F&N_109

Cover story Pilz Italia NOVEMBRE 2021 FIELDBUS & NETWORKS 9 Per poter svolgere parte dell’attività sopra descritta Pilz ha avviato una partner- ship con Molo17, dinamica azienda software che ha approcciato con diverse collaborazioni nazionali il tema della sicurezza informatica nell’industria. “La sicurezza informatica industriale ha certamente elementi in comune con quanto previsto dall’informatica da ‘ufficio’, ma deve necessariamente includere elementi completamente nuovi, che solo esperti di entrambe le aree possono comprendere e guidare” spiega Marco Cosatto, consulente IT Advisor & Security Analyst di Molo17. “Vi sono sette requisiti fondamentali (FR - Fundamental Requirement) applicabili ai componenti di un IACS tra cui i controlli legati a identificazione e autenticazione, l’integrità del sistema e la disponibilità di risorse. Ognuno dei requisiti sviluppa in dettaglio alcune specifiche richieste (CR - Component Requirement) in funzione della tipo- logia di dispositivo in analisi, sia esso un componente generico, un dispo- sitivo embedded quale un PLC, un host device o un router/switch, oppure un applicativo software. Si evince che il discorso è complesso e che deve essere guidato fin dalle prime analisi in base al fatto che si stia affrontando un’attività di security presso un costruttore di macchina, oppure presso un utilizzatore finale”. Facce della stessa medaglia: la sicurezza per il costruttore e per l’utilizzatore di macchina P ilz, facendo propria la norma IEC 62443-3-2 che stabilisce il processo ite- rativo di Security Risk Assessment, suddivide il sistema informatico indu- striale in zone di sicurezza, per assegnare in seguito dei livelli di sicurezza alle zone e ai condotti, in base alle potenziali conseguenze nel caso in cui un obiettivo dell’attacco venga realmente raggiunto all’interno di una specifica zona. Man mano che il livello di sicurezza aumenta, l’integrità della sicurezza, ovvero la difficoltà di compromettere le contromisure che possono prevenire o miti- gare le conseguenze, deve aumentare. Si introduce pertanto il significato di SL, Security Level, definito come segue: • SL 0: nessun requisito specifico o protezione di sicurezza necessaria; • SL 1: protezione contro la violazione casuale; • SL 2: protezione contro la violazione intenzionale usando mezzi semplici con basse risorse, competenze e motivazione; • SL 3: protezione contro la violazione intenzionale usando mezzi sofisticati con risorse e motivazione moderata e competenze specifiche; • SL 4: protezione contro la violazione intenzionale usando mezzi sofisticati con risorse estese, competenze specifiche ed alta motivazione. M olo17 è una software house che fornisce servizi pro- fessionali e prodotti abilitanti per l’accelerazione delle attività di go-to-market di progetti di data mobilization. Molo17 applica soluzioni consolidate, open standard e pro- dotti proprietari in grado di mettere in comunicazione sistemi legacy o chiusi con il mondo web e mobile (edge). MOLO17 Nel processo di verifica della sicurezza Pilz suggerisce un ‘security concept’, ovvero una soluzione da adottare composta da alcune contromisure per l’ottenimento del livello di sicurezza target richiesto