Lo standard internazionale IEC 62443 dà indicazioni su come un’azienda deve organizzare internamente il modello di gestione della cybersecurity, ma in Italia non è ancora molto diffuso, ci sono pochi specialisti certificati e in molte aziende la cybersecurity per i sistemi di controllo industriale è delegata alle funzioni IT. Intanto, sul fronte normativo, con il Decreto Legge 133 sul Perimetro di Sicurezza Nazionale Cibernetica, si punta a innalzare la sicurezza del sistema Paese verso le minacce cyber.
Ce ne parla Umberto Cattaneo, specialista in cybersecurity. Cattaneo, laureato in fisica cibernetica a Milano, è certificato Pmp, Security+, ISA 99/IEC 62443 Specialist ed è attualmente Cybersecurity Business Consultant in Schneider Electric, dove si occupa di soluzioni di cybersecurity per sistemi industriali e infrastrutture critiche. È, inoltre, membro di Isa, Clusit, Pmi e Anie.
Cos'è ISA 99/IEC 62443 e perché è importante per la cybersecurity industriale
"L’ISA 99/IEC 62443 è lo standard de facto che definisce come devono essere messi in sicurezza cyber i sistemi di automazione industriale, definendo metodologie, soluzioni, architetture, policy e procedure specifiche. Lo standard nasce dall’Ansi-Isa che è l’International Society of Automation, fondata negli Stati Uniti dai più importanti player nel campo della automazione industriale, su base volontaria", spiega Umberto Cattaneo.
"Isa ha definito lo standard ISA99 che è poi stato recepito a livello europeo dall’Iec (International Electrotechnical Commission) con base a Ginevra, riemettendolo come IEC 62443. Questo standard si compone di 13 documenti che forniscono indicazioni su come un’azienda deve organizzare internamente il modello di gestione della cybersecurity, su come deve essere gestita la supply chain e poi fornisce le linee guida per valutare i possibili rischi", spiega il manager. "Inoltre, lo standard dà indicazioni su come vanno impostate le architetture di sistema, sui controlli da inserire in rete, sulle modalità di gestione della confidenzialità dei dati, su come monitorare l’uso del sistema, su come progettare le ridondanze. Infine, contiene le linee guida da seguire per lo sviluppo di prodotti hardware e software che siano cybersicuri".
"Conoscere a fondo le linee guida, le policy da seguire secondo questo standard, che sono anche richiamate nei framework europeo (Enisa) e italiano di cybersecurity, significa avere un modello chiaro per raggiungere dei livelli di sicurezza tali da proteggere i propri sistemi dalle minacce individuate e minimizzare i rischi, sia negli impianti industriali sia nelle infrastrutture critiche per il Paese", dice Cattaneo.
I livelli di sicurezza sono definiti in modo da proteggere gli impianti a diversi gradi: dal semplice errore involontario del dipendente alla protezione contro attacchi persistenti (Apt) di guerra cyber. Vengono definiti dei parametri oggettivi con delle check list, che aiutano nella costruzione delle soluzioni più adatte in funzione del livello di sicurezza individuato come target. In Italia questo standard non è ancora molto diffuso, perché in molte aziende la cybersecurity per i sistemi di controllo industriale è delegata alle funzioni IT, che hanno un orientamento diverso nella definizione delle priorità di sicurezza e delle conseguenti scelte tecnologiche, e si rifanno allo standard ISO 27001.
"Attualmente siamo davvero in pochi a essere certificati IEC 62443, ma credo che sia importante che la conoscenza di tali norme si diffonda, per evitare di realizzare soluzioni cyber non calzanti con la tipologia dei sistemi industriali nelle quali vengono implementate e, di conseguenza, non in grado di fornire le adeguate protezioni", aggiunge Cattaneo.
Cybersicurezza, la prima vulnerabilità è l'uomo
"Un’affermazione comune nel mondo della cybersecurity, che corrisponde in effetti a verità, è che l’anello debole della catena della sicurezza informatica è l’uomo. In un ambiente produttivo connesso, la moltiplicazione dei potenziali punti di accesso per azioni malevole allarga la superficie di attacco andando a coinvolgere non solo molti più sistemi e componenti, ma anche molte più persone", commenta Cattaneo. "Persone che devono essere educate ad adottare comportamenti corretti e responsabilizzate. Come per la sicurezza fisica, da un lato c’è il dovere dell’azienda di adottare misure in linea con gli standard safety, dall’altro c’è la necessità di proteggere gli impianti da attacchi cyber, e quindi utilizzare sistemi di protezione cyber end-to-end".
