Security - Serie di norme IEC 62443

La serie di norme internazionale IEC 62443 “Reti di comunicazione industriali – Sicurezza della rete e del sistema” si occupa di come possa essere realizzata la sicurezza IT nell’automazione. Gli argomenti spaziano dall’analisi dei rischi relativa ai requisiti per il funzionamento sicuro fino allo sviluppo sicuro di prodotti (Security by Design). In questo senso, la IEC 62443 è attualmente il miglior supporto per l’orientamento di operatori di impianti, fabbricanti di macchine e produttori di dispositivi a fini di un’attuazione efficace dell’Industrial Security.

La IEC 62443 prende in esame cinque aree: i requisiti fondamentali legati alla Industrial Security, il principio di zone e condotti (“zones & conduits”), il Security Level, il ciclo di vita in termini di security e l’analisi dei rischi.

In tale contesto riveste un ruolo centrale la procedura di Security Risk Assessment che può fungere da fondamento per la definizione di misure specifiche e personalizzate in materia di security. Viene inoltre sottolineata l’importanza dell’interazione tra misure di tipo organizzativo e di tipo tecnico. Le soluzioni tecniche da sole realizzano, nel peggiore dei casi, una pseudo-sicurezza in quanto le misure tecniche possono essere facilmente eluse dai comportamenti adottati dal personale. Una password, ad esempio, è di protezione solo quando viene anche modificata, non è condivisa e non è visibile sul dispositivo.

I sistemi di automazione industriali necessitano di un approccio Defense in Depth (“approccio a castello”) per soddisfare i requisiti di security OT. Grazie a un know-how di livello esperto, Pilz supporta fabbricanti e operatori di macchine nell’attuazione dei requisiti di tipo organizzativo e tecnico specificamente richiesti da IEC 62443.

La cibersicurezza di un’azienda, anche a livello di macchine, risulta significativamente incrementata con un concept di Industrial Security e il rispetto delle norme e dei requisiti di legge. 

ISO/IEC TS 63074:2023

"Safety of machinery - Security aspects related to functional safety of safety-related control systems"

Questa norma fa riferimento fondamentalmente alla sicurezza nel punto in cui safety e security si intersecano. La norma accenna quindi all’argomento essenziale, al fulcro di ciò che il Regolamento Macchine disciplina. Per individuare minacce alla sicurezza e vulnerabilità si serve della serie di norme IEC-62443. Vengono presi in considerazione gap e vulnerabilità del sistema di controllo di safety che possono essere sfruttati dalle minacce alla security (come accesso non autorizzato, malware o attacchi informatici). L’obiettivo è proteggere le funzioni di safety in modo tale che siano in grado di dispiegare effettivamente questa loro azione protettiva. Per la safety è particolarmente indicato il principio Defense in Depth.

Il documento specifica i casi di applicazione e adotta per tali casi modelli di minaccia corrispondenti. Questo approccio aiuta a comprendere come le minacce alla security possono avere effetto sulla safety. Altri impatti derivanti da un cyberattacco non vengono contemplati in maniera esplicita.

ISO 27001 - Sistemi di gestione per la sicurezza delle informazioni (ISMS - Information security management system)

La NIS 2 introduce al tema della gestione dei sistemi per la sicurezza delle informazioni. Una particolare attenzione è dedicata quindi alla ISO/IEC 27001: si tratta di fatto dello standard riconosciuto a livello internazionale e certificabile per la sicurezza delle informazioni. La norma prescrive i requisiti per un sistema di gestione della sicurezza delle informazioni.

Si parla di sicurezza delle informazioni e non di sicurezza IT in quanto occorre proteggere tutte le informazioni, sia quelle digitali che quelle analogiche (scritte a mano, verbali, per immagini) indipendentemente dal fatto siano riportate su un foglio o archiviate nel cloud. Oggigiorno, molte informazioni sono elaborate su base IT e conseguentemente la sicurezza in ambito IT riveste un ruolo fondamentale.

Si tratta essenzialmente di ridurre al minimo i rischi legati alla sicurezza delle informazioni in tutte le aree presenti in un’organizzazione. In tal senso, i mezzi di produzione, come macchine e reti OT, sono egualmente interessati.

Quando a un’organizzazione occorre un ISMS secondo ISO/IEC 27001 per ragioni legate a esigenze esterne (ad es. a motivo di requisiti legali o accordi contrattuali con il cliente) oppure intende implementarne uno di propria iniziativa (ad es. per propria sicurezza e tutela o per guadagnare visibilità da uno standard qualitativo), non è possibile escludere il tema legato alla cibersicurezza industriale.

