BUSINESS ASSURANCE 

LA SECURITY DIGITALE NELLE RETI DI COMUNICAZIONE INDUSTRIALI IN ACCORDO AGLI

SAFER, SMARTER, GREENER 

STANDARD SERIE IEC 62443

DNV GL T. +39 039 6899905 F. +39 039 6899930 E. milan@dnvgl.com www.dnvgl.it

IT SECURITY NELLE RETI INDUSTRIALI (IEC 62443)I sistemi di controllo dei processi industriali in caso di fallimento possono avere impatti critici per persone e ambiente. L’Unione Europea ha identificato le infrastrutture critiche, tra le quali le reti di distribuzione di acqua, gas, elettricità, prodotti chimici, trasporti e di macchinari potenzialmente pericolosi. Mentre le minacce informatiche attuali diventano sempre più pericolose per i sistemi di automazione, la continua evoluzione dei rischi suggerisce che un elevato livello di sicurezza può essere raggiunto con l’approccio di tecniche di security digitali o di sicurezza funzionale.

Gli Industrial Automation Control Systems (IACS) hanno bisogno di implementare alti livelli di security per la sicurezza funzionale. Senza security il raggiungimento delle funzioni di sicurezza può essere compromesso.

Se uno IACS esegue una funzione di sicurezza e l’attacco cyber è classificato come potenzialmente pericoloso, il sistema di controllo deve essere sviluppato e validato in accordo agli standard IEC 62443, al fine di:

Garantire un adeguato livello di security contro leminacce esterne.

Aumentare il livello di protezione dei dati. Aumentare l’affidabilità dei sistemi.

Gli standard di security digitale industriale si strutturano su quattro segmenti:

Esempi di IACS sono elencati di seguito:

Industrial Control Systems (ICS) e DistributedControl Systems (DCS).

Programmable Logic Controllers (PLCs). Remote Terminal Units (RTUs). Intelligent Electronic Devices (IEDs). Supervisory Control and Data Acquisition

(SCADA). Networked Electronic Sensing & Control and

Monitoring & Diagnostic Systems (inclusi Safety-Instrumented Systems - SIS).

Il nostro obiettivo è diminuire la vulnerabilità e la violazione della sicurezza digitale e quindi ridurre possibili danni pericolosi.

Come? DNV GL esegue un Security Assessement al fine di determinare il Security Level idoneo per i prodotti o i sistemi d’interesse.

Il Security Level è il “Livello di confidenza del grado di vulnerabilità dello IACS da attacchi pericolosi.”

Sono raggiungibili i seguenti Security Level:

Security Level 0 (SL0): nessuna protezione richiesta.

Security Level 1 (SL1): protezione contro la violazione occasionale o casuale.

Security Level 2 (SL2): protezione contro la violazione intenzionale con mezzi scarsi, con risorse scarse, competenze generiche del sistema e motivazione scarsa.Security Level 3 (SL3) protezione contro la violazione intenzionale con mezzi sofisticati, con risorse moderate, competenze specifiche del sistema e motivazione moderata.Security Level 4 (SL4) protezione contro la violazione intenzionale con mezzi sofisticati con risorse ingenti, competenze specifiche del sistema e forte motivazione.

Il nostro assessment prevede i seguenti passaggi:

Analisi delle tecnologie di sicurezza implementate.

Verifica dei requisiti dello IACS securitymanagement system.

Determinazione del target SL per componenti esistemi.

Capacità di progettare in ottica security. Analisi del rischio. Definizione e implementazione delle contro

misure necessarie. Analisi delle possibili minacce. Assessement quantitativo, con stima della

probabilità di penetrazione nelle reti locali. Penetration test per il rilievo sperimentale della

vulnerabilità del sistema.

Di seguito si riportano alcuni esempi di prodotto e di sistemi sotto il campo di applicazione degli standard di sicurezza nel campo dell'automazione:

Embedded Devices (e.g. Controllers).

DNV GL T. +39 039 6899905 F. +39 039 6899930 E. milan@dnvgl.com www.dnvgl.it

Host Devices (e.g. Operator Stations). Network Devices (e.g. Firewalls, Routers). Application Software (e.g. Engineering Tools,

HMI’s).

Quali sono i principali benefici?

Il vantaggio potrà apparire intangibile, ma questo tipo di assessment aumenterà la vostra credibilità sul mercato, con un conseguente incremento delle vendite:

la maggior parte dei sistemi di comando econtrollo sul mercato richiede una dimostrazionedel livello di security espresso in SL.

la disponibilità ed eccellente manutenibilitàdei prodotti progettati per soddisfare altilivelli di security digitale.

Quali sono le norme?

La serie di standard IEC 62443, definisce le line guida per incrementare la sicurezza digitale degli Industrial Automation and Control Systems (IACS). Questi standard si applicano agli utilizzatori finali (es. proprietari della rete), system integrators, operatori di security e costruttori di sistemi di controllo. Tutti gli standard IEC 62443 sono organizzati su quattro livelli denominati 1. Generali, 2. Politica e Procedure, 3. Sistemi e 4. Componenti.

