Table of Contents Table of Contents
Previous Page  51 / 100 Next Page
Information
Show Menu
Previous Page 51 / 100 Next Page
Page Background

Automazione e Strumentazione

Giugno/Luglio 2016

INDAGINE

approfondimenti

51

In questo quadro si rivela inadeguata la semplice protezione

‘perimetrale’ con firewall o attraverso soluzioni isolate e non

coordinate. È necessario un

approccio sistematico

che ana-

lizzi tutte le fasi dei processi da controllare e prenda in con-

siderazione tutti i punti potenzialmente vulnerabili della rete.

Negli impianti nuovi prevale un approccio definito

‘secu-

rity by design’

. Ovvero una policy o una tecnologia ridotta

al minimo indispensabile. Esempi tipici sono le segmenta-

zioni di rete o l’utilizzo di VLAN, WAN, DMZ, firewall,

custom zone e tecnologie simili. Purtroppo questi approcci

non sempre sono accompagnati da un ri-disegno comples-

sivo della rete o da una adeguata valutazione dei rischi.

Best Practice, normative e modelli

Risulta quasi impossibile tracciare in poche righe il pano-

rama delle best practice e del quadro normativo relativo

alla cybersecurity, soprattutto perché nei diversi settori

industriali sussistono norme diverse raccomandate da enti

ed istituti internazionali quali EPA, FEMA, FBI, CMA,

NFPA, NERC, SANS ecc.

Per restare all’ambito dei sistemi di automazione, con-

trollo, misura e supervisione un ruolo centrale è rivestito

dalla famiglia

ISO 27000

il cui obiettivo è quello di for-

nire un modello e una guida dettagliata per ridurre l’espo-

sizione delle imprese ai rischi collegati alla sicurezza delle

informazioni. Altro pilastro normativo della security è la

ISO / IEC 15408

, più nota come ‘Common Criteria’, che

consente di verificare se le esigenze dell’utente, descritte

attraverso un insieme di requisiti di alto livello (PP, protec-

tion profile), sono soddisfatte sulla base dei requisiti e delle

specifiche utilizzate dal produttore per l’implementazione

di un determinato prodotto (ST, Security Target).

Dal punto di vista operativo va evidenziato l’approccio

basato sulle normative di segmentazione delle reti

ISA99-

IEC 62443

. Come pure sono molto utili i suggerimenti

promossi da ENISA (European Network and Information

Security Agency) e NIST (National Institute of Standards

and Technology).

Se le violazioni di sistemi industriali colpiscono in prima

battuta la privacy e la security, è anche vero che alcune

conseguenze si riversano nel dominio della safety, il che

spinge ad approcci basati sull’analisi dei rischi e sull’inte-

grazione con le norme che regolano i sistemi strumentati

di sicurezza,

IEC 61511/ISA84

.

Il modello

ISA99

resta invece il principale riferimento per

l’implementazione della security nelle più comuni piatta-

forme software industriali (Scada, Mes, Erp, CRM , Sup-

ply Chain ecc.).

Purtroppo non mancano le resistenze, soprattutto in termini

culturali. La security industriale è ancora percepita in modo

distorto e non sufficientemente distinto da quella applicata

ai servizi e alla business information.

Per questo motivo bisogna rimanere vigili e informati,

consapevoli del fatto che la sicurezza deve essere un

progetto condiviso tramite un approccio integrato e pro-

fessionale, rinunciando a una gestione puramente intui-

tiva ed empirica.

1 46 47 48 49 50 51 52 53 54 55 56 57 100  FlippingBook