Industrial Cybersecurity
Industrial Cybersecurity: l'importanza della certificazione
Sommario
Perché il produttore deve certificare i prodotti secondo al IEC 62443
-Il fornitore consegna un prodotto o servizio che è completamente definito in ogni sua fase di sviluppo da documentazione dettagliata e certa;
- Il fornitore ha un personale tecnico formato e inquadrato secondo delle procedure che misurano le performance dei singoli secondo compiti e responsabilità;
- Il fornitore impiega tanto tempo a testare ciò che rilascia secondo un piano di test dettagliato e DOCUMENTATO. Non esiste il prodotto senza un bug, però se è stato testato in modo documentato e riproducibile si riesce a ricostruire perché il bug non è stato trovato in fase di collaudo e vengono aggiunti i test necessari per riscontrarlo nelle versioni successive.
Come nasce la famiglia IEC 62443
La famiglia nasce come lavoro di riorganizzazione complessiva di attività svolte da diversi comitati/community di esperti in ambito di cybersecurity
- Il comitato più famoso da cui deriva la norma è ISA 99.
62443-1 Concetti generali
- Il comitato ISA 99 ha in pratica riorganizzato secondo un modello sintattico tutto ciò che era stato scritto nella letteratura accademica sulla cyber security in generale e proiettandolo sul mondo dell'automazione industriale.
62443-2 Linee guida e procedure
- Riorganizza secondo i concetti di cyber security il modello CMMI-SVC, definito in CMMI® for Services, Versione 1.3.
62443-3 Sicurezza di Sistema e deriva dal lavoro fatto da ISA 99 che ha definito 3 sotto norme
- Parte 3-1: Tecnologie di sicurezza per i sistemi di automazione e controllo industriale (Rapporto tecnico, Edizione 1.0, luglio 2009);
- Parte 3-2: Valutazione del rischio di sicurezza per la progettazione del sistema (standard internazionale, edizione 1.0,
giugno 2020):
. ISA 99 si è ispirata alla norma IEC 61508 estendendo il concetto del rischio per la safety in termini di vite umane al concetto di rischio di attacco in termini di ripercussioni economiche;
- Parte 3-3: Requisiti di sicurezza del sistema e livelli di sicurezza (International Standard, Edition 1.0, August 2013) In questa parte sono descritti i requisiti tecnici per i sistemi ed i livelli di sicurezza.
62443-4 Sicurezza dei componenti o device
- Parte 4-1: Requisiti del ciclo di vita dello sviluppo prodotto sicuro (standard internazionale, edizione 1.0, gennaio 2018). La sezione 4-1 della IEC 62443 definisce come dovrebbe essere un processo di sviluppo prodotto sicuro. È suddiviso in otto aree ("Pratiche"):
- Gestione dello sviluppo;
- Definizione dei requisiti di sicurezza;
- Progettazione di soluzioni di sicurezza;
- Sviluppo sicuro;
- Test delle funzionalità di sicurezza;
- Gestione delle vulnerabilità di sicurezza;
- Creazione e pubblicazione di aggiornamenti e documentazione delle funzionalità di sicurezza.
62443-4 Sicurezza dei componenti o device
- Parte 4-2: Requisiti tecnici di sicurezza per i componenti IACS (International Standard, Edition 1.0, February 2019) Questa sezione definisce i requisiti tecnici per prodotti o componenti.
Quando non si passa la certificazione
Preparazione, metodo e pazienza
Cyber Security
Cyber Security è di fatto un processo che si muove attraverso una implementazione graduale e senza interruzioni che prende tutti gli aspetti dell'attività aziendale dal personale che opera allo hardware impiegato: non basta un firewall a proteggere dagli attacchi perché serve anche una cultura verso la cyber Security.
L'istruzione del personale in ambito Industrial Cyber Security può essere la soluzione di riduzione massima del rischio (ISO
27001):
- Ogni dipendente, dagli uffici alla produzione, gioca un ruolo importante nella cybersecurity;
- Le indicazioni sul modus operandi sono di vitale importanza pe rla salvaguardia dei dati aziendali.
Formazione e Certificazione delIa Competenza in Industrial Cyber Security (OT)
Investire nella Formazione e certificazione in ambito Industrial Cyber Security (OT)è fondamentale per poter assicurare un
servizio professionale ai clienti.
Vi sono Enti Certificatori, con accesso ad albi professionali riconosciuti a livello internazionale.
Video
MATURY LEVEL: IEC 62443-2-4 E IEC 62443-4-17
Matury Level
Cosa misura
MATURY LEVEL : IEC 62443-2-4 E IEC 62443-4-17
- Il concetto di Matury level è preso dal modello CMMI-SVC, definito in CMMI for Services, Versione 1.3
- I Matury Level sono 5
. Iniziale;
. Gestito;
. Definito;
. Gestito quantitativamente;
. Ottimizzazione.
Il Matury Level definisce il livello di gestione dei processi aziendali e del personale tecnico che sviluppa il prodotto o il servizio.
MATURITY LEVEL 1
A questo livello, corrispondono tutti quei processi aziendali che sono costruiti ad hoc e quindi considerati un po' caotici perché non ripetibili.
L'organizzazione di solito non fornisce un ambiente stabile per supportare i processi presi in esame.
Il successo dipende quindi dalla competenza e dall'eroismo delle persone che svolgono l'attività e non dall'applicazione di un processo.
Nonostante questa scarsa organizzazione, l'organizzazione con maturity level 1 fornisce servizi/prodotti che spesso funzionano sforando però il budget ed il piano di progetto definito dai timing del Gantt.
MATURITY LEVEL 4
Al maturity level 4, l'organizzazione stabilisce degli obiettivi quantitativi per misurare la qualità e le prestazioni di processo per utilizzarli come criteri nella gestione dei processi. Gli obiettivi quantitativi si basano sulle esigenze del cliente, utenti finali, delle organizzazioni e degli ingegneri di processo. La performance è calcolata acquisendo dati e definendo così un campionamento statistico. L'acquisizione dati avviene durante tutte fasi del processo.
La differenza fondamentale tra il maturity level 3 ed il maturity level 4 è la prevedibilità delle prestazioni di processo: quando si è di maturity level 4, la performance dei singoli processi è supervisionata utilizzando previsioni di tipo statistico e monitoraggio costante tramite rapporti che avvengono su campioni di misurazione degli eventi di processo individuati come punti cardine di verifica. La quantità di tali punti di verifica dipende dalla granularità che si vuole dare al monitoraggio.
Conclusioni
Che cosa fa l'OT Cybersecurity Expert?
Vantaggi della certificazione professionale
Distinguersi sul mercato OT e proporsi con competenze certificate.
Vantaggi del cliente finale
Affidarsi ad un Professionista Certificato e Iscritto ad un Albo Professionale.
Requisiti d'accesso all'esame e Modalità d'esame.
- Matteo Marconi
- MIMIT - Ministero delle Imprese e del Made in Italy