TÜV SÜD, membro della German Association for Technical Inspection, ha rilasciato a Copa-data, produttore del software zenon per l’automazione industriale, un certificato di conformità al nuovo standard di sicurezza ISA/IEC 62443-4-1:2018. Ciò conferma che lo sviluppo software di Copa-data, i processi di assicurazione della qualità e di assistenza sono progettati in maniera sicura, in conformità alle attuali linee guida in materia di sicurezza informatica industriale.
Sviluppata dall’International Society of Automation (ISA), un’associazione professionale non-profit, e adottata dall’International Electrotechnical Commission (IEC), la serie di standard ISA/IEC 62443 offre un quadro di riferimento per eliminare e ridurre le falle nella sicurezza dei sistemi di automazione e controllo industriale, consentendo agli utenti di adottare un approccio preventivo e sistematico. Nel gennaio 2018 è stato pubblicato un nuovo standard come parte di questa serie: ISA/IEC 62443-4-1:2018, Security for industrial automation and control systems, Part 4-1: Secure product development lifecycle requirements.
Questo standard fornisce alle aziende le specifiche di processo da seguire nello sviluppo di prodotti conformi ai requisiti di sicurezza. Lo standard ha l’obiettivo di rendere più sicuro l’intero ciclo di vita dei prodotti. Include definizione dei requisiti di sicurezza, progettazione e implementazione sicura (incluse le linee guida sulla programmazione), verifica e convalida, gestione dei guasti e delle patch, fine del ciclo di vita dei prodotti.
Per poter ottenere la certificazione di conformità al recentissimo standard IEC 62443-4-1, il team di progetto di Copa-data guidato da Reinhard Mayr, responsabile della divisione Information Security & Research Operation, ha dovuto sviluppare un caso d’uso realistico e transettoriale. Strutturato su vari livelli, questo esempio pratico include diversi sistemi che si possono trovare negli stabilimenti di produzione. I sistemi sono stati assemblati livello sopra livello per formare un unico sistema di sicurezza completo. “Il nostro obiettivo era quello di definire un caso d’uso che non solo riflettesse l’utilizzo reale del nostro software in un ambiente di produzione collegato in rete che tenesse conto dei nostri investimenti in sicurezza degli ultimi anni, ma che rispettasse anche i requisiti dello standard” afferma Mayr.
Al cuore del caso d’uso vi è una cellula di produzione che forma parte di un processo di produzione. Questa necessita di massima protezione contro fattori esterni dannosi provenienti da aree di produzione alle quali è collegata, come la sala di controllo per i livelli di monitoraggio, rete e gestione, e le soluzioni cloud. Per tale ragione, l’esempio usato per fini di certificazione include anche una zona demilitarizzata (ZDM) basata sulla tecnologia zenon e conforme ai principi generali di sicurezza informatica delineati nello standard IEC 27001.
La ZDM tiene lontani dall’area operativa i fattori esterni e rafforza la sicurezza informatica. Le strategie e i principi che seguiamo da anni nello sviluppo di zenon, come la security by design e una difesa solida, contribuiscono al raggiungimento di questo obiettivo. Grazie ai nostri numerosi protocolli nativi siamo anche in grado di ostacolare i pirati informatici che vogliono causare danni gravi” spiega Mayr.
Con l’obiettivo di rendere la sicurezza informatica industriale una parte sempre più importante del processo di sviluppo software, Copa-data ha ampliato il suo security management team affidandogli maggiori poteri. Ora che la nuova certificazione è stata ottenuta e che la ricertificazione si svolgerà annualmente, l’intero ciclo di vita della sicurezza di Copa-data sarà perennemente sotto esame.
Come spiega Mayr: “Copa-data si è sempre dedicata a migliorare costantemente la sicurezza. È un pilastro fondamentale della nostra strategia aziendale. Promuoviamo attivamente questo nostro impegno dovunque sia necessario, lavorando a stretto contatto con le autorità e gli altri produttori”.
La sicurezza resta una questione che riguarda tutte le aree di un’azienda e che i produttori di componenti di sistema devono affrontare. Tutti e tutto ciò che è legato alle reti informatiche (che si tratti di persone, aziende, hardware o software) sono chiamati a mantenere gli standard fondamentali di sicurezza. “Stiamo facendo del nostro meglio per sostenere le strategie di sicurezza dei nostri clienti e per proteggerle dagli attacchi informatici ogni qualvolta sia possibile” conclude Mayr.