Linee guida dello standard IEC 62443 per la sicurezza informatica industriale

Lo standard IEC 62443 per la sicurezza informatica degli impianti

L’obiettivo principale dello standard IEC 62443 è garantire la sicurezza dell’impianto industriale, inclusa la confidenzialità, la disponibilità e l’integrità dei dati utilizzati.

Il documento definisce quattro livelli di sicurezza crescenti: Security Level 1 (SL1) per la protezione contro la violazione occasionale o casuale; Security Level 2 (SL2) per la protezione contro la violazione intenzionale con mezzi scarsi, con risorse scarse, competenze generiche del sistema e motivazione scarsa; Security Level 3 (SL3) per la protezione intenzionale con mezzi sofisticati, con risorse moderate, competenze specifiche del sistema e motivazione moderata con risorse moderate; Security Level 4 (SL4) per la protezione contro la violazione intenzionale con risorse ingenti. I requisiti di sicurezza variano in base alla criticità dell’impianto e agli obblighi legali.

L’adozione sempre più diffusa dell’Internet of Things (IoT) nei sistemi industriali sta avvenendo a un ritmo significativo, parallela all’emergere del paradigma “Industria 4.0”. Questo ha un impatto diretto sulla sicurezza informatica delle installazioni industriali, poiché la superficie di attacco degli impianti sta aumentando in modo considerevole.

È diventato quindi fondamentale proteggere le singole apparecchiature da manipolazioni malevole da parte di terzi, senza però compromettere le funzionalità essenziali dei dispositivi e degli impianti stessi.

Quest’aspetto cruciale viene descritto in una serie di linee guida che da decenni sono presenti nel campo dell’informatica, ma solo di recente hanno acquisito importanza nella progettazione e nell’operatività degli impianti industriali.

Standard IEC 62443: il controllo degli accessi

Lo standard mette anche l’accento sull’importanza del controllo degli accessi. Ogni parte attiva del sistema, come ad esempio un operatore di macchina, deve avere solo i privilegi di accesso necessari per svolgere le proprie funzioni. Ciò richiede un controllo granulare degli accessi e l’attribuzione di comandi specifici a ogni utente o ruolo; inoltre, ogni dispositivo deve essere predisposto per l’integrazione in un sistema di gestione delle identità di stabilimento. L’identificazione e l’autenticazione degli utenti sono altrettanto importanti, utilizzando metodi come userID/password, token fisici, certificati crittografici o biometria, spesso in combinazione tra loro e con una durata temporale finita e limitata.

A questo scopo, sarà necessario creare una lista di ruoli con diversi livelli di accesso, a cui verranno assegnate le parti attive del sistema durante la fase di configurazione, parti attive che possono essere persone/utenti, processi software o altre apparecchiature che devono interagire con il componente certificato.

Per motivi di sicurezza, è necessario avere una procedura di override manuale in casi di emergenza e, in specifiche attività particolarmente importanti o critiche, un sistema che richieda l’approvazione da parte di due entità.

Quando il componente dispone di un’interfaccia di accesso (come nella maggior parte dei dispositivi moderni), questa deve avere una funzionalità di blocco automatico in caso di inattività e limitare il numero di sessioni contemporanee per evitare il sovraccarico delle risorse a causa di un’elevata richiesta.

L’importanza dei log nello Standard IEC 62443

Ogni dispositivo deve essere in grado di generare registri e registrare una serie di eventi legati alla sicurezza, come accessi riusciti e falliti, modifiche di configurazione, eventi del sistema di protezione, lettura dei registri, ecc., con marcature temporali accurate (time stamp), identificazione univoca dell’oggetto, dell’utente e del risultato dell’azione.

La norma specifica che l’apparecchiatura deve essere in grado di inviare i registri a un repository remoto (per evitare compromissioni in loco) e deve includere un meccanismo per prevenire la saturazione della capacità di archiviazione locale. Inoltre, deve implementare un sistema di non ripudiabilità dei registri, in modo da poter garantire un’attribuzione certa e irrefutabile di ogni singolo evento registrato.

L’aspetto cruciale dell’integrità dei sistemi

I comandi che vengono trasmessi nelle reti industriali possono avere un impatto critico; pertanto, i diversi componenti certificati devono includere un sistema per verificare l’integrità di tali comandi al fine di prevenire modifiche non autorizzate. Questo obiettivo viene raggiunto principalmente attraverso controlli preventivi (sia locali che remoti).

Inoltre, si aggiunge la verifica accurata dei comandi mediante l’utilizzo di sistemi crittografici per la firma del messaggio (per garantire l’integrità del messaggio) o la crittografia completa del messaggio stesso. Naturalmente, è fondamentale avere un sistema per la validazione degli input.

