I livelli di sicurezza IEC 62443

Nella Functional Safety, il livello di affidabilità di un Safety Instrumented System (SIS) è misurato tramite i SIL (Safety Integrity Levels). Esistono quattro livelli di SIL, dove SIL 1 rappresenta il livello più basso e SIL 4 indica un sistema di controllo di sicurezza altamente affidabile.

Poiché il Comitato Tecnico che sviluppa le norme sui SIL è lo stesso che sviluppa la serie IEC 62443, non sorprende che anche il livello di sicurezza dei sistemi di automazione e controllo industriale (IACS) sia stato definito attraverso i Security Levels (SL).

Analogamente ai SIL, anche per i Security Levels esistono quattro livelli (1, 2, 3 e 4), caratterizzati da sicurezza crescente. Il livello SL 0 è implicitamente definito come assenza di requisiti o protezioni di sicurezza.

• • SL 1: Protezione contro violazioni casuali o accidentali
  • SL 2: Protezione contro violazioni intenzionali effettuate con mezzi semplici, risorse limitate, competenze generiche e bassa motivazione
  • SL 3: Protezione contro violazioni intenzionali effettuate con mezzi sofisticati, risorse moderate, competenze specifiche sugli IACS e motivazione moderata
  • SL 4: Protezione contro violazioni intenzionali effettuate con mezzi sofisticati, risorse estese, competenze specifiche sugli IACS e alta motivazione.

Il processo inizia stabilendo quanto sicuro deve essere il sistema. Questo livello prende il nome di Target Security Level (SL-T) e riflette il grado di protezione necessario per gestire i rischi identificati.

Una volta definito il livello obiettivo, il sistema viene progettato per soddisfare tale livello di protezione. Durante la fase di progettazione, il team verifica se il sistema proposto è effettivamente in grado di raggiungere il livello di sicurezza richiesto. Questo avviene generalmente attraverso più iterazioni di progetto, nelle quali il livello di sicurezza atteso viene riesaminato e confrontato con il valore obiettivo.

Per raggiungere il livello di sicurezza richiesto, vengono selezionati componenti e tecnologie adeguati. Qualora i componenti disponibili non soddisfino pienamente il livello richiesto, vengono introdotte misure di protezione aggiuntive per compensare.

Dopo che il sistema è stato realizzato e messo in esercizio, il livello di sicurezza effettivamente raggiunto viene valutato. Tale livello viene quindi confrontato con l’obiettivo iniziale per confermare che il sistema sia adeguatamente protetto e che i rischi residui siano compresi e gestiti.

Questo è il motivo per cui la IEC 62443 definisce tre tipi di Security Level (SL): target, achieved e capability. Sebbene siano tra loro correlati, questi livelli riguardano aspetti differenti del ciclo di vita della sicurezza.

• I Target Security Level (SL-T) (livelli di sicurezza obiettivo) rappresentano il livello di sicurezza desiderato per uno specifico IACS, zona o condotto. Essi sono generalmente determinati attraverso l’esecuzione di una valutazione del rischio su un sistema, dalla quale emerge la necessità di un determinato livello di sicurezza per garantirne il corretto funzionamento.
• Gli Achieved Security Level (SL-A) (livelli di sicurezza raggiunti) rappresentano il livello di sicurezza effettivo di un determinato sistema. Vengono valutati quando il progetto del sistema è disponibile o quando il sistema è già in esercizio, e servono a verificare che il sistema di sicurezza soddisfi gli obiettivi definiti inizialmente negli SL-T.
• I Capability Security Level (SL-C) rappresentano i livelli di sicurezza che componenti o sistemi possono fornire se correttamente configurati. Tali livelli indicano che uno specifico componente o sistema è in grado di soddisfare intrinsecamente gli SL-T, senza l’uso di contromisure compensative aggiuntive, quando correttamente configurato e integrato.

[IEC 62443-1-1: 2009] 5 Concetti – 5.11 Livelli di sicurezza
5.11.2 Tipi di livelli di sicurezza – 5.11.2.1 Generalità

Possono essere definiti tre diversi tipi di livelli di sicurezza, come segue:

a) SL(target) – livello di sicurezza obiettivo per una zona o un condotto;
b) SL(achieved) – livello di sicurezza raggiunto di una zona o di un condotto;
c) SL(capability) – livello di sicurezza di capacità delle contromisure associate a una zona o a un condotto, oppure livello di sicurezza intrinseco di dispositivi o sistemi presenti all’interno di una zona o di un condotto.

Il significato di SL 0 varia in base al contesto in cui viene applicato.

Nel definire l’SL-C (Security Level – Capability), SL 0 indica che il componente o il sistema non soddisfa alcuni dei requisiti di SL 1 per una determinata FR (Foundational Requirement). Questo caso riguarda tipicamente componenti o sistemi che fanno parte di una zona più ampia, nella quale altri componenti o sistemi forniscono contromisure compensative.

