Il North American Electric Reliability Corporation (NERC), è un’associazione no-profit, che si occupa di creare standard per la messa in sicurezza di importati impianti elettrici.
Nerc Cip
Tra questi standard è stato creato il NERC CIP, che ha come obbiettivo quello di assicura la sicurezza del perimetro e dell’aspetto legato alla Cyber Security.
Dove si applica?
E’ uno standard diffuso nel Nord America, dove gli impianti grid e smart grid, non possono sottrarsi alla loro applicazione! Diversamente da altri Standard che si è soliti affrontare come il NIST o ISA-99, il NERC CIP per gli stati coinvolti, è un obbligo!
Cosa si rischia se non si rispetta ?
Per chi non soddisfa lo standard Nerc Cip negli Stati del Nord America le sanzioni sono pesanti, ecco quanto previsto dal documento ufficiale:
“Violations of compliance costing up to $1 million penalty per day“
Cosa prevede lo Standard NERC CIP ?
Si presenta come un insieme di regole e best practices che devono essere sviluppate durante l’implementazione delle Centrali e Sottostazioni elettriche e per tutto la loro durata.
Alcune definizioni sono obbligatorie per comprendere meglio lo standard.
- BES – Bulk Electronic System ovvero tutti gli elementi e le strutture che compongono il sistema di Centrale, Sottostazione e Distribuzione.
- BEA – Bulk Electronic Asset ovvero una risorsa informatica, che se resa non disponibile, degradata o funzionante in modo improprio per 15 min o più, avrebbe un impatto negativo sulla infrastruttura BES.
- IED – Intelligent Electronic Device, sono i dispositivi elettronici che comunicano tra loro tramite media e protocolli come Modbus, DNP, IEC 61850 ecc.
Per semplicità le riassumiamo in questa tabella:
| Articolo | Scopo | Come |
| CIP-002-5.1a BES Cyber System Categorization | Identificare e classificare i sistemi informatici BES in base al rischio a cui sono esposti dal punto di vista della Cyber Security. | Identificando i BES e loro funzioni. Assegnare al BES un peso strategico di importanza e indica come andrebbe protetto. Identificare e classificare tutte le risorse o sistemi BEA che potrebbero causare problemi se compromesse. Separare logicamente i BEA in sottosistemi e classificarli secondo una grado di criticità da grave (critico) a basso. |
| CIP-003-7 S Security Management Controls | Identificare e classificare le responsabilità dei sistemi informatici relativi al BES, in base al rischio a cui sono esposti dal punto di vista della Cyber Security. | Redando la documentazione relativa. |
| CIP-004-6 Personnel & Training | Ridurre al minimo il rischio di compromissione che potrebbe portare a un cattivo funzionamento o instabilità dei BES. Richiede che il personale che accede ai sistemi BES sia formato e consapevole in tema di Cyber Security. | Formando gli addetti sul tema della Cyber Security. |
| CIP-005-6 Electronic Security Perimeter(s) | Gestire il corretto accesso elettronico al perimetro, in modo che eventuali vulnerabilità non compromettano il funzionamento dei BES. | Definendo la creazione di un perimetro attorno ai sistemi informatici, nonchè le policy per proteggere tutti i protocolli instradabili (profinet, DNP3, 104 ecc.). Fornire un accesso sicuro da remoto, mettere in campo. Fornendo sistemi con crittografia della sessione remota, autenticazione a più fattori, aggiornamenti anti-malware, aggiornamenti delle patch e utilizzo del protocollo di autenticazione robusti, per limitare l’accesso in base ai ruoli. |
| CIP-006-6 Physical Security of BES Cyber Systems | Gestire l’accesso fisico ai sistemi BES. | Mettendo in atto una serie di attività volte a limitare e controllare l’accesso fisico ai BES. Ad esempio monitorando l’accesso fisico ai sistemi (videocamere), registrando gli accessi (registro accessi). |
| CIP-007-6 System Security Management | Gestire la sicurezza del sistema specificando determinati requisiti tecnici, operativi e procedurali a supporto della protezione dei BES. | Implementando misure di sicurezza dei sistemi, come la disabilitazione di porte non utilizzate, la limitazione di supporti rimovibili, patch di sicurezza, gestione delle password, ecc. Comprende anche il rilevamento di violazioni della sicurezza, malware, ecc. Registrare eventuali test e procedure. |
| CIP-008-5 Incident Reporting and Response Planning | Prevedere un piano di mitigazione e risposta per i sistemi BES in caso di incidente. | Creando un piano di risposta agli incidenti che dovrebbe includere le azioni, i ruoli e le responsabilità delle persone coinvolte, nonché i dettagli su come gli incidenti dovrebbero essere gestiti e segnalati agli organi di governo. Questo piano dovrà essere aggiornato ogni anno e testato. |
| CIP-009-6 Recovery Plans for BES Cyber Systems | Prevedere un piano di ripristino per i BES in caso di incedente. | Fornendo sistemi di backup, business continuity, nonché le informazioni di recupero. Individuando i responsabili di tali processi. |
| CIP-010-2 Configuration Change Management and Vulnerability | Prevenire e rilevare modifiche non autorizzate ai sistemi informatici BES. Registrare le modifiche alla configurazione ed effettuare la valutazione della vulnerabilità presenti nei sistemi. | Implementando sistemi di monitoraggio e prevenzione sulle configurazioni dei sistemi. |
| CIP-011-2 Information Protection | Prevenire l’accesso non autorizzato alle informazioni del sistema informatico BES. | Fornendo sistemi di documentazioni robusti, cifrati e a doppia autenticazione. |
| CIP-014-2 Physical Security | Identificando e proteggendo fisicamente anche le stazioni e sotto-stanzioni che se compromesse potrebbero rendere i sistemi instabili o non funzionanti. | Implementazione di barriere fisiche, controllo di forze dell’ordine, addetti alla sicurezza ecc. |
Considerazioni
Lo Standard NERC CIP, riprende molti concetti già conosciuti al mondo dell’Industrial Cyber Security, ma lo rende a tutti gli effetti un regolamento che Paesi del Nord America non possono ignorare. Grazie a questo approccio, la sicurezza informatica degli impianti elettrici non è più una “costosa” opzione da fornire al cliente. L’auspicio è quello di una adozione di standard simili in tutto il mondo, anche senza che questo sia un obbligo di legge.