L’implementazione della cyber security non riguarda unicamente la definizione e configurazione di soluzioni tecnologiche, ma può essere vista come un sistema complesso che prevede l’interazione tra elementi diversi ma cooperanti tra di loro: il sistema di gestione aziendale, le persone e la tecnologia disponibile.

Soltanto se la tecnologia è al servizio delle persone e dei processi lavorativi è possibile garantire la sicurezza funzionale, l’integrità, l’affidabilità e la security dei sistemi di controllo e di conseguenza dei processi sottesi a questi ultimi. Questo assunto viene definito in modo chiaro nella parte generale della IEC, in particolare nella IEC 62443-1-1 in cui vengono definiti i confini di applicazione dell’impianto normativo e quali siano gli obiettivi specifici che vengono perseguiti.

Nell’ottica della definizione dei processi e dei sistemi di gestione aziendali la IEC 62443 definisce che deve essere realizzato un security program che rappresenta l’esplicitazione e l’implementazione di un sistema di gestione della sicurezza cyber (CSMS – Cyber Security Management System). Il security program, come definito nella IEC 624432-1, consiste nell’implementazione e manutenzione di quanto concorre alla riduzione di un rischio di tipo cyber in un IACS (Industrial Automation Control System) e quindi nella gestione e manutenzione della formazione ed informazione del personale, delle policies e procedure e delle soluzioni tecnologiche implementate.

Altro punto cardine definito nella IEC 62443 è il periodo che deve essere preso in considerazione per la security; inoltre, è stato chiaramente identificato che il security program riguarda tutto l’intero ciclo di vita del prodotto/sistema/processo. Pertanto, la cyber security deve abbracciare l’intero ciclo di vita di un prodotto/sistema e questo porta alla definizione di tre differenti cicli di vita che tra di loro sono strettamente interconnessi e che coinvolgono figure professionali ed aziende diverse, che all’interno della IEC 62443 sono definiti come ruoli (asset owner, service provider e manufacturer).

Più in dettaglio:

Manufacturer è l’azienda ed il personale dell’azienda che ha in carico la progettazione, implementazione, realizzazione di un componente hardware o software che verrà installato ed entrerà in funzione in un sistema IACS

Asset owner è l’azienda ed il suo personale che gestisce ed è proprietario di un IACS

Service provider è l’azienda ed il suo personale che offre servizi all’asset owner sul IEACS, quali messa in servizio, implementazione, manutenzione e diagnostica del IACS.

Figura 1: Ruoli e funzioni demandate ai diversi ruoli per un IACS

Definiti i ruoli e definito che la security riguarda l’intero ciclo di vita è possibile identificare tre diversi cicli di vita che sono di competenza dei diversi ruoli citati:

Ciclo di vita legato agli aspetti relativi allo sviluppo di prodotti e di tecnologia che parte dalla fase di progettazione fino allo smaltimento sicuro passando attraverso lo sviluppo ed il test. Questa fase è in carico ai manufacturer ed i requisiti del security program sono specificati nella IEC 62443-4-1

A questo punto entra in scena il ruolo del service provider che concorre alla fase del ciclo di vita relativo alla messa in servizio e successivamente alla parte relativa alla manutenzione, agli upgrade ed alla gestione delle patch di sicurezza che si rendessero necessarie. I requisiti per il security program relativo a questa fase e quindi in carico al service provider sono contenuti nella IEC 61443-2-4

La terza ed ultima fase del ciclo di vita è rappresentata dalla conduzione e manutentzione dell’intero IACS da parte dell’asset owner. I requisiti per il security program dell’asset owner sono riportati nella IEC 62443-2-1

Prendendo in considerazione i contenuti richiesti per ogni security program e per ogni CSMS si parte dalla definizione di quanto richiesto al manufacturer per la definizione di uno sviluppo sicuro di prodotto, dove con prodotto si intendono:

Software

Dispositivi embedded

Host

Componenti infrastrutturali di rete

Un insieme degli elementi precedentemente definiti che dovrà essere inserito all’interno di un altro sistema per il corretto funzionamento

La norma di riferimento è la “Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements”. Questa definisce i requisiti di Sistema per avere lo sviluppo sicuro di prodotto da usarsi per un IACS .

Le fasi che compongono il ciclo di vita di un prodotto sono le seguenti:

Definizione dei requisiti di sicurezza

Progettazione sicura

Implementazione sicura, incluso secure coding

Verifica e validazione

Gestione dei difetti

Gestione delle patch

Fine vita del prodotto

Per ciascuna di queste fasi vengono definite le caratteristiche che devono essere implementate e conseguentemente quali siano i processi, le procedure e le verifiche da portare a termine per poter considerare conclusa in modo sicuro una delle fasi del ciclo di vita del dispositivo.

I requisiti si suddividono per il laboratorio e per il singolo prodotto sviluppato:

Laboratorio è l’insieme delle persone, strutture ed attrezzature impiegate per lo sviluppo di un prodotto. Questo rappresenta il contesto di sviluppo di tutti i prodotti che si realizzeranno e le procedure implementate sono comuni a tutti i prodotti che vengono realizzati all’interno del contesto aziendale definito

Prodotto è il singolo dispositivo; vengono qui descritti i processi che devono essere applicati e documentati per lo specifico prodotto.

