Con l’uso crescente delle connessioni, aumentano anche i problemi di sicurezza nell'industria. Lo standard IEC 62443 viene in aiuto garantendo la sicurezza degli impianti industriali e l’integrità dei dati.
Oggi i processi industriali devono raggiungere crescenti obiettivi di produttività e di efficienza. Spesso è richiesto anche che il monitoraggio e il controllo siano distribuiti in diversi siti (si pensi ad esempio alle reti di distribuzione del gas, della rete idrica o dell’energia elettrica). Per queste ragioni, nel contesto di fabbrica OT (Operational Technologies) si fa sempre più uso di strumenti informatici interconnessi. Ma questo significa che i processi produttivi possono essere pericolosamente modificati o interrotti con cyberattacchi.
Se in ambito IT ci si preoccupa della cosiddetta triade della sicurezza informatica (CIA: Confidentiality, Integrity e Availability), nel perimetro OT si dà priorità al concetto di SRP, ovvero Safety, Reliability e Productivity.
Da un lato la cybersecurity in area IT rende più difficile l’accesso non autorizzato ai sistemi di controllo industriale. Di converso la cybersecurity in ambito IACS (Industrial Automation Control Systems)/OT serve a rendere più sicuro l’ambiente di lavoro industriale e a neutralizzare eventuali tentativi di hacking (malware, DDoS, Man-in-the-Middle ecc.).
In quest’ambito la norma IEC 62443 è diversa dalle altre relative alla sicurezza informatica, in quanto definisce requisiti per tutte le parti coinvolte, inclusi i fornitori di tecnologie, i system integrator e gli operatori di rete.
Ciò significa che i dipartimenti IT e OT di un’azienda devono trovare il modo di collaborare anche sotto la spinta dello standard IEC 62443. Questa serie di norme persegue numerosi obiettivi: aiutare le industrie a gestire il rischio cyber, preservare la sicurezza e la salute delle persone, tutelare l’ambiente, evitare alle aziende perdite economiche e danni d’immagine, impedire il furto di informazioni riservate.
Le norme IEC 62443 vanno oltre la mera protezione perimetrale in quanto sottolineano l’importanza di applicare un modello di difesa in profondità (defense in depth) abbinato a delle soluzioni di detection in depth e di rendere la rete più sicura già in fase di progettazione (security by design). Obiettivo dello standard è garantire la “safety” dell’impianto, insieme alla confidenzialità, disponibilità ed integrità dei dati che vengono utilizzati nello stesso, in un quadro dove sono descritti quattro livelli di sicurezza (Security Level), di complessità crescente.
L’impatto delle IEC 62443
Non è sufficiente installare un firewall per sentirsi sicuri, ma è necessario lavorare su vari strati (layers) che coinvolgono le persone, le policy e la tecnologia. Una buona difesa in profondità prevede policy e procedure idonee, accessi sicuri tramite VPN, zone demilitarizzate (DMZ), account management, role-based access control ecc.
È anche importante installare dei sistemi che permettano di rilevare eventi e attività anomale come protocolli inusuali, traffico anomalo per tipologia, volume o perché diretto verso indirizzi IP o MAC insoliti, apparati nuovi o mancanti, aggiornamenti mancanti. A questo riguardo sono diverse le aziende che hanno sviluppato soluzioni innovative, basate su tecniche di machine learning e behavior analysis, che permettono di rilevare eventuali anomalie specifiche per il mondo IACS.
Tenendo presente l’importanza di considerare la sicurezza della rete già in fase di progettazione, gli standard IEC 62443 evidenziano anche il concetto di “Zones & Conduits”. Per “zone” si intende un gruppo di asset logici o fisici accomunati dai medesimi requisiti di sicurezza. Per “conduit” si intende invece il gruppo di asset su cui transitano le comunicazioni tra “zone”. In questo scenario la norma IEC 62443-4-2 regola la conformità tecnica agli standard di sicurezza informatica dei singoli endpoint quali PLC, sensori, attuatori e altri dispositivi, la IEC 62443-3 definisce i requisiti tecnici per la sicurezza nelle sottostazioni elettriche e la IEC 62443-4 definisce le procedure di sicurezza e il processo di ingegnerizzazione.
L’implementazione della IEC 62443 può comportare un aumento della complessità degli impianti industriali e del relativo costo di esercizio. Non va sottovalutato, tuttavia, il grande vantaggio di mitigare i rischi legati a manomissioni e danni accidentali o intenzionali. Se nell’IT la tematica di sicurezza ha ormai un ruolo centrale nella progettazione e nella conduzione dei sistemi informativi, nel mondo OT non c’è ancora la stessa consapevolezza.
Quest’ultimo paga infatti una digitalizzazione più recente dove le esigenze di sicurezza informatica degli asset industriali e delle relative reti di connessione sono state in parte sottostimate. Del resto, il mondo OT è abituato a parlare di sicurezza in termini di “safety” più che di cybersecurity. Insomma, se fare sicurezza in fabbrica fino a oggi voleva dire evitare gli infortuni sul lavoro, con la diffusione esponenziale delle nuove tecnologie digitali e del modello Industria 4.0 non è più possibile evitare il tema della sicurezza informatica industriale.
