0 PER IL QUADRIENNIO 2017-2020 INTERVISTA A MARIO SILINGARDI, PRESIDENTE USCENTE CEI/SC 31J MEDICALE, INDUSTRIALE, DATA CENTER COME PROGETTARE UN DATA CENTER: DISPONIBILITÀ ED EFFICIENZA ENERGETICA PROSIEL ROADTOUR 2017: LA VOSTRA SICUREZZA È LA NOSTRA META RINNOVATO L’ACCORDO CHE RAFFORZA IL COMMERCIO GLOBALE E ALLARGA L’ACCESSO AI MERCATI CEI MAGAZINE: NASCE IL SITO DEDICATO IL FOTOVOLTAICO E LA NORMATIVA CEI Comitato Tecnico 82 CEI “Sistemi di conversione fotovoltaica dell’energia solare”