1 12 Table of Contents 14 52

FN 118

Fieldbus & Networks FEBBRAIO 2024 FIELDBUS & NETWORKS 13 il cui uso previsto o ragionevolmente prevedibile includa una connessione logica o fisica diretta o indiretta di dati a un dispositivo o a una rete”. D’altro canto, la Direttiva NIS2 stabilisce delle norme minime che tutti gli Stati membri della UE devono rispettare per avere una maggiore armonizza- zione a livello europeo di legislazioni e procedure di cybersicurezza. Per sta- bilire quali aziende debbano rispettare gli obblighi previsti, la NIS2 indica tre criteri: settore di appartenenza, dimensione e ruolo che le aziende hanno nel rispettivo ambito. In particolare, si applica ai settori ‘critici e ad alta criticità’ e per aziende di medie dimensioni. Il fil rouge, comunque, del panorama legislativo europeo sta puntando so- prattutto sull’aumento della consapevolezza e sull’implementazione di nuove strategie per aumentare la resilienza di tutti i comparti, con particolare atten- zione a quelli critici e produttivi industriali. Per poter soddisfare quanto richiesto dalla legislazione il primo passo da fare rimane sempre quello relativo alla valutazione del rischio di attacco, oltre che alla parte relativa ai sistemi di gestione (definizione di un security program) e alla consapevolezza e formazione delle persone. Solo identificando e quan- tificando il rischio, infatti, è poi possibile trovare contromisure adeguate che possano effettivamente mitigarlo e renderlo accettabile. La strategia da intra- prendere, quindi, consiste nella ‘defense in depth’, che prevede un approccio a tutto tondo per poter garantire la sicurezza dei dati; si tratta di un approccio alla sicurezza informatica che si basa sulla creazione di diversi livelli di pro- tezione per mitigare e contrastare le minacce cibernetiche, con l’obiettivo di creare una serie di barriere difensive in modo che, nel caso in cui una fallisca, altre siano ancora in grado di proteggere l’ambiente. I principali livelli da considerare sono: − prolicy e procedure: definizione delle prolicy aziendali per poter garantire la sicu- rezza dei dati e una serie di procedure operative che consentano di regolamen- tare i comportamenti e i processi collegati alla sicurezza e che diano riscontro nell’attuazione delle policy aziendali; − sicurezza fisica: interporre delle barriere fisiche che impediscano l’accesso fisico agli asset oggetto della protezione; − protezione della rete: rendere i punti di accesso alla rete protetti e monitorati in modo da consentire solo il traffico autorizzato, sia in termini di dati e protocolli, sia di utenti umani e utenti software; − protezione del dispositivo: fare in modo che non sia in alcun modo possibile manomettere il dispositivo e i dati in esso contenuti; − protezione dei dati: fare in modo che solo gli utenti autorizzati possano accedere, modificare e gestire i dati. Per ciascuno dei livelli di protezione previsti è necessario, come sempre, agire su più fronti: da un lato, selezionare tecnologiche efficaci al fine di ridurre il rischio associato agli eventi ritenuti critici, dall’altro formare il personale al fine di saper utilizzare le tecnologie e interagire con esse, nonché al contempo tenere comportamenti che non siano pericolosi per la sicurezza dei dati. La norma IEC62443 Dal punto di vista tecnico, però, com’è possibile soddisfare quanto viene ri- chiesto sottoforma di linea guida dai Regolamenti e, quindi, implementare la defense in depth? Da questo punto di vista esiste un unico riferimento normativo per implemen- tare la security in ambito OT: la norma IEC62443. Tale norma è strutturata secondo diversi livelli: − parte 1: generalità, definizione e ambito di applicazione . Viene definito l’ambito di applicazione della norma facendo riferimento al ‘purdue model’: si deduce quindi che la IEC62443 si applica alla security nell’ambito che va dallo Scada fino ai sensori/attuatori di campo; − parte 2: definizione delle procedure e dei contenuti minimi del security program. In questo caso, a seconda del ruolo, vengono definite le linee guida delle proce- dure che è necessario implementare al fine di coprire tutte le possibili casistiche che si possono incontrare nel manutenere, installare, collaudare, costruire ed esercire un sistema OT; − parte 3: prestazioni e valutazione in termini di cybersecurity di un sistema. Con ‘sistema’ la IEC62443 considera qualunque installazione che sia di proprietà del cliente finale; la prospettiva, pertanto, è quella del proprietario della so- luzione. Questa parte intende definire quali siano le soluzioni tecnologiche da implementare per poter garantire un certo livello di sicurezza sull’intero sistema. In questo caso rientra anche la parte di valutazione del rischio di un attacco cyber, che è il punto di partenza per tutte le valutazioni e implemen- tazioni successive. − parte 4: prestazioni e valutazioni in termini di cybersecurity di un componente. In questo caso l’accezione di ‘componente’ è piuttosto ampia, in quanto la nor- ma prevede di classificare come componente: un dispositivo embedded (PLC, remote I/O, trasmettitore), un host (qualunque cosa basata su PC), un componen- te di rete (switch, router ecc.), un software e un insieme complesso di tutti gli elementi precedenti, quale per esempio una macchina. I device rimangono tali e soggetti alla parte 4 della normativa fintantoché rimangono all’interno della fabbrica del costruttore. La norma, poi, definisce tre ruoli che concorrono alla security dei sistemi/ dispositivi e sono: − assett owner: cliente finale o utente, ovvero il proprietario dell’asset oggetto di valutazione e di protezione da attacchi di tipo cyber; − manufacturer: il costruttore di ogni dispositivo inteso nelle accezioni preceden- temente definite; − service provider: il fornitore di servizi responsabile per l’installazione, la messa in servizio e la manutenzione di un asset, ovvero colui il quale offre servizi su uno specifico asset, che siano svincolati dal normale funzionamento del bene stesso. Per ciascuno di questi ruoli deve essere definito un security program che racchiude tutte le procedure necessarie per valutare, ridurre e gestire il rischio cyber collegato alle azioni intraprese da ognuno degli attori nella catena del ciclo di vita (lifecycle) di un prodotto/bene. La norma definisce anche una metrica per valutare il grado di attuazione delle misure di sicurezza e la maturità del processo di gestione della sicurezza Nuovo Regolamento Macchine

RkJQdWJsaXNoZXIy Mzg4NjYz