IEC 62443-3-2

La IEC 62443-3-2 è la norma che definisce come condurre una valutazione del rischio di un IACS (Industrial Automation and Control System).

La norma è sviluppata dallo stesso Comitato Tecnico IEC che sviluppa le norme di Sicurezza Funzionale delle serie IEC 61508 e IEC 61511 (IEC TC 65). Ciò significa che è maggiormente orientata ai rischi di grandi impianti chimici, piuttosto che ai rischi di una singola macchina, come ad esempio una transfer machine o un laminatoio.

In ogni caso, non esiste una ricetta semplice per mettere in sicurezza un sistema di automazione e controllo industriale (IACS), e c’è una valida ragione per questo: la sicurezza è una questione di gestione del rischio.
Ogni IACS presenta un rischio diverso per l’organizzazione in funzione delle minacce a cui è esposto, della probabilità che tali minacce si manifestino, delle vulnerabilità intrinseche del sistema e delle conseguenze nel caso in cui il sistema venga compromesso. Inoltre, ogni organizzazione che possiede e gestisce un IACS ha una diversa tolleranza al rischio.

La norma definisce un insieme di misure ingegneristiche che guidano un’organizzazione nel processo di valutazione del rischio di uno specifico IACS e nell’identificazione e applicazione delle contromisure di sicurezza necessarie a ridurre tale rischio a livelli tollerabili.

[IEC 62443-3-3: 2009] 3 Termini, definizioni, termini abbreviati, acronimi e convenzioni

3.1.6 contromisura (countermeasure) Azione, dispositivo, procedura o tecnica che riduce una minaccia, una vulnerabilità o le conseguenze di un attacco, eliminandolo o prevenendolo, minimizzando il danno che può causare, oppure individuandolo e segnalandolo affinché possano essere intraprese azioni correttive.

Questa parte della IEC 62443 stabilisce i requisiti per:

• definire il sistema in esame (System Under Consideration – SUC) per un sistema di automazione e controllo industriale (IACS);
• suddividere il SUC in zone e condotti (conduits);
• valutare il rischio per ciascuna zona e ciascun condotto;
• stabilire il livello di sicurezza obiettivo (Target Security Level – SL-T) per ogni zona e condotto;
• documentare i requisiti di sicurezza.

[IEC 62443-3-3: 2009] 3 Termini, definizioni, termini abbreviati, acronimi e convenzioni

3.1.1 Canale (Channel) Collegamento di comunicazione logico o fisico specifico tra asset.

3.1.3 Condotto (Conduit) Raggruppamento logico di canali di comunicazione che condividono requisiti di sicurezza comuni e che collegano due o più zone.

3.1.25 Zona (Zone) Raggruppamento di asset logici o fisici sulla base del rischio o di altri criteri, quali la criticità degli asset, la funzione operativa, la posizione fisica o logica, l’accesso richiesto (ad esempio secondo il principio del minimo privilegio) o l’organizzazione responsabile.

Nota 1 alla voce: Insieme di asset logici o fisici che rappresenta la suddivisione di un sistema in esame sulla base dei requisiti di sicurezza comuni, della criticità (ad esempio elevato impatto finanziario, sulla salute, sulla sicurezza o sull’ambiente), della funzionalità e delle relazioni logiche e fisiche (inclusa la localizzazione).

Lo scopo della valutazione iniziale del rischio di cybersecurity è acquisire una prima comprensione del livello di rischio massimo che il SUC (System Under Consideration) potrebbe comportare per l’organizzazione nel caso in cui venisse compromesso. Tale rischio è generalmente valutato in termini di impatto su salute, sicurezza, ambiente, continuità operativa, interruzione del business, perdita di produzione, qualità del prodotto, aspetti finanziari, legali e regolatori, reputazione, ecc.

Questa valutazione supporta la prioritizzazione delle valutazioni di rischio dettagliate e facilita il raggruppamento degli asset in zone e condotti all’interno del SUC.

La valutazione iniziale del rischio consente infatti una migliore classificazione degli asset in zone e condotti, necessaria per identificare gli asset che condividono requisiti di sicurezza comuni e per permettere l’individuazione delle misure di sicurezza comuni richieste per mitigare il rischio.
L’assegnazione degli asset IACS a zone e condotti può essere rivista e modificata sulla base dei risultati della valutazione di rischio dettagliata.

L’obiettivo principale della valutazione dettagliata del rischio secondo la IEC 62443-3-2 è:

• • Identificare le minacce di cybersecurity per il sistema di automazione e controllo industriale (IACS);
  • Valutare l’impatto potenziale degli incidenti cyber su sicurezza, operatività e business;
  • Determinare i livelli di sicurezza obiettivo (Target Security Level – SL-T) appropriati per ciascuna parte del sistema;
  • Fornire input tracciabili per la definizione dei requisiti di sicurezza del sistema.

La valutazione è basata sul rischio, il che significa che i controlli di sicurezza sono proporzionati alle conseguenze e alla probabilità delle minacce cyber.

Alcuni esempi di descrizione delle minacce sono:

• • Un dipendente non malevolo accede fisicamente alla zona di controllo di processo e collega una chiavetta USB a uno dei computer;
  • Un tecnico di supporto autorizzato accede logicamente alla zona di controllo di processo utilizzando un laptop infetto;
  • Un dipendente non malevolo apre una email di phishing, compromettendo le proprie credenziali di accesso.

L’obiettivo finale è determinare il Livello di Sicurezza richiesto che ciascuna Zona e ciascun Condotto devono possedere.
Non esiste un sistema di controllo sicuro al 100%, così come non esiste un sistema di controllo sicuro (safety) al 100%. La serie IEC 62443 definisce quattro livelli di sicurezza.