La perdita del controllo di Sistemi di Controllo Industriali può avere forte impatto sulle persone e sull’ambiente.
L’Unione europea ha individuato le infrastrutture critiche – che comprendono le reti energetiche e acqua, sostanze chimiche e reti di trasporto – come aree da regolamentare.
Mentre le minacce informatiche di oggi prendono sempre di più di mira i sistemi di automazione, la continua evoluzione delle minacce identifica la necessità della duplice defensive, la security informatica e la functional safety .
I Sistemi di controllo dell’Automazione Industriale (IACS), hanno bisogno di implementare la security per proteggere la sicurezza funzionale.
Senza misure di security le funzioni di sicurezza potrebbero essere compromesse.
Se lo IACS svolge funzioni di sicurezza un hazard può essere certamente un cyber attack, pertanto, vi è l’esigenza di sviluppare sistemi conformi agli standard IEC 62443 di security, al fine di:

  • Raggiungere la sicurezza contro le minacce esterne
  • Proteggere i dati e aumentare la sicurezza
  • Aumentare l’affidabilità del sistema

XEFRA può supportare i propri clienti su:

  • sviluppo di procedure di valutazione dei rischi di information security
  • formazione del personale sulla procedura di valutazione del rischio
  • modellazione delle minacce
  • individuazione  dei Target di Cyber security (SL)
  • esecuzione Cyber security Vulnerability Assessment
  • valutazione delle contromisure esistenti
  • esecuzione di campagne di penetration test
  • attività di verifica e validazione di prodotti

Di seguito alcuni esempi di IACS:

  • Industrial Control Systems (ICS), incl. Distributed Control Systems (DCS)
  • Programmable Logic Controllers (PLCs)
  • Remote Terminal Units (RTUs)
  • Intelligent Electronic Devices (IEDs)
  • Supervisory Control and Data Acquisition (SCADA)

Abbiamo diversi Security Level:

Security Level 0 (SL0) No protection requirements.

Security Level 1 (SL1) Protection against casual or coincidental violation.

Security Level 2 (SL2) Protection against intentional violation using simple means with low resources, generic skills and low motivation.

  • Networked Electronic Sensing & Control and Monitoring & Diagnostic Systems (includes Safety-Instrumented Systems (SIS))

Security Level 3 (SL3) Protection against intentional violation using

  • sophisticated means with moderate resources, system specific skills and moderate motivation.
  • Security Level 4 (SL4) Protection against intentional violation using sophisticated means with extended resources, system specific skills and high motivation.

I seguenti step fanno parte di un SA (Security Assessment – SA):

Step 1: establish Security Capability (i.e. Management)
Step 2: establish a Risk Target: establish the risk to be addressed by means of techniques such as formal hazard identification: set maximum tolerable failure rates
Step 3: identify Related Countermeasure(s) for each hazardous event
Step 4: establish SL for the IACS (@ component or system level)
Step 5: threat analysis, risk assessment
Step 6: connection port scanning, penetration testing, fuzz testing, communication port load testing and binary code scanning.
Step 7: assessment against the target SL
Step 8: establish Residual Risk