Come condurre il Cyber Security Risk Assessment secondo lo standard IEC 62443

In questo articolo:
H-ON Consulting, società specializzata nella consulenza per la sicurezza, l’affidabilità e la cyber security dei prodotti industriali, spiega come analizzare il rischio informatico in conformità con lo standard IEC 62443 per i sistemi di controllo secondo due livelli di approfondimento.
Industrial Cyber Security Risk Assessment a due livelli
“L’attività di Industrial Cyber Security Risk Assessment deve essere svolta in maniera specifica e strutturata per traguardare gli obiettivi di security che l’azienda oggetto di analisi si prefissa per i propri sistemi. Per questo, l’approccio da seguire è di procedere per fasi. A un primo sopralluogo per capire la struttura del sistema, segue la quantificazione dei rischi che l’organizzazione si sta assumendo e delle possibili conseguenze, sia in termini economici che di immagine, che un attacco cyber potrebbe provocare. Partendo da una valutazione macroscopica del rischio è quindi possibile definire quali aspetti approfondire maggiormente attraverso un’analisi più mirata.”
Lo standard internazionale IEC 62443 definisce due diversi livelli per condurre l’analisi del rischio informatico industriale: analisi del rischio di alto livello e analisi del rischio di basso livello.
“Attraverso l’analisi di alto livello stabiliamo la presenza di uno o più rischi connessi alla cyber security e il loro peso in termini di conseguenze (economiche, ma non solo). Questo ci aiuta a capire quali sono gli asset più critici da analizzare in dettaglio.”
Riguardo l’analisi del rischio di basso livello:
“È necessario effettuare delle scansioni di rete per andare ad indentificare le diverse vulnerabilità presenti sui dispositivi. Parallelamente, consigliamo di svolgere un’analisi delle procedure di cyber security esistenti e di quantificare l’esposizione ad altre minacce che possono presentarsi, ad esempio, legate al social engineering oppure a possibili violazioni fisiche al sistema.”
Come raggiungere gli obiettivi di Cyber Security

I fattori di successo dei progetti di Cyber Security sono senza dubbio legati all’attenzione (e alla consapevolezza) che l’azienda oggetto di analisi matura verso le potenziali conseguenze di un attacco alla produzione, fra cui problemi di business continuity, danni economici o reputazionali; e non meno importante, la volontà di investire nella formazione del personale in ambito Industrial Cyber Security:
“Spesso strutture molto complesse non hanno la piena conoscenza di quanti e quali dispositivi sono connessi alla propria rete, o se questi comunicano con l’esterno e come. Con l’uso di strumenti specifici è possibile ottenere un inventario completo ed affidabile dei dispositivi e delle relative connessioni, aumentando così la sensibilità delle figure aziendali addette all’area cyber security, e muovendosi verso l’adozione di uno standard riconosciuto a livello mondiale come la IEC 62443.”