Convergenza Reti OT: come la IEC 62443 impatta sulla Cyber Security
Samuele Primiani - GFCC - Spin off Unige
Sommario
- Tipologie di Reti OT
- Quali rischi dobbiamo affrontare
- La Normativa IEC 62443
- Come essere conformi alla IEC 62443
La presentazione inizia con un illustrazione grafica delle:
- Reti omogenee
- Reti convergenti
- Gestione delle reti in un ambiente industriale
Quali sono i rischi per le Reti OT?
- Rischio di attacco Cyber
- Compromissione della Safety
- Integrità dei sistemi
- Confidenzialità e disponibilità dati e sistemi
A tal proposito interviene la Normativa IEC 62443
Lo standard prevede l'approccio di defense in depth e di security by design
Lo scopo è proteggere i dati. Se non riesco a proteggere i dati in quanto tali ho necessità di creare delle infrastrutture a salire che rendano più difficile l'accesso al dato.
Proteggo il dato e a salire:
- Il device
- La rete
- Perimetro fisico
- Policy e Procedure
Per essere protetti i dati devono essere CIA
- Confidenziali
- Integri
- Disponibili
La struttura della norma IEC 62443
Struttura:
Diviso in 4 sezioni
14 pubblicazioni previste
8 standard
6 technical report
Di cui 10 pubblicate
Definisce 3 ruoli:
-Asset owner
-System integrator
-Product developer
I settori coinvolti
I settori che al momento sono più sensibili all'applicazione della IEC 62443 sono:
- Settore Energia
- Settore Costruttori di Macchine
Settore Energia
Nelle ultime gare alcuni distributori di Energia Elettrica chiedono esplicitamente che i costruttori siano certificati, come sistema di gestione, secondo la IEC 62443-4-1 per il prodotto specifico.
Si ritiene che a breve verrà chiesto anche il requisito di certificazione IEC62443-4-2 per i dispositivi
Nella CEI 0-16 viene chiesto che tutti gli utenti attivi che si collegano in media ed alta tensione devono essere dotati di un componente di impianto chiamato CCI (Controllore Centrale di Impianto) e questo dispositivo oltre a funzionalità di tipo tecnico deve essere certificato secondo la IEC 62443-4-1 e la IEC 62443-4-2, oltre a certificare il profilo di sicurezza della comunicazione sovraimposto alla comunicazione IEC 61850.
La presenza del CCI è obbligatoria per tutti gli impianti collegati dopo il 01/12/2022 mentre quelli già in funzione a quella data dovranno adeguarsi entro il 01/01/2024.
Settore Costruttori Macchine
- Il nuovo Regolamento Macchine, che andrà a sostituire l'attuale Direttiva Macchina, si ritiene sarà operativo a partire dalla metà del 2024.
- Nel nuovo Regolamento viene chiesto esplicitamente che per poter essere marchiata CE come conforme al Regolamento si deve anche considerare una valutazione del rischio di attacco di cyber sulla macchina, inoltre tutte le parti di software e di comunicazione della macchina che hanno a che fare con la sicurezza funzionale devono essere protette anche dal punto di vista di Cyber Security.
Ovviamente il regolamento non può definire soluzioni tecniche o norme di riferimento perché negli anni possono cambiare, ma ad oggi l'unica famiglia di norme che si occupa di Security in ambito OT è la IEC 62443.
La presentazione continua con alcune slide incentrate sulla domanda: Come prepararsi alla norma IEC 62443?
- Reti omogenee
- Reti convergenti
- Gestione delle reti in un ambiente industriale
Quali sono i rischi per le Reti OT?
- Rischio di attacco Cyber
- Compromissione della Safety
- Integrità dei sistemi
- Confidenzialità e disponibilità dati e sistemi
A tal proposito interviene la Normativa IEC 62443
Lo standard prevede l'approccio di defense in depth e di security by design
Lo scopo è proteggere i dati. Se non riesco a proteggere i dati in quanto tali ho necessità di creare delle infrastrutture a salire che rendano più difficile l'accesso al dato.
Proteggo il dato e a salire:
- Il device
- La rete
- Perimetro fisico
- Policy e Procedure
Per essere protetti i dati devono essere CIA
- Confidenziali
- Integri
- Disponibili
La struttura della norma IEC 62443
Struttura:
Diviso in 4 sezioni
14 pubblicazioni previste
8 standard
6 technical report
Di cui 10 pubblicate
Definisce 3 ruoli:
-Asset owner
-System integrator
-Product developer
I settori coinvolti
I settori che al momento sono più sensibili all'applicazione della IEC 62443 sono:
- Settore Energia
- Settore Costruttori di Macchine
Settore Energia
Nelle ultime gare alcuni distributori di Energia Elettrica chiedono esplicitamente che i costruttori siano certificati, come sistema di gestione, secondo la IEC 62443-4-1 per il prodotto specifico.
Si ritiene che a breve verrà chiesto anche il requisito di certificazione IEC62443-4-2 per i dispositivi
Nella CEI 0-16 viene chiesto che tutti gli utenti attivi che si collegano in media ed alta tensione devono essere dotati di un componente di impianto chiamato CCI (Controllore Centrale di Impianto) e questo dispositivo oltre a funzionalità di tipo tecnico deve essere certificato secondo la IEC 62443-4-1 e la IEC 62443-4-2, oltre a certificare il profilo di sicurezza della comunicazione sovraimposto alla comunicazione IEC 61850.
La presenza del CCI è obbligatoria per tutti gli impianti collegati dopo il 01/12/2022 mentre quelli già in funzione a quella data dovranno adeguarsi entro il 01/01/2024.
Settore Costruttori Macchine
- Il nuovo Regolamento Macchine, che andrà a sostituire l'attuale Direttiva Macchina, si ritiene sarà operativo a partire dalla metà del 2024.
- Nel nuovo Regolamento viene chiesto esplicitamente che per poter essere marchiata CE come conforme al Regolamento si deve anche considerare una valutazione del rischio di attacco di cyber sulla macchina, inoltre tutte le parti di software e di comunicazione della macchina che hanno a che fare con la sicurezza funzionale devono essere protette anche dal punto di vista di Cyber Security.
Ovviamente il regolamento non può definire soluzioni tecniche o norme di riferimento perché negli anni possono cambiare, ma ad oggi l'unica famiglia di norme che si occupa di Security in ambito OT è la IEC 62443.
La presentazione continua con alcune slide incentrate sulla domanda: Come prepararsi alla norma IEC 62443?
Video
Leggi tutto
Fonte: mcT Cyber Security novembre 2022 Industrial Cyber security e 4.0: dalla convergenza OT / IT alle soluzioni per le infrastrutture critiche
Settori: Automazione industriale, Cyber Security, Industria 4.0, Normativa Tecnica, Sicurezza industriale
Mercati: Sicurezza industriale
- Matteo Marconi