La cyber security per l’Automazione Industriale e Sistemi di Controllo (IACS) è rapidamente diventata una questione importante nei processi e nei settori delle infrastrutture critiche per diversi motivi:
Le organizzazioni interessate alla sicurezza dell’Automazione Industriale e Sistemi di Controllo che sono essenziali per la sicurezza delle operazioni dei sistemi automatizzati e delle infrastrutture stanno sempre più approcciandosi agli standard della serie ANSI ISA IEC 62443. La serie IEC 62443 è composta dai seguenti standard di certificazione:
Il servizio di certificazione in base allo standard IEC 62443 consente di definire i requisiti e le misure di sicurezza che permettono a un sistema di gestione, a un’automazione industriale o un sistema di controllo, a un prodotto e a un processo di mitigare le minacce riguardo un determinato livello di sicurezza, definendo anche adeguate contromisure compensatorie a seconda del livello di rischio.
La certificazione secondo lo standard IEC 62443 è prova dell’elevato livello di cyber security che le organizzazioni hanno raggiunto sui sistemi, prodotti e processi relativi al controllo e all’automazione.
In base alla parte dello standard, ci si rivolge:
- Ai produttori di componenti: certificazione del ciclo di sviluppo del prodotto secondo IEC 62443 parti -4-1
- Ai produttori di componenti: certificazione del componente secondo IEC 62443 parti -4-1 e 4-2
- Agli integratori di Sistema e agli asset owner nel caso questi siano parte interessata nella progettazione architetturale dello IACS: certificazione del system automation solution secondo IEC 62443 parti 3-2 3-3
- Agli asset owner: certificazione della gestione dello IACS secondo 62443 parte 2-1 e 2-4
Ottenere la certificazione secondo lo standard IEC 62443 significa:
- aumentare la sicurezza dei prodotti
- stabilire fiducia fra asset owner, produttori di component, system integrator e service provider
- garantire l’adozione delle best practice di information & cyber security in tutte le fasi del ciclo di vita dei prodotti
- mitigare le vulnerabilità di componenti e sistemi industriali, migliorandone la safety, l’integrità, la disponibilità e la riservatezza
- elevare la soglia di attenzione ai rischi cyber nella gestione di asset industriali
Le organizzazioni interessate allo schema IEC 62443 devono compilare e inviare il relativo questionario per la formulazione dell’offerta tecnica ed economica. Dopo di che, viene pianificato e avviato il processo di certificazione.
L’iter di certificazione avviene in tre fasi:
- Stage 1: il team di audit svolge un esame della documentazione analizzando la conformità ai requisiti dello standard; al termine di questa fase vengono rilasciati un report di audit e una nota tecnica indicante le non conformità i requisiti dello standard.
- Stage 2: A seguito delle implementazioni di opportune azioni correttive da parte del cliente, il team di audit svolge un ulteriore esame della documentazione e, se del caso, un’attività on-site per eseguire verifiche tecniche gestionali; alla fine di questa fase, viene rilasciato un report finale.
- Comitato tecnico: un comitato tecnico indipendente esamina i risultati forniti dal team di audit e decide se rilasciare il certificato di conformità agli standard IEC 62443 standards.