Nel definire l’SL-T (Target Security Level) per una specifica zona, SL 0 indica che il proprietario dell’asset ha stabilito, sulla base dei risultati dell’analisi del rischio, che non sono necessari tutti i requisiti specifici di SL 1 per quella particolare FR sul componente o sistema considerato. Ciò avviene più frequentemente per singoli componenti all’interno di un sistema o di una zona che non contribuiscono in alcun modo ai requisiti specifici della FR.

Nel definire l’SL-A (Achieved Security Level), SL 0 indica che la zona considerata non soddisfa alcuni dei requisiti di SL 1 per quella specifica FR.

Le violazioni di sicurezza casuali o accidentali sono generalmente dovute a una applicazione poco rigorosa delle politiche di sicurezza. Possono essere causate tanto da dipendenti in buona fede quanto da minacce esterne. Molte di queste violazioni sono legate alla sicurezza e vengono gestite attraverso l’applicazione e il rispetto di politiche e procedure.

Un esempio semplice è un operatore che riesce a modificare un set point sulla engineering station nella zona BPCS portandolo a un valore al di fuori dei limiti stabiliti dal personale di ingegneria. Il sistema non ha imposto un’adeguata autenticazione e restrizioni di controllo dell’uso per impedire tale modifica da parte dell’operatore.
Un altro esempio, facendo riferimento alla Figura A.1, è l’invio di una password in chiaro attraverso il condotto tra la zona BPCS e la DMZ, permettendo a un tecnico di rete di visualizzarla durante attività di troubleshooting. In questo caso, il sistema non ha garantito un’adeguata riservatezza dei dati per proteggere la password.
Un terzo esempio è quello di un ingegnere che intende accedere a un PLC in una rete industriale, ma accede invece al PLC di una rete diversa. Il sistema non ha applicato una corretta limitazione del flusso dei dati, impedendo l’accesso al sistema errato.

I mezzi semplici non richiedono una conoscenza approfondita da parte dell’attacker. L’attacker non necessita di una conoscenza dettagliata della sicurezza, del dominio applicativo o del sistema specifico sotto attacco. Questi vettori di attacco sono ben noti e spesso esistono strumenti automatici che facilitano l’attacco. Inoltre, sono progettati per colpire un’ampia gamma di sistemi, piuttosto che un sistema specifico, e pertanto non richiedono elevati livelli di motivazione o risorse.

Un esempio è un virus che infetta la workstation di manutenzione nella Plant DMZ e si diffonde alla workstation di ingegneria BPCS, poiché entrambe utilizzano lo stesso sistema operativo general purpose.
Un altro esempio è un attacker che compromette un web server nella rete enterprise sfruttando un exploit scaricato da Internet per una vulnerabilità pubblicamente nota del sistema operativo del server. L’attacker utilizza poi il web server come punto di appoggio (pivot) per attaccare altri sistemi della rete enterprise e della rete industriale.
Un terzo esempio è un operatore che visualizza un sito web su un’HMI situata nella Rete Industriale #1, scaricando un Trojan che apre un varco nei router e nei firewall verso Internet.

I mezzi sofisticati richiedono conoscenze avanzate di sicurezza, conoscenze approfondite del dominio applicativo, conoscenze specifiche del sistema bersaglio o una combinazione di questi elementi. Un attacker che prende di mira un sistema con SL 3 utilizzerà probabilmente vettori di attacco personalizzati per il sistema specifico.
L’attacker può sfruttare exploit poco noti nei sistemi operativi, debolezze nei protocolli industriali, o informazioni specifiche su un determinato bersaglio per violare la sicurezza del sistema, richiedendo quindi maggiore motivazione, competenze e conoscenze rispetto ai livelli SL 1 o SL 2.

Un esempio di mezzi sofisticati è l’uso di strumenti di cracking di password o chiavi basati su tabelle hash. Tali strumenti sono disponibili per il download, ma il loro utilizzo richiede una conoscenza del sistema (ad esempio l’hash della password da decifrare).
Un altro esempio è un attacker che ottiene accesso a un FS-PLC tramite un condotto seriale, dopo aver compromesso un PLC di controllo sfruttando una vulnerabilità nel controller Ethernet.
Un terzo esempio è un attacker che accede al data historian mediante un attacco brute force attraverso il firewall della DMZ industriale/enterprise, avviato dalla rete wireless enterprise.

Gli SL 3 e SL 4 sono molto simili, poiché entrambi prevedono l’uso di mezzi sofisticati per violare i requisiti di sicurezza del sistema. La differenza risiede nel fatto che, nel caso di SL 4, l’attacker è ancora più motivato e dispone di risorse estese. Queste possono includere risorse di calcolo ad alte prestazioni, un grande numero di computer o lunghi periodi di tempo dedicati all’attacco.

Un esempio di mezzi sofisticati con risorse estese è l’utilizzo di supercomputer o cluster di calcolo per condurre attacchi brute force alle password usando grandi tabelle hash.
Un altro esempio è l’impiego di una botnet per attaccare un sistema utilizzando più vettori di attacco simultaneamente.
Un terzo esempio è un’organizzazione criminale strutturata che dispone della motivazione e delle risorse necessarie per dedicare settimane all’analisi di un sistema e allo sviluppo di exploit “zero-day” personalizzati.