1 107 Table of Contents 109 118

AO_450

Tutorial AUTOMAZIONE OGGI 108 | NOVEMBRE-DICEMBRE 2023 AUTOMAZIONE OGGI 450 tazione del rischio, ciclo di vita dello sviluppo della sicurezza, requisiti fondamentali, livello di sicurezza, modello di maturità e principi di progettazione. − La Parte 2-1 delle norme definisce i requisiti del programma di sicurezza per la gestione di personale, procedure e capacità tecnologi- che allo scopo di ridurre il rischio di cyberse- curity in un sistema Iacs; questo programma copre l’intero ciclo di vita del sistema. − La Parte 3-2 descrive i requisiti per il pro- cesso di valutazione del rischio in un sistema Iacs senza specificare l’esatta metodologia da utilizzare, e includendo la suddivisione del sistema in zone e conduit separati, con l’obiettivo di identificare gli asset che con- dividono caratteristiche di sicurezza comuni per determinare una serie di requisiti atti a ridurre i rischi di cybersecurity. − Una zona èdefinita comeun raggruppamento di asset logici o fisici in base al rischio o ad altri criteri quali la criticità degli asset, la funzione operativa, l’ubicazione fisica o logica, l’accesso richiesto o l’organizzazione responsabile. − Un conduit è definito come un raggruppa- mento logico di canali di comunicazione che condividono requisiti di sicurezza comuni e collegano due o più zone. In pratica si sud- divide il sistema separando gli asset appar- tenenti ai sistemi aziendali e di controllo, gli asset di sicurezza, i dispositivi con connes- sione temporanea, i dispositivi wireless e i dispositivi connessi tramite reti esterne. − La Parte 4-1 della norma descrive i requisiti per il ciclo di vita dello sviluppo della sicu- rezza dei sistemi di controllo e dei compo- nenti. Il processo fondamentale di questa fase è la modellazione delle minacce, una procedura sistematica per identificare flussi di dati, trust boundary o ‘confini di fiducia’, vettori di attacco e potenziali minacce al si- stema di controllo. I problemi di sicurezza identificati in questo modello, che deve essere continuamente aggiornato durante il ciclo di vita del prodotto, devono essere risolti nella release finale del prodotto. − I requisiti fondamentali per i sistemi Iacs (Parte 3-3) e per i componenti (Parte 4-2) sono sette: controllo di identificazione e autenticazione, controllo dell’utilizzo, inte- grità del sistema, riservatezza dei dati, flusso dati con restrizione, risposta tempestiva agli eventi e disponibilità di risorse. Il livello di sicurezza (Parte 3-3) misura quanto il sistema considerato è esente da vulnerabilità ed è in grado di funzionare secondo quanto previsto. I livelli di sicurezza sono classificati in base a mezzi, risorse, competenze e motiva- zione dell’autore delle minacce. − Modello di maturità: mentre i livelli di sicu- rezza sono una misura della robustezza dei requisiti tecnici, i livelli di maturità (Parte 2-1, 2-2, 2-4 e 4-1) sono unamisura di quanto i pro- cessi, intesi come persone, politiche e proce- dure, soddisfano interamente i requisiti. Principi di progettazione Vediamo di seguito quali sono i principi base per la progettazione di un sistema di automa- zione e controllo il più possibile sicuro. − Secure by design: in base a questo princi- pio le misure di sicurezza (policy di sicu- rezza robuste, architetture di sicurezza e pratiche sicure) devono essere determinate nelle prime fasi di sviluppo del sistema Iacs e implementate durante tutto il ciclo di vita. Questo principio si applica sia allo svi- luppo dei prodotti, sia allo sviluppo delle soluzioni di automazione. − Riduzione della superficie di attacco: in base a questo principio devono essere ridotte al minimo le interfacce fisiche e funzionali di un sistema Iacs quando sono accessibili e potenzialmente soggette ad attacchi, per esempio limitando l’accesso fisico e logico ai sistemi Iacs e alle reti (controllo degli ac- cessi); segmentando le reti Iacs e controllan- done il traffico; eliminando le funzionalità non utilizzate per una maggiore robustezza dei sistemi e delle reti, e limitando al minimo i privilegi in base al ruolo o alla funzione. − Defense in depth o difesa in profondità: in base a questo principio devono essere fornite protezioni di sicurezzamultiple, a più strati, al fine di ritardare o impedire un attacco. Questo tipo di difesa prevede più livelli di sicurezza e rilevamento per garantire che il sistema Iacs rimanga protetto anche quando la vulnerabi- lità in un livello viene compromessa. − Funzioni essenziali, ovvero le funzioni ne- cessarie a garantire la salute, la sicurezza, l’ambiente e la disponibilità dell’equipag- giamento sotto controllo: funzione stru- mentata di sicurezza, funzione di controllo e capacità dell’operatore di visualizzare e gestire l’equipaggiamento sotto controllo. Fonte isa.org Livelli di sicurezza Vantaggi della convergenza Fonte cisa.gov

RkJQdWJsaXNoZXIy Mzg4NjYz