1. Prima categoria include informazioni e concettigenerali, modelli e la terminologia. Sono descrittianche i parametri di sicurezza digitali e il ciclo divita della sicurezza digitale per IACS.

2. Seconda categoria destinata ai gestori della rete.3. Terza categoria descrive il modello di sviluppo di

sistemi attraverso l’integrazione di componenti.4. Quarta categoria descrive i requisiti dei prodotti

che implementano tecniche di protezione daattacchi cyber.

Da dove iniziare?

Gli step seguenti rappresentano il percorso di security industrial assessement:

Step 1: definire la capacità di condurre FSE (es. Management). Step 2: definire un livello di rischio tollerabile. Step 3: identificare le funzioni di sicurezza per ciascuna minaccia. Step 4: definire SL per gli IACS a livello di componente o sistema. Step 5: analisi delle minacce, valutazione del rischio. Step 6: connection port scanning, penetration testing, fuzz testing, communication port load testing e binary code scanning. Step 7: assessement di raggiungimento del target SL. Step 8: determinazione del rischio residuo.

Come può aiutarti DNV GL – Business Assurance?

DNV GL - Business Assurance offre una vasta gamma di servizi per aiutare le aziende ad adottare i requisiti degli standard di security digitale al fine di immettere sul mercato sistemi di controllo IACS sicuri. Training (base e avanzato) sulla “Security Digitale nell’Industria”

La nostra offerta formativa include corsi introduttivi di base e specialistici con l’obiettivo di diffondere la conoscenza degli standard di sicurezza funzionale nel settore dell’automazione industriale.

I corsi avanzati affrontano tutti gli aspetti dello standard. La formazione avanzata migliorerà le competenze degli ingegneri della sicurezza nelle varie discipline (sistema, hardware, software) in relazione all’analisi e alla mitigazione del rischio.

La formazione è indirizzata a tecnici di vario livello, quali supervisor, operatori ed esperti.

IT Security Management Certification

Gli standard di security digitale industriale definiscono i requisiti per la corretta gestione dei processi coinvolti nelle fasi di ricerca e sviluppo e progettazione di sistemi critici per la sicurezza, violabili dall’esterno mediante attacchi cyber. Il percorso di certificazione si basa su schemi conformi allo standard ISO 17021.

Certificiazione di componenti

I nostri servizi: Analisi dei pericoli e delle minacce. Assistenza tecnica nell’implementazione di

tecniche di riduzione del rischio di penetrazionedelle reti di comunicazione e dei dati.

Validazione delle comunicazioni. Security assessement. Certificazione del livello di security.

Perché scegliere DNV GL - Business Assurance?

DNV GL - Business Assurance è un organismo di certificazione leader a livello mondiale. Vantiamo una lunga esperienza nella fornitura di servizi all'industria. La nostra esperienza nella valutazione e miglioramento dei processi per l'industria si basa sul modello Risk Based Certification®. I nostri valutatori hanno acquisito una vasta esperienza nella gestione del rischio nei vari settori. Siamo in grado di supportare i nostri clienti nel raggiungere prestazioni di eccellenza per i loro prodotti, processi e organizzazioni. I nostri servizi di certificazione, valutazione e formazione aiutano i nostri clienti ad accrescere la fiducia degli investitori e costruire un business sostenibile.

DNV GL T. +39 039 6899905 F. +39 039 6899930 E. milan@dnvgl.com www.dnvgl.it

DNV GL – Business Assurance 

dnvgl.it  milan@dnvgl.com 

DNV GL 

Con  l’obiettivo  di  salvaguardare  la  vita,  la  proprietà  e  l’ambiente,  DNV  GL  consente  alle  organizzazioni  di  incrementare  la  sicurezza  e  la  sostenibilità  delle  proprie  attività.  Leader  per  i  servizi  di  classificazione, certificazione, verifica e  formazione, DNV GL opera oggi a  livello globale. Con origini nel 1864 è presente  in oltre 100 Paesi con 15.000 professionisti impegnati ad aiutare i propri clienti a rendere il mondo più sicuro, più intelligente e più verde. 

DNV GL  ‐  Business Assurance è uno dei principali enti di certificazione a livello mondiale. Presente in Italia con 9 sedi sul territorio e oltre 230 professionisti, lavora con le aziende di ogni settore per assicurarne la qualità  dei  prodotti  e  dei  servizi  e  l’efficienza  dell’organizzazione  e  dei  processi.  Dalla  certificazione  dei  sistemi di gestione alla certificazione di prodotto, agli interventi in materia di salute, sicurezza e ambiente, affianca le aziende interessate a crescere responsabilmente.   

The trademarks DNV GL and the Horizon Graphic are the property of DNV GL AS. All rights reserved. ©DNV GL 09/2014. ©DNV GL 09/2014