Cybersecurity: IEC62443 e l’approccio secondo i “Security Level”

Come abbiamo visto nel mio precedente articolo, la teoria RAT identifica come la motivazione dell’attaccante sia un importante elemento per valutare le minacce e come sia necessario implementare adeguate misure di protezione per evitare o rispondere ad attacchi cyber.

Con riferimento alla cybersecurity applicata al mondo OT (Operational Technology), analogamente lo standard IEC 62443, che si basa sul principio dell’approccio al rischio, definisce come andare ad implementare le protezioni facendo riferimento alle motivazioni degli attaccanti e ai rischi di danni che possono conseguire a un attacco andato a buon fine.

In particolare, a partire dalla analisi dei rischi correlabili a una minaccia, vengono definiti 5 livelli di sicurezza che possono essere implementati, a partire dal Security Level 0 (non ci sono particolari necessità di protezione) fino ad arrivare al Security Level 4 (protezione massima).

Una delle caratteristiche più importanti dello standard IEC62443, ovunque preso come riferimento per le infrastrutture OT, è quella di definire dei livelli di sicurezza non solo per i singoli componenti di un sistema ma anche per un sistema nel suo insieme, come la somma di tecnologie, architetture e procedure applicate.

Un’altra importante caratteristica della IEC62443 è quella di fornire delle check list per la definizione dei Security Level, rendendo oggettiva e standardizzata la valutazione della capacità di un sistema di resistere ad attacchi informatici.

E infine il concetto di Security Level segue la stessa logica dei livelli di sicurezza “SIL” utilizzati per valutare le caratteristiche di “Safety” (“sicurezza fisica” diremmo in italiano) che si riferiscono alla capacità di un sistema di operare con continuità senza provocare danni alle persone o alle cose, secondo gli standard IEC61508 e IEC61511. La valutazione ed il rispetto dei livelli SIL è obbligatoria da tempo, ad esempio, per i sistemi di controllo di infrastrutture critiche quali: i tunnel ferroviari o stradali, gli impianti ad alto rischio di impatto ambientale, i sistemi di segnalazione.

Vediamo come sono definiti i livelli di sicurezza cyber e come in pratica questi livelli di sicurezza possono essere raggiunti, nella realizzazione di un sistema di controllo industriale.

La definizione di security Level si riferisce alle protezioni che devono essere introdotte per mitigare attacchi provenienti da:

SL1: errori involontari commessi da soggetti appartenenti alla organizzazione (ad es. errori di impiegati);

SL2: attacchi volontari da parte di soggetti con poche risorse, mezzi semplici, basse motivazioni e generiche conoscenze in ambito dei sistemi di controllo industriale (ICS) (come: cybercriminali, hackers);

SL3: attacchi volontari da parte di soggetti con moderate risorse, mezzi sofisticati, moderate motivazioni e specifiche conoscenze in ambito dei sistemi di controllo industriale (ICS) (cyberterroristi e hacktivisti)

SL4: attacchi volontari da parte di soggetti con grandi risorse, mezzi sofisticati, alte motivazioni e specifiche conoscenze in ambito dei sistemi di controllo industriale (ICS) (cyberterroristi, cyberattacchi di nazioni, APT).

Per raggiungere i Livelli di Sicurezza sono stati definiti dei parametri di valutazione oggettiva in modo che sia possibile uniformare le valutazioni, ovunque esso venga realizzato a livello mondiale.

I requisiti fondamentali che vengono valutati nelle verifiche di conformità o certificazioni sono 7, che sono poi ulteriormente arricchiti da un certo numero di requisiti supplementari per arrivare ad una descrizione completa dalle caratteristiche di sicurezza di un sistema e/o di un prodotto.

I requisiti fondamentali valutano come un sistema sia in grado di:

1. Controllare l’identificazione e l’autorizzazione all’accesso

2. Controllare gli utenti nelle loro operazioni

3. Gestire la confidenzialità dei dati

4. Gestire l’integrità dei dati

5. Controllare e limitare il flusso dei dati

6. Reagire tempestivamente ad un evento malevolo

7. Assicurare la ridondanze critiche del sistema

Ciascuno dei sopramenzionati requisiti fondamentali, come già detto, viene poi arricchito da requisiti supplementari e va a costituire una check list “oggettiva” di circa 100 parametri che definisce il Livello di Sicurezza raggiunto (Achieved) da un sistema (o da un prodotto).

È importante notare che in un progetto di cybersecurity OT il raggiungimento di un SL Target (SL-T) può essere pianificato con diverse fasi che possono prevedere anche l’ammodernamento delle infrastrutture produttive per renderle idonee alla introduzione dei controlli di cybersicurezza. Il raggiungimento del SL-T potrà avvenire raggiungendo nel tempo, dei SL intermedi.

Questo processo può durare anche anni, durante i quali, per garantire la sicurezza dell’impianto, potrà essere necessario introdurre dei controlli compensativi, anche temporanei, in grado di sopperire a eventuali carenze legate all’obsolescenza dei sistemi.

Un altro elemento fondamentale da considerare è l’introduzione di piani di manutenzione e aggiornamento, dedicati al mondo OT. Questi piani devono tenere conto della necessità di limitare gli impatti nei cicli produttivi, integrarsi nei processi e mantenere le componenti cyber aggiornate, per quanto validato dai fornitori di componenti dei sistemi e non interferire nei processi di supervisione e controllo.

La principale differenza rispetto alle verifiche che si fanno in ambito IT, può risiedere nel fatto che l’approccio avviene a livello di sistema e che non sono definite delle baseline, ma si deve avere una vision quanto più possibile “olistica”.

_{* ISA99/IEC62443 Expert}