Qualsiasi non conformità deve essere segnalata automaticamente non appena viene rilevata dall’apparecchiatura. Tuttavia, la gestione degli errori non deve fornire informazioni agli eventuali attaccanti (nella norma si fa specifico riferimento alle linee guida OWASP).

Infine, è richiesto un sistema per la validazione delle sessioni di comunicazione al fine di impedire che un attaccante malevolo si inserisca in una sessione legittima e invii comandi non autorizzati.

Segmentazione delle reti secondo lo Standard IEC 62443

La norma richiede che gli Edge Device IIoT operino in ambienti segmentati, utilizzando firewall e VPN per impedire la fuoriuscita dei flussi di dati dalle zone specifiche.

Reazioni tempestive e backup efficaci

Per garantire una rapida risposta agli attacchi, i sistemi certificati devono rilevare autonomamente le manipolazioni e segnalarle, rimanendo attivi anche durante gli attacchi di tipo Denial of Service. Inoltre, devono essere in grado di passare in uno stato di protezione in modo prevedibile ed automatico.

Una delle debolezze comuni dei sistemi industriali è la mancanza di procedure di backup adeguate. I sistemi conformi allo Standard IEC 62443-4-2 dovranno implementare rigorose politiche di backup con crittografia per proteggere le informazioni e garantire il ripristino delle funzionalità in caso di incidenti.

Principio della minima funzionalità attiva

In caso di emergenza, per impostazione predefinita tutte le funzionalità non essenziali per il corretto funzionamento del dispositivo devono essere disattivate. Inoltre, i dispositivi devono essere in grado di comunicare con un sistema di catalogazione che consenta di specificare quali funzioni siano attivate e in quale modalità.

Questo principio garantisce che solo le funzionalità necessarie siano attive sui dispositivi, riducendo così la superficie di attacco e migliorando la sicurezza complessiva. La possibilità di dialogare con un sistema di catalogazione consente di gestire in modo flessibile le diverse configurazioni dei dispositivi, adattandole alle esigenze specifiche dell’ambiente in cui operano. In questo modo, si ottiene un maggiore controllo sulle funzionalità attive, riducendo potenziali rischi di vulnerabilità e consentendo una gestione più efficiente e sicura dei dispositivi industriali.

Pericolo del “mobile code” e gestione degli aggiornamenti:

Lo standard IEC 62443-4-2 pone particolare attenzione ai linguaggi che utilizzano il “mobile code” come Java, Javascript, Flash, ActiveX, e altri. È necessario effettuare una verifica preventiva di ogni applicativo software di questo tipo prima dell’esecuzione, tenendo traccia degli utenti autorizzati a inviare frammenti di codice e validando l’identità del mittente. La protezione si estende anche alle interfacce di test/diagnostica come i protocolli JTAG.

Inoltre, i dispositivi certificati devono essere in grado di ricevere aggiornamenti in modo sicuro, spesso tramite l’utilizzo di certificati crittografici. È di fondamentale importanza preservare l’accesso fisico ai dispositivi, ad esempio attraverso l’utilizzo di sigilli, e tracciare tali accessi nel sistema di gestione centrale. Durante l’avvio, i dispositivi devono verificare l’integrità del firmware e degli applicativi software, utilizzando anche la hardware root of trust (HWRoT).

Conclusioni

Lo standard IEC 62443 riunisce diversi aspetti importanti ampiamente discussi da una comunità globale di esperti della materia.

L’impatto della norma IEC 62443-4-2 e delle altre norme della famiglia 62443 può sembrare un aumento della complessità e dei costi operativi negli impianti industriali. Tuttavia, non si può sottovalutare il notevole vantaggio di mitigare i rischi associati a manipolazioni e danni, anche accidentalmente.

È importante considerare che, sebbene i cyber attacchi offrano agli attaccanti l’iniziativa, la conformità a norme di questo tipo garantisce al responsabile della sicurezza industriale una protezione supplementare indispensabile. Pur potendo sembrare un impegno aggiuntivo, il rispetto di queste norme contribuisce a rafforzare la sicurezza complessiva degli impianti e a proteggerli da potenziali minacce esterne.

Nonostante questo blog prenda in considerazione alcuni aspetti importanti, è difficile semplificare un corpo così esteso di informazioni come l’IEC 62443. Di conseguenza, si consiglia vivamente alle aziende che desiderano adottare le raccomandazioni dello standard IEC 62443 nelle proprie applicazioni di consultare partner tecnologici ed esperti del settore.

Questo perché, sebbene possa comportare una maggiore complessità e costi operativi, l’adozione delle norme come la IEC 62443 fornisce un livello di sicurezza superiore, mitigando i rischi di intrusioni e garantendo una protezione essenziale per la sicurezza industriale.