Figura 2: Rappresentazione del contenuto della IEC 62443-4-1

La norma IEC 62443-4-1 definisce i requisiti organizzati in otto pratiche, che rappresentano le fasi e gli elementi che devono essere considerati per arrivare ad integrare la sicurezza nel ciclo di vita di sviluppo di un dispositivo e quindi ottenere un ciclo di vita sicuro o secure lifecycle. Per ciascuna pratica vengono definiti, poi, i requisiti da implementare per soddisfare la specifica pratica.

Passando ai requisiti del CSMS per i service provider, la norma di riferimento è la “Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers” ed anche in questo caso la struttura prevede diverse parti e caratteristiche che devono essere soddisfatte per poter definire i processi che devono essere individuati e valutati per l’intero processo e fase del ciclo di vita gestito in modo sicuro.

Gli elementi che vengono valutati, in questo caso, prevedono degli argomenti specifici che devono poter essere gestiti e conosciuti dai service provider, e vengono definiti come “topic”. In totale sono definiti 12 topic. I topic sono a loro volta dettagliati in “sub topic” che consentono di organizzare le competenze e le conoscenze più in dettaglio.

Figura 3: Definizione dei 12 topic della IEC 62443-2-4

La documentazione del sistema di gestione dovrà essere organizzata e suddivisa secondo le diverse functional areas, che rappresentano le aree funzionali aziendali coinvolte nella definizione di policy e procedure. All’intero delle diverse functional areas vi saranno diversi topic da implementare e gestire.

Figura 4: Elenco delle functional areas coinvolte

Dall’analisi delle functional areas coinvolte emerge chiaro come siano presenti le tre componenti che concorrono alla security: personale (solution staffing), procedure (configuration management, event management, account management, patch management) e soluzioni tecniche e tecnologiche (architecture, wireless, SIS, remote access, malware protection, backup/restore).

L’ultimo tassello della gestione efficace della sicurezza riguarda quanto deve essere implementato a livello di CSMS da parte dell’asset owner. Anche in questo caso, come per gli altri due ruoli visti in precedenza, la definizione delle procedure prevede diverse fasi e coinvolge procedure, personale e soluzioni tecnologiche.

Rispetto agli elementi, nella gestione della sicurezza da parte dell’asset owner diventa cruciale e nevralgico come elemento di input dell’intero sistema di gestione della security la valutazione del rischio. In questo caso soltanto l’asset owner è in grado di valutare il rischio cyber a cui il proprio IACS è esposto e conseguentemente solo a valle della definizione del rischio è possibile andare a definire il sistema di security e conseguentemente andare a modellare l’intero sistema di gestione.

Figura 5: Elementi di un CSMS

Si vede come l’analisi del rischio vada a definire la struttura e la personalizzazione dei tre elementi che compongono il CSMS:

Policy, procedure e consapevolezza che definiscono la struttura base su cui si deve fondare la security dell’azienda:

Organizzazione per la sicurezza: ruoli, responsabilità e definizione dei compiti a livello di organigramma aziendale

Consapevolezza della security e programma di formazione del personale

Piano per la gestione della business continuity e dedizione degli elementi critici che devono essere salvaguardati in caso di attacco

Definizione del piano di sicurezza e sue procedure correlate, per poter conoscere che cosa sia necessario fare per ogni eventualità che viene a trovarsi e quali siano i comportamenti e le gestioni corrette da tenere in azienda al fine di contenere il rischio di tipo cyber

Definizione delle contromisure di sicurezza, qui vengono definite le soluzioni necessarie per gestire la sicurezza e quindi poter realizzare quanto richiesto dalla valutazione del rischio: che ogni evento abbia un rischio associato inferiore al rischio accettabile grazie all’implementazione di contromisure di sicurezza.

Sicurezza del personale: la scelta e la definizione del personale la cui responsabilità sia quella di esercire il sistema in modo sicuro

Sicurezza fisica ed ambientale, fare in modo che l’accesso fisico al sistema sia limitato unicamente alle persone che siano in grado di gestirlo e manutenerlo in modo sicuro

Segmentazione della rete, cioè andare a creare delle sottoreti che condividano il rischio di tipo cyber e renderle isolate dalle altre, così che in caso di attacco non vada persa l’intera rete ma solo una parte

Gestione degli accessi al sistema per gli operatori e quindi gestirne le autenticazioni e le autorizzazioni sulla base delle reali mansioni ed attività che il personale deve poter svolgere con il sistema.

Implementazione del sistema di gestione della security, in questa parte vengono definite le metodologie per poter implementare nel sistema quanto proveniente dall’analisi dei rischi e definito in modo puntuale nella parte della definizione delle contromisure.

Hai bisogno di maggiori informazioni? Contattaci!

GFCC (Genoa Fieldbus Competence Centre) Srl

Sede Legale:

Via Cesarea 2 - 16, 16121 GENOVA (GE)


Sede Tecnica:

Supporto Tecnico, R & D, Laboratorio, Aule Corsi

Via Greto di Cornigliano 6R 16152 GENOVA (GE)


Telefono (Supporto Tecnico):

010 860 2580

Telefono (Sales & Marketing):

010 860 2590

Fax: 010 656 3233

Email: info@gfcc.it