Cos’è la Industrial Cyber Security (IEC 62443)?

Reading time: 4 minuti - Difficulty: medio
La Industrial Cyber Security è la parte della security complessiva di un sistema di automazione e controllo industriale (IACS) che dipende dal ciclo di vita di sviluppo della sicurezza utilizzato dai costruttori di component e sistemi, i cui i prodotti includono sistemi DCS e SCADA e componenti come dispositivi e software.

A cosa ambisce lo standard IEC per la sicurezza informatica

L’IEC 62443 è lo standard internazionale per la sicurezza dei sistemi di controllo industriale. Questo standard è quindi l’unica vera soluzione di Cyber Security orientata al mondo dell’automazione di fabbrica.

La norma nasce quasi venti anni fa ad opera di un gruppo di volontari dell’industria facenti parte del comitato SP99, istituito da ISA, International Society Automation & Control. È stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale; da qui la denominazione originale ISA 99/IEC 62443.

L’applicazione di questo standard è attualmente facoltativa per il fabbricante; tuttavia l’adozione della norma IEC 62443 rende i sistemi di controllo industriale immuni dalle minacce cyber, quali guasto degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto.

Lo standard internazionale nasce quindi per proteggere l’Industria 4.0, rendendo sicura ed affidabile la condivisione dei dati dall’interno verso l’esterno e viceversa.

 

Il Cyber Security Lifecycle secondo i requisiti IEC

Per approfondire lo standard IEC 62443, chiariamo la terminologia:

IACS: letteralmente Industrial Automation Control System. Uno IACS è un sistema di controllo di automazione industriale, anche chiamato ICS, Industrial Control System. In un significato più ampio IACS è sinonimo di OT (Operational Technology), in quanto tecnologia che si interfaccia con un processo operativo. In questo senso, il termine è utilizzato per distinguere uno IACS dai device IT, volti alla sola ricezione e trasmissione di informazioni. Esempi di IACS sono quindi i dispositivi industriali come PLC, HMI e SCADA.

IACS Security Lifecycle: è il ciclo di vita della sicurezza, ossia l’insieme delle fasi che è necessario percorrere affinché la protezione degli IACS sia conforme con quanto stabilito dallo standard IEC. Le fasi del ciclo di vita della sicurezza di uno IACS sono Assess, fase di analisi, Implement, fase di implementazione, ed infine, Maintain, fase di mantenimento.

CSMS: è il Cyber Security Management System, ossia il Sistema di Gestione della Sicurezza Informatica che rappresenta l’insieme delle pratiche e delle azioni mirate a identificare i rischi informatici e definire la strategia di contrasto.

 

IACS Security Lifecycle

iec 62443 lifecycle

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Lo standard internazionale IEC 62443 copre tutte le fasi del ciclo di vita previsto dagli IACS, partendo dalla fase di analisi e indagine delle vulnerabilità, fino al mantenimento nel tempo delle prestazioni di sicurezza contro le minacce cyber.

 

Approfondimento consigliato:

 

La fase di analisi (Assess) si compone di attività legate all’individuazione dei rischi ad alto livello, analisi delle vulnerabilità e dei rischi a basso livello, per finire con l’allocazione dei requisiti minimi di sicurezza informatica stabiliti per ciascun componente del sistema IACS.

Assess

1. Risk Assessment

2. Vulnerability Assessment

3. Penetration Test

4. Threat Modeling

5. Security Level Allocation

 

È durante la fase di implementazione (Implement) che l’azienda che desidera proteggersi dagli attacchi cyber, deve strutturare l’intero CSMS, Sistema di Gestione della Sicurezza Informatica, adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di conseguenza, i propri sistemi industriali.

Implement

1. Defence Strategy

2. CSMS

3. Security Level verification

 

La Cyber Security OT è un processo che necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento (Maintain) del livello di sicurezza degli impianti industriali. Solo così il flusso di dati condivisibili verso l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze disastrose per le aziende.

Maintain

1. Auditing

2. Follow up

 

Vuoi saperne di più sulla Industrial Cyber Security?

Introduzione alla norma ISO 26262

Applicazione dello standard ISO 26262 Lo standard ISO 26262 copre l’implementazione della sicurezza funzionale attraverso sistemi elettrici e/o elettronici (E/E) e presenta un ciclo di vita specifico per i componenti utilizzati nel settore automobilistico. Pertanto, fornisce un riferimento per il ciclo di vita della sicurezza dei veicoli e supporta l’adattamento delle attività da svolgere durante […]

Read more
Byhon Logo bianco

Iscriviti alla nostra newsletter per restare aggiornato
su news e eventi di Functional Safety e
Industrial Cyber Security

ISCRIVITI
close-link
Send this to a friend