MAGGIO 2014
FIELDBUS & NETWORKS
43
trica richiederanno alle utility di effet-
tuare nuovi investimenti significativi in
sicurezza informatica per ICS; la stima di
Pike Research è di passare dai circa 300
milioni del 2011 a quasi 700 milioni di
dollari all’anno entro il 2018.
Linee guida e standard
La buona notizia è che oggi le aziende
hanno a disposizione una risposta ai
loro problemi: si tratta di standard, linee
guida e best practice.
La necessità di sviluppare metodologie
specifiche in grado di fornire risposte
adeguate è nata parecchi anni fa. Per
il settore della generazione elettrica, il
gruppo WG15 di TC57 di IEC ha affron-
tato in modo specifico tali esigenze e,
con il Report IEC TR 62210 del maggio
2003 ha proposto un approccio per l’a-
nalisi della sicurezza con speciale at-
tenzione ai protocolli di comunicazione
definiti da tale commissione.
I gruppi di utenti e le attività di norma-
zione che si occupano di questioni rela-
tive alla sicurezza nel settore dei sistemi
Scada sono cresciuti rapidamente negli
ultimi anni. Tutto ciò, da una parte rap-
presenta una buona notizia, poiché si
attesta che la sicurezza è una questione
importante, dall’altra, genera una giun-
gla di norme e linee guida. Una rasse-
gna sui recenti sforzi per realizzare tali
norme è stata fatta all’interno del Pro-
getto ESCoRTS (“A European network
for the Security of Control and Real-Time
Systems”) finanziato dalla Comunità
Europea e coordinato da CEN - Comité
Européen de Normalisation. In totale
sono stati individuati e analizzati 37 fra
standard, direttive e altri documenti che
hanno rilevanza per gli operatori o per i
fornitori nel settore della sicurezza infor-
matica dei sistemi di controllo. Tredici
sono standard o linee guida internazio-
nali, quattordici sono fornite dai comitati
degli Stati Uniti e dieci sono definite da
gruppi europei.
Tra i documenti più
rilevanti figurano...
ISO 27000 “Information technology - Se-
curity techniques - Information security
management systems”
: ISO (Internatio-
nal Organization for Standardization) è
la maggiore organizzazione internazio-
nale di standard: ne ha pubblicati più di
19.500. Questa famiglia di standard, di
tipo ‘general purpose’, ha l’obiettivo di
definire il sistema di gestione della sicu-
rezza delle informazioni. È quindi simile
alla famiglia ISO 9000 per la qualità e
ISO 14000 per l’ambiente e non è speci-
fico per i sistemi di controllo industriali.
ISA99/IEC 62443 “Industrial Automation
and Control Systems Security”
: ISA (In-
ternational Society of Automation) lavora
da anni alla produzione della famiglia di
standard ISA99, di carattere generale
ma indirizzato ai sistemi di controllo in-
dustriale e quindi, proprio per questo, più
utile alle aziende che devono affrontare
il problema di cybersecurity dei loro im-
pianti. Purtroppo, dei trecidi documenti
previsti, solo un numero esiguo è stato
pubblicato; molti sono in bozza per com-
menti.
A seguito di un accordo con IEC que-
sto standard appare ora come ISA/IEC
62443. Nist 800-82 “Guide to Industrial
Control Systems Security”: il National
Institute of Standards and Technology
(Nist) è un’agenzia federale USA che svi-
luppa e promuove misurazioni, standard
e tecnologie, molto attiva e prolifica
anche in materia di cybersecurity. A dif-
ferenza del documento Nist 800-53 dedi-
cato ai sistemi IT tradizionali, 800-82 è
indirizzato al mondo dell’automazione in-
dustriale; fornisce una panoramica degli
ICS e delle tipologie tipiche di sistema,
identifica le minacce e le vulnerabilità
tipiche di questi sistemi, fornisce le con-
tromisure di sicurezza raccomandate per
ridurre i rischi associati.
Cpni “Good practice guide - Process
control and Scada security”
: il Center for
the Protection of National Infrastructure
è stato formato in UK dalla fusione di
Niscc - National Infrastructure Security
Co-ordination Centre con Nsac - Natio-
nal Security Advice Center, una parte
del noto servizio di sicurezza del Regno
Unito MI5. Le linee guida sono costituite
da sette documenti di ‘best practice’ spe-
cifici per i sistemi di controllo industriali
emessi da tale organismo, attivo per la
protezione delle infrastrutture critiche in
un importante paese europeo. Nel set-
tore elettrico, senza dubbio uno dei più
avanzati per quanto riguarda l’implemen-
tazione di misure di sicurezza, è da pren-
dere come riferimento anche
lo standard
Nerc CIP
, costituito da nove documenti
ed emesso dal
National Electricity Re-
liability Council
, cioè l’organismo che
regola l’affidabilità del sistema elettrico
USA. Contiene raccomandazioni rilevanti
per gli operatori del sistema elettrico
negli Stati Uniti adottati dalla Federal
Energy Regulatory Commission nel 2006
e resi obbligatori per le utility americane.
Qualche riflessione…
Una prima considerazione da fare è che
nessun singolo standard copre tutti gli
aspetti, dal progetto all’implementazione
e all’esercizio di sistemi di controllo ‘sicuri’.
La seconda considerazione è che esistono
molte sovrapposizioni e ciò può dar luogo
a indicazioni quantomeno non coincidenti.
Resta, quindi, a carico delle singole aziende
la scelta dell’adesione a uno degli standard
proposti o la possibilità di selezionare parti
di interesse da più documenti al fine di un’e-
laborazione personalizzata di linee guida da
applicare all’interno dei propri confini. Da
un punto di vista pratico, le contromisure da
intraprendere per aumentare il livello di se-
curity della propria infrastruttura dipendono
poco dalla soluzione prescelta. Adottando
uno standard molto generale si avrà più
libertà nel definire i dettagli, mentre con
linee guida specifiche avremo già prescri-
zioni molto dettagliate che, però, dovremo
verificare se coprono tutto il perimetro d’in-
teresse. In ogni caso, per un’efficace azione
di abbattimento del rischio si dovranno trat-
tare tre grandi capitoli: governance, host,
network.
• Nel capitolo della governance dovrà es-
sere descritto come definire organizzazione
e responsabilità in materia di security, stra-
tegie, processi e procedure.
• Nel capitolo degli host si dovranno af-
frontare le seguenti categorie di requisiti:
controllo accessi, gestione dell’esercizio e
acquisizione, sviluppo e manutenzione dei
sistemi.
• Nel capitolo del network si parlerà di ar-
chitettura, sicurezza perimetrale e protocolli,
gestione dell’esercizio delle reti e gestione
degli accessi ai sistemi connessi.
Ma quantomi costi?
La domanda che le aziende si pongono è:
“Ma quanto costa mettere in sicurezza i
sistemi di controllo degli impianti indu-
striali?”. Non è possibile fornire una ri-
sposta valida in generale. Sicuramente è
fondamentale fare delle stime dei costi che
possano essere messe a confronto con i ri-
schi, o più precisamente, con la diminuzione
dei rischi che si ottiene con l’investimento in
security. Proprio su questo tema è in corso
un progetto europeo che ha l’obiettivo di
fare queste valutazioni per le infrastrutture
critiche della produzione e trasmissione di
energia elettrica: “Emerging Security Stan-
dards to the EU power Network controls
and other Critical equipment (Essence)”.
(*) Enel Ingegneria e Ricerca SpA
(**) Comitato Tecnico AO e F&N
Fonte: www.osti.gov