A questo proposito, è molto importante - ed è una criticità, come hanno dimostrato alcuni attacchi mirati - introdurre i livelli di sicurezza adeguati per “segregare” i sistemi di controllo e i sistemi di sicurezza fisica e proteggerli da attacchi provenienti dalle reti di comunicazione collegate con il web, senza incidere però sulle prestazioni.
DL 133/2019: l'impatto del Perimetro di Sicurezza Nazionale Cibernetica sul manifatturiero
Lo scorso 8 novembre 2019 è stata emanato il Decreto Legge 133 sul Perimetro di Sicurezza Nazionale Cibernetica con l’obiettivo di innalzare la sicurezza del sistema Paese verso le minacce cyber. Quale impatto sta avendo questo DL sul mondo industriale e manifatturiero?
Secondo Umberto Cattaneo, "il DL 133 sul Perimetro di Sicurezza Nazionale Cibernetica estende i requisiti mandatori di implementazione delle protezioni cyber, già introdotte con la normativa NIS (DL 65/2018), a un più ampio numero di soggetti ritenuti critici per il funzionamento del Paese".
La normativa NIS impone che un ristretto (per ora) numero di società che forniscono servizi essenziali si debba dotare di strumenti e di procedure per la protezione da attacchi cyber. Gli operatori dei servizi essenziali (Ose) sono tutte le utility elettriche e dell’acqua, tutti i produttori e i fornitori di idrocarburi, le società dei trasporti, gli ospedali, le banche e gli istituti finanziari, gli operatori Internet e di rete. Con il DL 65/2018 viene inoltre creato un Cybersecurity Incident Response Center (Csirt) con il compito di raccogliere le segnalazioni, obbligatorie, di attacchi cyber, di dare raccomandazioni e di condividerle a livello europeo.
"Il Perimetro (DL 133/2019) estende la lista degli Ose anche ad altri operatori, non ancora individuati, ma che secondo quanto si sa, saranno le industrie del comparto alimentare, farmaceutico, chimico, le aziende della difesa, gli enti governativi, insomma quelle società che pur non fornendo servizi diretti di pubblica utilità, sono essenziali per il funzionamento del Paese. Oltre a fornire indicazioni specifiche sul 5G, il DL 133 sancisce anche la creazione di un ente che si dovrà occupare della certificazione di tecnologie e prodotti cyber che verranno adottati in futuro dagli Ose e dalle aziende incluse nel Perimetro di sicurezza".
Le aziende manifatturiere che entreranno nella lista del Perimetro (sarà pubblicata entro l’estate 2020, salvo ritardi dovuti al Covid-19, ndr.) dovranno dotarsi di procedure e tecnologie in grado di cyberproteggere le attività produttive con l’obbligo di comunicare al Csirt ogni attacco subito. È importante notare che la non-ottemperanza sia nel prendere le misure di protezione, sia nel non adempiere all’obbligo di comunicazione al Csirt di eventuali attacchi, implica un rischio di sanzioni che possono arrivare a più di 1.500.000 euro.
Costruire strategia e piano di difesa
Quando chiediamo a Umberto Cattaneo come si possono costruire una strategia e un piano di difesa, ci risponde così: "a partire da un accurato, onesto e trasparente assessment della propria postura iniziale in termini di cybersecurity, le aziende devono comprendere che è necessario adottare un approccio end-to-end e a 360 gradi, che coinvolga ogni livello dell’infrastruttura tecnologica, produttiva e tutti i processi connessi alle reti.
È possibile selezionare soluzioni commisurate alle esigenze specifiche di ogni impresa e alle sue caratteristiche, a partire ad esempio dalla scelta di componenti con adeguate certificazioni di settore e dalla selezione di fornitori che possano garantire il rispetto di tutti gli standard e di tecnologie che aiutino - anche attraverso le potenzialità oggi offerte dall’automazione IT - a mantenere costantemente aggiornati i sistemi, perché molti attacchi sfruttano proprio le vulnerabilità di sistemi lasciati senza patch adeguate".
Affiancando alle misure per la difesa di tipo proattivo un adeguato piano reattivo per la mitigazione del rischio e delle conseguenze di un eventuale attacco, con piani di remediaton, ci si trova in una buona posizione.
"Non bisogna infine prescindere dalla diffusione di una cultura della cybersecurity che diventi parte integrante della cultura aziendale e delle abitudini operative di tutto il personale", conclude Cattaneo.
