F&N_111

MAGGIO 2022 FIELDBUS & NETWORKS 34 Fieldbus & Networks non esiste un applicativo che in autonomia possa verificare tutti i requisiti proposti dalla norma. Inol- tre, vari requisiti pretendono esplicitamente un cor- redo documentale. Dunque, partendo dai requisiti di sicurezza proposti dalla norma vengono testate le funzionalità del si- stema e si giudica se queste siano svolte ‘in modo sicuro’ e con quale livello di sicurezza sono accomu- nabili le procedure in uso. Per fare questo vengono identificate tutte le interfacce di comunicazione rese disponibili dal dispositivo o sistema e una ad una vengono analizzate le dinamiche di comunicazione per verificare se effettivamente vengano svolte in modo sicuro o meno. Sempre grazie allo standard il fornitore di un prodotto o sistema è spinto a comunicare e dettagliare tutte le interfacce di comunicazione e i protocolli implemen- tati. Questo inventario sarà molto utile per giudicare eventuali protocolli obsoleti o punti non protetti del SUC (dispositivo o sistema preso in considerazione). Inoltre, servirà a tenere una traccia dei problemi e delle mitigazioni o cambi di design attuati nel tempo. Le best practice per la security Le buone norme di security previste dallo standard IEC62443 si rifanno alle buone norme di security presenti nel mondo IT, limitando la garanzia di con- fidenzialità, ove impraticabile, ma difendendo i dati tramite separazione di reti, per esempio, e prestando con un occhio particolare a quello che è la resilienza e il failsafe. Questo perché la safety, ovvero la si- curezza delle persone e dei luoghi, potrebbe venire meno nel momento in cui viene meno la security. Inoltre, viene richiesta esplicitamente anche la ca- pacità di audit, ovvero la possibilità di ricostruire la causa di un evento partendo dalle tracce registrate durante il percorso. Spesso questa abilità si basa sulla bontà dei log di sistema, trovati spesso incom- pleti o non adatti all’uso per una verifica agevole. Volendo esplicitare in modo coinciso quello che lo standard IEC62443 condivide con gli standard IT, sicuramente possiamo citare: » la confidenzialità, quindi evitare di trasmettere e salvare i dati in chiaro (non criptati); » l’integrità, che prevede la possibilità di verificare che i dati non abbiano subito modifiche nel tempo; » l’autorizzazione, che permette l’accesso ai dati solo al personale autorizzato previa identificazione; » l’identificazione, che va sincerata in modo sicuro, ovvero senza lasciare la possibilità di carpire informazioni sensibili durante il processo di au- tenticazione, né utilizzando ‘chiavi’ appartenenti al soggetto che si vuole autenticare (nel quoti- diano, username e password) né dati costituenti il sistema; » l’autenticazione, che può avere vari livelli di si- curezza, dalla semplice password, costruita con criterio, e quindi ritenuta sicura, fino all’autenti- cazione con doppio fattore e con autorizzazione da parte di terzi: » la disponibilità, che è un aspetto fondamentale per un sistema OT. La riuscita di un processo di produzione dipende infatti strettamente dall’os- servazione e dal controllo del processo stesso, quindi dalla cooperazione sinergica di tutti i dispositivi atti a rilevare e misurare, e di tutti i dispositivi attuatori, che sono capaci di influen- zare il processo. Qualora uno di questi dispositivi venisse meno, ovvero non fossero disponibile il dispositivo o il dato generato, il processo rischie- rebbe di diventare incontrollabile. Se poi venisse meno l’integrità dei dati, lo stato del processo verrebbe percepito differente da quello effettivo, richiedendo correzioni non necessarie o addirit- tura nocive. Da questo si evince che la disponi- bilità è uno dei fattori cruciali per un processo di produzione. Qualora venisse meno, sarebbe ne- cessario avere sistemi capaci di operare in modo safe fino alla ricostituzione dell’operatività. Lo standard suggerisce infatti funzionalità quali: la sicurezza di poter lavorare in modalità degradata, fornendo comunque servizi essenziali; l’abilità di resistere ad attacchi di tipo DoS; la capacità di amministrazione delle risorse in modo che la si- curezza sia garantita a discapito di funzionalità non essenziali; infine, la possibilità di creare back-up e restore avendo individuato uno stato del dispositivo, firmware, software, impostazioni e dati, ritenuto sicuro e gestito da personale de- dicato e qualificato. I Maturity Level (ML) indicano il livello di maturità raggiunto da un’azienda nella preparazione, implementazione e rispetto delle policy e delle procedure relative alla security Con cybersecurity si intende la protezione dei dati tramite i requisiti di: autenticazione, autorizzazione, confidenzialità, disponibilità, integrità e non-ripudio Fonte: Pixabay_music4life Fonte: Pixabay_wolfmen