contact-support

Sportello Innovazione: Cybersecurity e IEC 62443

La cybersecurity è un tema che sta riscuotendo sempre maggiore interesse in tutti i settori. Quello che sta sicuramente succedendo è che la tematica security si sta sempre più spostando verso la parte legata alla produzione.
Questo ha portato anche alla nascita di uno standard, IEC 62443, che ha come scopo quello di garantire la security per le applicazioni legate all’automazione industriale.

Approfondisci il tema e consulta le nostre FAQ, utili a rispondere ai tuoi dubbi e alle tue necessità.

Image
micaela caserza magro cybersecurity bureau veritas

L'esperto risponde

Micaela Caserza Magro

Industrial Security Expert

Key Concepts:
Cybersecurity • IEC 62443 • OT - Operational Technology • Interconnessione • Industrial Cybersecurity

Grazie alle definizioni e all’approccio definito nella IEC 62443, è possibile avere le linee guida per implementare la security anche a livello di produzionesupervisione.
L’approccio della IEC 62443 prende le mosse dalle procedure e dai metodi definiti nella ISO 27001 e li rende applicabili al settore.
Il processo di security comprende diverse fasi:
- valutazione del rischio
- implementazione di policies e procedure
- monitoraggio continuo della rete
- diagnostica della rete e degli apparati
- assessment in campo

La prima fase consiste nella valutazione del rischio, andando a stabilire quali siano le minacce e le vulnerabilità del sistema e sulla base di quello ottenere il rischio che si deve affrontare per eventuali problematiche.
Sulla base del rischio, poi, è possibile procedere a stabilire quali siano le contromisure da implementare e come poter verificare che le misure implementate siano efficaci per lo scopo.
Quello che è importante sottolineare è che con le aziende sempre più interconnesse e sempre più 4.0, i rischi per la security dell’OT sono aumentati e per questo è necessario implementare un processo continuo che permetta di verificare la security.
Nel processo verso la security, così come definito anche nella IEC 62443, il primo passo è proprio rappresentato dalla corretta progettazione delle reti di comunicazioni OT e dal loro monitoraggio e diagnostica. Su queste basi, poi, è possibile procedere ad implementare i sistemi di protezione.
La soluzione, quindi, non è quella di decidere di rimanere scollegati, ma quella di prendere coscienza di quale sia il rischio reale per la propria azienda e iniziare ad implementare il proprio processo di security.

Rimanere scollegati o offline non è la soluzione, sia perché non è un aspetto realistico in termini di produttività e competitività dell’azienda, sia perché molte delle vulnerabilità possono essere portate anche da apparecchi locali, come chiavette USB, telefoni cellulari, computer portatili, e sia perché nell’ottica della IEC 62443 le minacce e le conseguenti possibili vulnerabilità sono legate anche agli operatori e ad errori accidentali.
È importante, pertanto, iniziare il processo di protezione di security e di essere accompagnati in questo percorso da persone che siano in grado di valutare e definire le strategie per rispondere al meglio alle esigenze peculiari di ogni azienda.

  • Il processo della security secondo la IEC 62443 sembra essere complesso e legato soltanto all'implementazione di procedure. È vero?

    La IEC 62443 ha un approccio a tutto tondo: parte dalle policy e dalle procedure e poi entra nel dettaglio di come dover fisicamente implementare i requisiti di sicurezza. Ѐ interessante notare che la IEC 62443 mette al centro come ruolo cruciale per la sicurezza delle reti OT la progettazione, cosa che oggi risulta a volte sottovalutata.
    Si passa poi all'implementazione di firewall e metodologie di autenticazione e accesso ai dati. La IEC 62443 permette di creare un metodo e un approccio sistematico per rendere sempre più sicuro il proprio sistema OT, pur lasciando la libertà e la possibilità di produrre secondo le esigenze della singola azienda.

  • Quali possono essere i passi per iniziare ad aumentare la security del mio impianto?

    I primi passi per iniziare ad implementare la security nella propria rete sono l'identificazione di tutti i dispositivi presenti nella rete (MAC, indirizzo IP, funzione, etc) e l'identificazione della topologia della rete.
    Tutti questi passaggi sono realizzati in modo automatico così da avere una visione di insieme della situazione da cui si parte.
    A questo punto è necessario verificare la correttezza della rete in termini di design e di segmentazione.
    A valle del rilievo sarà necessario verificare o eseguire i seguenti passi:
    - segmentare la rete secondo le logiche funzionali di impianto;
    - identificare i conduit tra le diverse aree in cui è stata suddivisa la rete;
    - proteggere in modo adeguato questi conduits.
    Parallelamente è necessario procedere con una valutazione dei rischi e pertanto identificare le possibili minacce e vulnerabilità. Anche la fase di ricerca di quelle che sono le vulnerabilità deve necessariamente prendere le mosse da ciò che risulta installato in campo. Una volta noto il rischio, è possibile definire il livello di sicurezza (SL) che si vuole ottenere e procedere alla implementazione dei requisiti definiti dallo standard.

  • Quali sono le principali cause che rendono il mio sistema OT poco sicuro?

    Possiamo dire che le principali vulnerabilità, perché si parla di vulnerabilità in questo caso, sono le seguenti:

    - Scarsa formazione: la formazione del personale è fondamentale, serve a rendere consapevoli del rischio e delle misure che è necessario intraprendere per poter garantire la sicurezza;
    - Scarsa segmentazione della rete: molto spesso i concetti legati alla segmentazione e alla protezione dei conduits di collegamento tra le diverse zone sono poco noti. Questo potrebbe portare a non poter mitigare, contenere e limitare la propagazione degli incidenti solamente in alcune zone, ma correre il rischio di propagarli all’intero impianto;
    - Scarsa verifica e auditing delle zone di protezione tra le diverse zone dell’azienda. In particolare, tra il mondo OT e il mondo IT, dev'essere implementata una DMZ - o comunque una protezione - che permetta di separare e regolamentare i flussi di dati tra i due livelli aziendali. Spesso questa separazione non viene verificata, controllata, testata e aggiornata nel tempo. Questo può rappresentare un problema in quanto nel tempo le esigenze e le prestazioni del sistema di DMZ possono modificarsi, facendo quindi risultare che il sistema originale non sia più efficace;
    - Scarsa attenzione alla gestione e alle policies legate alle password. Sui sistemi legati alla produzione e relativi all’automazione, spesso, non si mettono in pratica le regole relative alle modifiche delle password, alla differenziazione di queste. Password non aggiornate o deboli e condivisione delle password rappresentano due dei principali punti deboli per poter accedere al sistema e conseguentemente poter infettare il sistema se si hanno cattive intenzioni.

HAI BISOGNO DI ULTERIORI INFORMAZIONI?

Compila il form per inoltrare la tua richiesta, sarai presto ricontattato dai nostri esperti.