Settembre 25, 2019

Lo standard IEC 62443/ISA 99

by Paolo Moserle in IT Security

E’ un dato di fatto che sempre più speso gli impianti industriali sono presi di mira da attacchi informatici, sempre più specifici e sempre più pericolosi. Dopo Trisis/Triton, non parliamo più di una possibile “semplice” mancata produzione quando un impianto viene attaccato, ma di una minaccia alla sicurezza fisica delle persone (Safety), che in seguito ad un attacco informatico potrebbero pagare anche con la vita.

Alla luce di questo, si può affermare che in un impianto industriale, la Security è importante quanto la Safety, visto che se la prima viene compromessa, anche la seconda è a forte rischio.

Sempre più spesso si sente parlare di Standard IEC 62443 anche detto ISA 99. Ma che cos’è? E’ un obbligo ? Dove si applica ? E soprattuto come si implementa dal punto di vista informatico ? In questo articolo cerchiamo di rispondere a queste domande.

Che cos’è IEC 62443 / ISA 99?

International Society of Automation (ISA) ha creato questo standard con l’intenzione di rendere le infrastrutture Industrial Automation Control Systems (IACS) sicure rispetto alle minacce informatiche.

Questo standard è largamente diffuso e fortunatamente la richiesta di adeguamento sta crescendo, grazie alla sensibilizzazione che l’ambiente (clienti finali, produttori, fornitori, installatori) sta maturando.

Lo standard ISA 99 è suddiviso in 4 macro aree:

  • Documenti generali, descrivono i punti fondamentali dei processi industriali interessati;
  • Policy e procedure, evidenzia l’importanza di seguire le procedure coinvolgendo tutte le persone interessate dai processi, e non affidando la sicurezza a semplici strumenti;
  • Sistemi, procedure e documentazione sull’implementazione dei sistemi di sicurezza,
  • Componenti, descrive i requisiti tecnici di sicurezza da soddisfare.
Schema IEC 62443 / ISA 99

E’ un obbligo l’adozione IEC 62443 / ISA 99?

No, tranne in alcune infrastrutture critiche (grandi infrastrutture di trasporto e produzione di energia di interesse nazionale).

Purtroppo ad oggi esisto importanti normative che coinvolgono l’ambito Safety, ma non la Security. Come già detto queste aeree sono strettamente legate, e con ogni probabilità presto saranno integrate in norme specifiche.

Dove si applica?

Lo standard dovrebbe essere adottato da tutta la catena dei soggetti coinvolti nella progettazione, implementazione e manutenzione degli impianti produttivi.

I settori di applicazione sono eterogenei, ovvero tutti i campi i cui sono presenti sistemi ICS, ecco alcuni settore d’esempio:

  • Energetico (nucleare, idroelettrico, energie rinnovabili, ecc.);
  • Trasporti (ferroviario, impianti a fune ecc.);
  • Farmaceutico/medicale;
  • Produttivo (metalmeccanico, chimico, siderurgico ecc.).

Come si implementa

Lo standard IEC 62443 / ISA 99, richiede diverse fasi per essere raggiunto, e fin da subito va evidenziato che non si tratta di semplici strumenti informatici e/o configurazioni.

Come già evidenziato la sicurezza è un processo. E nella specifico la sicurezza è un processo che coinvolge non solo gli oggetti ICS (plc, rtu, attuatori, motori, valvole, pc, software ecc.), ma al centro vi sono le persone.

Concentrandosi sull’aspetto prettamente informatico dello standard introduce diversi concetti:

  • Sicurezza multi-strato;
  • Conoscere i dispositivi connessi;
  • Definizione delle autorizzazione ed autenticazione;
  • Cifratura dei protocolli;
  • Registro log.

Sicurezza multi-strato

E’ evidente che tutti i punti sopra elencati sono fondamentali per raggiungere l’obbiettivo. Tuttavia il concetto di sicurezza multi-strato è quello più sviluppato nei documenti ISA 99.

Uno dei problemi principali degli impianti di una rete , è la presenza di dispositivi eterogenei. Lasciare una webcam nello stesso segmento di rete di un plc che comanda una turbina idraulica, non è affatto una buona idea. Una possibile vulnerabilità di una webcam (vedi Mirai Botnet), può compromettere l’intero sistema produttivo.

In questo modo ISA 99 ha introdotto il concetto di sicurezza a più strati, dove in base al fattore di rischio si devono collocare i dispositivi/servizi. In particolare vengono individuati diversi livelli di sicurezza, dove gli strumenti produttivi (es. valvole, turbine, motori ecc.) devo essere posti nel livello più difficile da raggiungere per una minaccia informatica.

Di seguito uno schema ipotetico di segmentazione proposto da Fortinet:

Conoscere i dispositivi connessi

Come abbiamo giù sottolineato in altri casi, è fondamentale conoscere quali sono i dispositivi presenti nella rete, se ne vengo aggiunti in un segmento di rete non autorizzato, e se gli stessi hanno delle vulnerabilità.

Definizione delle autorizzazione ed autenticazione

Costruire una rete con una struttura gerarchica di autorizzazioni è molto importante. Dare i giusti privilegi di accesso alle persone, evita che eventuali violazioni di un account rendano l’intero sistema vulnerabile.

Cifratura dei protocolli

I protocolli legacy usati nei sistemi ICS (modbus, profibus, 104 ecc..) sono per loro natura insicuri, ed esposti a tipici attacchi man-in-the-midle. Per questo è necessario o scegliere protocolli più sicuri come OPC UA, o proteggere l’intero segmento di network con una cifratura robusta come TLS. Questo aspetto è ampiamente raccomandato dallo standard IEC 62443.

Registro Log

In fine è molto importante tenere traccia di tutti gli eventi che si verificano nella rete, in modo da mantenere costantemente monitorato l’andamento della sicurezza. In caso di violazione i log saranno fondamentali per facilitare una analisi forense. E’ chiaro che in ambienti così critici l’adozione di sitemi SIEMS facilita molto l’analisi delle minacce nonchè rende possibile l’uso di automatismi per limitarle.

Conclusioni

Lo standard IEC 62443 anche conosciuto come ISA 99, è un ottimo riferimento per costruire una infrastruttura ICS sicura dalle minacce informatiche sempre più pressanti. Così come il GDPR è diventata una norma alla quale tutte le aziende devono adeguarsi, è auspicabile che anche ISA 99 diventi una norma obbligatoria da applicare in tutti gli impianti ICS, qualora vi sia una potenziale minaccia per l’incolumità delle persone, qualora il sistema informatico venisse compromesso.