Security e Safety: un nuovo standard per la sicurezza dell’IoT

Il documento sul nuovo standard IoT è stato discusso e sviluppato dal comitato tecnico sulla standardizzazione di ISO/TC199

Pubblicato il 24 Mag 2019

HackerSmall

di Francesco Tieghi, ServiTecno

Un nuovo standard di sicurezza, intesa sia come Safety che Security, per i dispositivi e i sistemi IoT. A inizio 2019, ISO – International Organization for Standardization, l’organizzazione internazionale per le normative dei settori industriali, ha emesso infatti un documento ISO/TR Technical Report denominato “ISO/TR 22100-4:2018, Safety of Machinery – Relationship with ISO 12100 – Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects”.

Il nuovo standard

Il documento è stato discusso e sviluppato dal comitato tecnico sulla standardizzazione di ISO/TC199. Per la prima volta ISO ha inteso mettere nero su bianco che la sicurezza informatica non si applica solo ai dati, e riguarda anche alla Safety, ovvero a tutto ciò di reale che entra in contatto col mondo virtuale, compresi quindi i macchinari industriali. Per la sicurezza di un macchinario intelligente sono richieste tecnologie intelligenti.

I dispositivi intelligenti sono esposti a minaccia di incidenti ed attacchi informatici, e non solo Internet of Things (IoT) in generale, ma anche i sistemi apparentemente isolati.

Quali sono le vulnerabilità e le misure per mitigarle

È ovvio che le vulnerabilità IT, ovvero nei confronti di attacchi/incidenti informatici, dipendono molto dal fatto se il macchinario possa essere connesso a sistemi IT esterni e quanto spesso possa avvenire. Ecco allora alcune domande da porsi per aiutare a limitare minacce e vulnerabilità IT. Ci chiediamo se il macchinario deve essere connesso e deve restare connesso sempre? Se ne viene monitorata la connessione? (ad esempio, si utilizza VPN, virtual private network) se la connessione è configurabile? (ad esempio, ristretta solo a persone autorizzate), se la connessione può essere read only? (senza la possibilità di inviare variazioni o comandi).

Ne consegue che un macchinario senza interfacce dirette o indirette a sistemi IT esterni, possa essere considerato non vulnerabile ad attacchi/incidenti di IT cyber security. Sono però noti alcuni incidenti accaduti che possono mettere in dubbio questa affermazione.

Passi essenziali per la sicurezza IT durante tutto il ciclo di vita del macchinario Come abbiamo detto, minacce e vulnerabilità IT richiedono la cooperazione e coordinazione tra fornitore dei componenti, produttore del macchinario, system integrator ed utilizzatore finale.

Ognuno ha un ruolo per prevenire attacchi/incidenti IT, durante tutte le fasi del ciclo di vita del macchinario e non si possono passare ad altri le proprie responsabilità e non si può addossare ad uno solo la responsabilità globale per la IT cyber security come d’altronde nessuno degli attori conosce tutte le informazioni disponibili per adeguata protezione IT del macchinario.

I cinque passi per migliorare la security dei macchinari

Ecco i cinque passi essenziali che produttore e integratore devono applicare per migliorare security e resilienza del macchinario.

  • Identificare – Quali sono minacce e vulnerabilità per la IT security e perché dovrebbero mai attaccare il macchinario, che cosa può avere l’utilizzatore di così prezioso, quali sono le porte/interfacce verso l’esterno.
  • Proteggere- Progettare e implementare contromisure appropriate per proteggere il macchinario
  • Visibilità – Prevedere e implementare adeguate misure per identificare un possibile attacco/incidente cyber (ad esempio monitoring e anomaly detection rete e sistema)
  • Risposta – Prevedere e implementare azioni adeguate da prendere in caso della scoperta di attacco/incidente cyber (possibilità di fermare o di contenere l’impatto negativo)
  • Ripartenza – Prevedere e implementare azioni adeguate a mantenere “resiliente” l’impianto, attivo e/o con possibilità di ripartenza in tempi brevi in caso di attacco/incidente cyber (emergency/recovery plan)

Raccomandazioni per il produttore del macchinario

Le minacce di sicurezza informatica rilevanti per la Safety dei macchinari sono soggette a molti cambiamenti dinamici durante l’intero ciclo di vita di una macchina (target mobile). Lo stesso vale per le contromisure idonee / richieste. D’altronde l’attenzione del produttore del macchinario si concentra nella fase di sviluppo e progettazione fino a quando la macchina viene immessa sul mercato per la prima volta. Con riferimento a questo punto nel tempo, la ISO / TR 22100-4 contiene raccomandazioni concrete per il costruttore del macchinario.

Nel selezionare componenti adeguati (sia hardware che software); le componenti relative alla Security che potrebbero essere potenzialmente gli obiettivi per gli attacchi/incidenti cyber dovrebbero avere un livello di sicurezza IT allo stato dell’arte, al fine di ridurre al minimo la vulnerabilità agli attacchi/incidenti cyber, valutare strumenti per controllo accessi, integrità del software, integrità dei dati, aggiornamenti del software, comunicazioni criptate.

Nello Sviluppare / progettare l’intera macchina; conformità ai principi / alle misure di base volte a ridurre al minimo la vulnerabilità agli attacchi/incidenti cyber; prevedere una modalità di emergenza (trasferimento del macchinario in uno stato operativo sicuro nel caso in cui le funzioni di sicurezza critiche del macchinario siano limitate o rese inefficaci da un attacco/incidente cyber), attrezzare la macchina con dispositivi per un’adeguata protezione delle connessioni.

Nello stilare le istruzioni operative (manuali per l’utilizzo); informazioni per l’operatore del macchinario dovranno contenere indicazioni su possibili rischi basati su potenziali minacce alla sicurezza informatica legate alla Safety del macchinario, gestione delle connessioni locali e remote, accessi al sistema, manutenzione in locale e da remoto, aggiornamenti del software, come agire in caso di problemi di cyber security IT, messa in stand-by, ripartenze.

Disponibile qui il whitepaper completo sul tema. 

Valuta la qualità di questo articolo

Redazione

Innovation Post è un portale di informazione e approfondimento dedicato alle politiche e alle tecnologie per l'innovazione nel settore manifatturiero. Il portale è nato alla fine di settembre 2016 e si è affermato come riferimento d’elezione per chi vuole informarsi su industria 4.0, automazione, meccatronica, Industrial IT, Cyber security industriale, ricerca e formazione, domotica e building automation. Innovation Post è una testata del Network Digital360 diretta da Franco Canna

email Seguimi su

Articoli correlati

Articolo 1 di 5