Si chiude così il cerchio con la norma IEC 62443 che, allo stato attuale, offre il migliore quadro normativo per la considerazione della sicurezza delle informazioni in ambito Industrial Security.

La minaccia in costante crescita derivante da cyberattacchi insieme ai danni economici potenzialmente immensi ha portato all’introduzione, a livello mondiale, di condizioni normative generali con il fine di soddisfare gli standard minimi richiesti da aziende, impianti industriali, macchine e relativi componenti. La cyber security è un nuovo requisito e un obiettivo specifico per le infrastrutture critiche.

Per ridurre i pericoli, il legislatore europeo ha introdotto nuove normative.

Regolamento Macchine

Il Regolamento Macchine 2023/1230 è stato emanato nel giugno 2023 e diventa obbligatorio per tutti gli Stati membri UE dopo un periodo di transizione di 42 mesi. Interessati dal Regolamento Macchine sono i fabbricanti di macchine o di moduli per le macchine, quindi i produttori (OEM = Original Equipment Manufacturer) e i system integrator o integratori di sistema. I fabbricanti di macchine saranno in futuro tenuti a comprovare la rispondenza delle macchine a quanto previsto dal Regolamento Macchine, includendo quindi anche gli aspetti legati alla security. Tra questi rientrano la protezione da contraffazione e misure atte a potere contrastare i tentativi malevoli di terzi a causare situazioni pericolose. Il rispetto del Regolamento Macchine viene formalmente confermato dalla Dichiarazione di Conformità. Il segno visibile di questa ottemperanza al regolamento è il marchio CE apposto sulla macchina. Le macchine che non soddisfano i requisiti del nuovo Regolamento Macchine non dovranno più essere commercializzate all’interno dell’UE.

Da molti anni, Pilz supporta i fabbricanti di macchine nel processo di conformità e questo avviene praticamente in ogni ambito come il concept di sicurezza, l’analisi e la valutazione del rischio includendo anche la dichiarazione di conformità. In futuro, Pilz si occuperà anche della procedura inerente gli aspetti di security.

La seconda direttiva UE relativa alla sicurezza delle reti e delle informazioni (NIS 2) 2022/2555

La nuova direttiva UE per le reti e i sistemi delle informazioni (NIS 2) stabilisce un livello di protezione omogeneo con riferimento agli cyberattacchi per infrastrutture “importanti ed essenziali” all’interno dell’UE. Contrariamente al Regolamento Macchine, descrive i requisiti in materia di cibersicurezza posti alle aziende e non alla macchine. La direttiva contiene requisiti differenti per aree diverse, a seconda dell’importanza di un’azienda per l’economia (criticità). Una criticità elevata è quella che caratterizza, ad esempio, le aziende dei settori Energia o Trasporto su rotaia. Interessati dalla NIS 2 sono tra gli altri anche i fabbricanti di macchine e impianti con più di 50 dipendenti o un fatturato annuo superiore ai 10 milioni di euro, anche appartenenti a settori per i quali è prevista una minore criticità.

Le aziende devono adottare misure tecniche, operative e organizzative per tenere sotto controllo i rischi per la sicurezza dei sistemi di reti e informazioni. Tra queste rientra anche la formazione del management e del personale. Ciò implica tenere in considerazione, come di consueto, non solo l’ufficio IT ma anche il reparto OT e quindi l’Industrial Security.

Cyber Resilience Act (2024/2847)

Il Cyber Resilience Act (CRA) si prefigge l’obiettivo di migliorare le caratteristiche e proprietà di security per i prodotti con elementi digitali. Coinvolge pertanto i fabbricanti e gli importatori di prodotti. Tra questi rientrano anche i fabbricanti di macchine. Il CRA introduce requisiti di security vincolanti nell’intero ciclo di vita dei prodotti. Esige un obbligo di diligenza per tutto il ciclo di vita che include anche l’obbligo da parte del fabbricante di fornire aggiornamenti software, per la gestione delle patch dell’operatore, per un minimo di 5 anni nel caso in cui fosse stata riconosciuta una vulnerabilità legata alla security nel prodotto. La marcatura CE dei prodotti ne presuppone l’ottemperanza all’entrata in vigore del CRA. In questo modo, il CRA integra la direttiva NIS 2 e il Regolamento Macchine con caratteristiche e proprietà nei prodotti.