Dalla collaborazione fra H-ON Consulting e Siemens nasce questa riflessione sulla cybersecurity industriale, un confronto fra i requisiti dello standard internazionale IEC 62443 e i requisiti FSTEC vigenti nel territorio russo; standard per il quale è interessante approfondire quali sono le implicazioni per i costruttori e i system integrator coinvolti in impianti russi.
L’obiettivo dell’autorità FSTEC (Federal Service for Technical and Export Control) è quello di controllare il rispetto dei requisiti di sicurezza per le strutture di cruciale importanza per l'economia russa, fra cui il sistema bancario, le centrali nucleari, la produzione petrolchimica, e molti altri, che secondo la Legge Federale n. 187 rientrano nella definizione di "infrastrutture critiche".
Quando la tipologia di industria è soggetta al campo di applicazione della Legge Federale n. 187, il componente connesso con la security per essere installato deve essere approvato e certificato secondo lo schema FSTEC, e infine inserito nel registro nazionale detenuto dall’autorità russa.
FSTEC stabilisce i requisiti per i sistemi e le applicazioni di cybersecurity, fra cui, ad esempio, l’identificazione e autenticazione (IAF), il controllo accessi (UPD), la protezione antivirus (AVZ), la formazione del personale (IPO); misure che hanno in realtà molto in comune con quanto previsto dallo standard internazionale IEC 62443 per ciò che riguarda gli aspetti di sicurezza dell'impianto, sicurezza della rete e integrità del sistema.
Cybesecurity in Russia: standard IEC 62443 vs standard FSTEC
Per garantire la sicurezza di un sistema in ambito FSTEC, può essere quindi una buona idea tenere a mente i requisiti dello standard internazionale IEC 62443, di ispirazione per implementare sempre in modo efficace i principi di resilienza del sistema.
È da tenere presente, tuttavia, che in ambito FSTEC è possibile richiedere la certificazione solo se il richiedente possiede una licenza FSTEC, licenza concessa solo a persone giuridiche russe.
Inoltre, è obbligatoria la divulgazione del codice sorgente ai laboratori russi e agli organismi di certificazione (che può essere letto come un ulteriore tentativo di dissuadere i produttori internazionali, inducendo in qualche modo i proprietari a preferire le tecnologie nazionali).
Ad ogni modo FSTEC non sbarra in assoluto l’ingresso ai system integrator e ai costruttori internazionali. Il parallelismo con l'approccio della IEC 62443 consente di lavorare secondo un ciclo di vita standard capace di soddisfare i requisiti per lo sviluppo di una architettura da integrare in un sistema di automazione e controllo industriale in linea in qualche modo anche lo schema FSTEC.
Soluzioni e approfondimenti di industrial cyberesecurity
Il tema da esplorare è delicato e complesso, ma non è la prima volta che H-ON Consulting e Siemens si approcciano congiuntamente alla industrial cybersecurity. H-ON Consulting supporta costruttori e system integrator per la conformità ai requisiti della norma più importante IEC 62443-3 previsti nei contratti di fornitura internazionali; obiettivo che anche grazie all’ampio portfolio di soluzioni hardware e software progettate per ambienti industriali di Siemens permette senza dubbio di raggiungere la sicurezza informatica end-to-end.
Per approfondire il tema degli standard internazionali di cybersecurity, consulta anche:
“Cybersecurity e FSTEC: requisiti e soluzioni per system integrator” di H-ON Consulting e Siemens. Scarica il white paper dal sito h-on.it.
Oppure partecipa a questo evento:
17 giugno 2021 ore 11.00 - 12.00, “Cyber Security OT e requisiti di sicurezza degli standard internazionali”. Iscriviti al webinar gratuito organizzato da H-ON Consulting e Siemens.
