Il modo di gestire la sicurezza industriale è cambiato radicalmente.
Se prima si agiva solo a livello di sicurezza funzionale, ovvero garantendo che i macchinari e gli impianti non subissero anomalie meccaniche, oggi bisogna considerare anche l’impatto digitale.
Per riuscirci e garantire alti livelli di cybersecurity, conoscere e applicare i principi della IEC 62443 è estremamente importante. Analizziamone i dettagli.
In questo articolo parliamo di:
Non perderti i prossimi articoli:
clicca sul bottone e iscriviti alla newsletter.
L’insieme di standard informatici raccolti dalla norma IEC 62443 si pone l’obiettivo di regolamentare i sistemi IACS (Industrial Automation Control System) affinché garantiscano un adeguato livello di sicurezza informatica alle aziende.
Rispettare i principi previsti dalla normativa significa quindi impedire che la connettività degli strumenti IIoT, oggi essenziali per le industrie, fornisca un terreno fertile per la proliferazione degli attacchi informatici.
Il rischio di sabotaggio e fughe di dati sensibili è troppo alto per consentire alle aziende di ignorare questo fenomeno. Secondo i dati del Cyber Security Report di TIM, tra il 2022 e il 2024 il 26% dei cyber attacchi ha avuto come obiettivo il settore dell’industria manifatturiera.
Per eludere questa eventualità, la norma IEC 62443-4-2 definisce, per ogni dispositivo, quattro livelli di sicurezza crescente basati su:
Tale categorizzazione permette a un’azienda di verificare la capacità di un dispositivo di soddisfare le esigenze di sicurezza:
La IEC 62443 e le sue sotto normative definiscono una serie di linee guida che regolano tutti i sistemi IACS basati sull’IIoT, sull’automazione e che comunicano attraverso la rete internet.
Ne è un esempio lo standard IEC 62443-3-2 per la sicurezza funzionale, che suddivide tale processo in due passaggi. Il primo è l'identificazione delle zone e dei condotti a rischio potenziale e la definizione dei principali obiettivi di sicurezza. Alla valutazione iniziale dei rischi segue un'analisi delle minacce potenziali e delle misure precauzionali da adottare.
Vediamo di seguito quali altre linee guida definisce la IEC 62443.
Principio del privilegio minimo
Uno standard di sicurezza che segmenta le tipologie di accesso a una rete in modo che gli utenti dispongano solo dei privilegi minimi per eseguire le proprie attività.
Architettura Zero Trust
La ZTA riguarda un framework di sicurezza per garantire l’accesso a una rete solo agli utenti autorizzati attraverso sistemi di crittografia, come l'autenticazione a due fattori. Questa difesa informatica è essenziale per i veicoli off-highway che prevedono controlli e diagnostica da remoto.
Procedure di override manuale
Una delle problematiche più gravi quando si verifica un attacco su un sistema basato sull’automazione è l'impossibilità, da parte del personale, di intervenire per bypassare il sistema infetto.
Prevedere procedure di override manuale permette, per esempio, di riprendere il controllo di un sistema di guida a prescindere dalle anomalie del software.
Segmentazione delle reti
Una rete “piatta”, come una intranet a cui tutta l’azienda ha accesso in egual modo, rappresenta il terreno più fertile per l’espansione di un attacco informatico.
Per impedire questa eventualità, è necessario segmentare le reti interne.
Il primo passo è suddividere la rete in zone (VLAN) in base alla funzione o al livello di criticità dei dispositivi.
In questo modo si creano reti separate che comunicano tra loro solo attraverso una barriera (firewall).
Identificazione e autenticazione dell’utente
Ogni persona deve effettuare l’accesso alla rete aziendale attraverso procedure crittografiche come l’uso di Token, password e accesso biometrico.
Utilizzo di un repository remoto e policy di backup
La sicurezza dei dati è un tema centrale della normativa IEC 62443.
Per garantirne l’integrità, è fondamentale raccogliere tutti i registri digitali in sistemi di archiviazione centralizzati (repository remoti), prevedendo anche procedure di backup per il recupero di dati persi in caso di attacco.
Minima funzionalità attiva
Questo principio, coerente con la metodologia del Security by Default, prevede che qualsiasi componente con sensori e capacità IIoT integrato in un macchinario non includa funzionalità digitali superflue che possano rappresentare una porta d’accesso per attacchi informatici.
Tra il 2024 e il 2025 la IEC 62443 è stata soggetta ad alcuni aggiornamenti normativi, tra cui la revisione delle parti -2-1, destinata agli utilizzatori di sistemi IACS e l’introduzione della 2-2, che offre un supporto pratico nell’implementazione dei programmi di cybersecurity previsti dalla normativa.
Di seguito le principali novità.
Ristrutturazione dei requisiti in SPE (Security Program Elements) per guidare in modo più efficace il cliente finale nell’implementazione dei dispositivi, nell’audit e nella ricezione degli standard europei.
Definizione di un modello di maturità per la verifica dell’efficacia di un programma rispetto ai requisiti normativi. Questo aggiornamento mira, parallelamente, ad aumentare la consapevolezza della cybersecurity come processo di miglioramento continuo.
Definizione del ciclo di vita utile delle componenti di cybersecurity a più di vent’anni. L’aggiornamento comprende una guida verticale sui sistemi legacy che definisce le misure compensative applicabili quando una componente non è più aggiornabile.
La cybersecurity è la nuova sfida della sicurezza industriale: l’adozione crescente di componenti IIoT richiede una preparazione adeguata contro gli attacchi informatici che, grazie a questi strumenti, si fanno sempre più frequenti.
La prima linea di difesa è l’adozione dei principi della normativa IEC 62443, che guidano persone e aziende nel garantire a macchinari e impianti protezione contro i cyber attacchi.
Conoscere è il primo passo del progresso:
iscriviti alla newsletter per ricevere i prossimi aggiornamenti.
.png?width=2000&height=416&name=onda_rossa_rev%20(1).png "onda_rossa_rev (1)")
