Sportello Innovazione: Cybersecurity e IEC 62443

La IEC 62443 ha un approccio a tutto tondo: parte dalle policy e dalle procedure e poi entra nel dettaglio di come dover fisicamente implementare i requisiti di sicurezza. Ѐ interessante notare che la IEC 62443 mette al centro come ruolo cruciale per la sicurezza delle reti OT la progettazione, cosa che oggi risulta a volte sottovalutata.
Si passa poi all'implementazione di firewall e metodologie di autenticazione e accesso ai dati. La IEC 62443 permette di creare un metodo e un approccio sistematico per rendere sempre più sicuro il proprio sistema OT, pur lasciando la libertà e la possibilità di produrre secondo le esigenze della singola azienda.

I primi passi per iniziare ad implementare la security nella propria rete sono l'identificazione di tutti i dispositivi presenti nella rete (MAC, indirizzo IP, funzione, etc) e l'identificazione della topologia della rete.
Tutti questi passaggi sono realizzati in modo automatico così da avere una visione di insieme della situazione da cui si parte.
A questo punto è necessario verificare la correttezza della rete in termini di design e di segmentazione.
A valle del rilievo sarà necessario verificare o eseguire i seguenti passi:
- segmentare la rete secondo le logiche funzionali di impianto;
- identificare i conduit tra le diverse aree in cui è stata suddivisa la rete;
- proteggere in modo adeguato questi conduits.
Parallelamente è necessario procedere con una valutazione dei rischi e pertanto identificare le possibili minacce e vulnerabilità. Anche la fase di ricerca di quelle che sono le vulnerabilità deve necessariamente prendere le mosse da ciò che risulta installato in campo. Una volta noto il rischio, è possibile definire il livello di sicurezza (SL) che si vuole ottenere e procedere alla implementazione dei requisiti definiti dallo standard.

Possiamo dire che le principali vulnerabilità, perché si parla di vulnerabilità in questo caso, sono le seguenti:

- Scarsa formazione: la formazione del personale è fondamentale, serve a rendere consapevoli del rischio e delle misure che è necessario intraprendere per poter garantire la sicurezza;
- Scarsa segmentazione della rete: molto spesso i concetti legati alla segmentazione e alla protezione dei conduits di collegamento tra le diverse zone sono poco noti. Questo potrebbe portare a non poter mitigare, contenere e limitare la propagazione degli incidenti solamente in alcune zone, ma correre il rischio di propagarli all’intero impianto;
- Scarsa verifica e auditing delle zone di protezione tra le diverse zone dell’azienda. In particolare, tra il mondo OT e il mondo IT, dev'essere implementata una DMZ - o comunque una protezione - che permetta di separare e regolamentare i flussi di dati tra i due livelli aziendali. Spesso questa separazione non viene verificata, controllata, testata e aggiornata nel tempo. Questo può rappresentare un problema in quanto nel tempo le esigenze e le prestazioni del sistema di DMZ possono modificarsi, facendo quindi risultare che il sistema originale non sia più efficace;
- Scarsa attenzione alla gestione e alle policies legate alle password. Sui sistemi legati alla produzione e relativi all’automazione, spesso, non si mettono in pratica le regole relative alle modifiche delle password, alla differenziazione di queste. Password non aggiornate o deboli e condivisione delle password rappresentano due dei principali punti deboli per poter accedere al sistema e conseguentemente poter infettare il sistema se si hanno cattive intenzioni.