IEC 62443 vs ISO 21434

Reading time: 4 minuti - Difficulty: Advanced
Mentre la IEC 62443 è la norma che detta i requisiti per la cyber security dei sistemi di automazione e controllo industriale, lo standard ISO 21434 si rivolge al mercato dell’automotive. Vediamo i punti in comune e le differenze fra i due contesti in termini di sicurezza informatica.

IEC 62443: storia e requisiti per la Cybersecurity OT

IEC 62443 è lo standard internazionale per la sicurezza informatica dei sistemi di controllo industriale, ossia l’insieme di requisiti rivolti al mondo dell’automazione di fabbrica.

La norma nasce venti anni fa ad opera del comitato SP99, istituito da ISA, International Society Automation & Control. È stata in seguito revisionata e adottata da IEC, la Commissione Elettrotecnica Internazionale, da cui prende la denominazione originale ISA 99/IEC 62443; oggi conosciuta semplicemente come IEC 62443.
Lo standard prevede che il ciclo di vita dei sistemi di automazione e controllo industriale si snodi su tre fasi:

  • Assess
  • Implement
  • Maintain

L’intero ciclo di vita dei sistemi OT (Operational Technology, fra cui rientrano ad esempio sistemi DCS, SCADA, HMI, IIoT) comprende una prima fase di analisi del rischio e indagine delle vulnerabilità, suggerisce come muoversi nella fase di implementazione delle contromisure di cyber security, e suggerisce come mantenere nel tempo le prestazioni di sicurezza contro le minacce cyber.

ISO 21434: origine e ciclo di vita della sicurezza per l’Automotive

Lo standard ISO 21434 indica i requisiti per il sistema di gestione della sicurezza informatica per i veicoli smart di nuova omologazione.
Collegata al Regolamento n. 155 UNECE, la norma è opera della International Organization for Standardization (ISO) e della Society of Automotive Engineers (SAE); da qui la denominazione esatta ISO/SAE 21434 – Road Vehicles Cybersecurity Engineering.
La necessità di proteggere il mercato dell’automotive dagli attacchi cyber, come accade in molti altri contesti, nasce dal fatto che le violazioni a server, ad applicazioni di accesso remoto, o a sistemi di infotainment, sono in rapida crescita, con un impatto sulla sicurezza e sulle funzionalità dei veicoli, e, di conseguenza, sull’incolumità di cose o persone.
Il ciclo di vita, ai fini del sistema di gestione ISO 21434, evidenzia la centralità degli aspetti legati all’organizzazione per garantire la cyber security dei prodotti finali, seguendo lo schema riassunto qui sotto.

Do you want to contribute to our page?

Seguici su LinkedIN

Quando si applica la IEC 62443 vs ISO 21434

Come detto, la IEC 62443 si riferisce ai sistemi di automazione e controllo industriale, per la precisione IACS (Industrial Automation and Control System). Parliamo di Operational Technology, appunto tecnologie che si interfacciano con i processo operativi, fra cui i già citati dispositivi industriali come PLC, HMI e SCADA.
Rientrano invece nelle categorie di componenti presi in esame dalla ISO 21434:

  • Gateway
  • Sistemi di infotainment
  • Sensori
  • Videocamere
  • Sistemi di sicurezza
  • Sistemi di comunicazione in genere

Al contrario, si considerano parti dell’interfaccia, esterna al campo di applicazione dello standard:

  • Dispositivi di archiviazione esterna
  • Server di back-end
  • Sistemi di connettività
  • Applicazioni di diagnostica e manutenzione

In questo caso possono essere applicati standard diversi, di nuovo la IEC 62443, oppure la ISO 27001, oppure la NIST.