Quali sono i requisiti dello standard IEC 62443 per costruttori, system integrator e utilizzatori
In questo articolo:
Di Massimiliano Latini, ICS Cyber Security and Special Project Director di H-ON Consulting, in collaborazione con Siemens Italia.
Cosa insegna il metodo standard IEC 62443
L’evoluzione dello Smart Manufacturing e dell’Industria 4.0 ha definitivamente trasformato la produzione, rendendola sempre più digitale, e di conseguenza esposta ai nuovi rischi informatici.
Per questo, la Cyber Security OT si concentra sulla difesa della produzione prima di tutto, e di conseguenza sulla conformità a schemi collaudati come quelli delle normative internazionali, in particolare IEC 62443.
Dal costruttore del componente (o del sistema) all’integratore, la norma dettaglia le procedure di Security Management System per raggiungere l’obiettivo finale di tutela dell’end user, grazie a sistemi OT progettati per essere resilienti alle intrusioni malevoli.
Tuttavia, i requisiti sono di varia natura e non si limitano certamente solo alla tecnica. Vediamo da cosa altro dipende la conformità agli standard.
In che modo la norma definisce i ruoli
Innanzitutto, la norma IEC 62443 è composta al suo interno da tre norme specifiche che parlano di Security Management System:
- IEC 62443-2-1, Management System dell’end user
- IEC 62443-2-4, Requisiti per l’integratore
- IEC 62443-4-1, Lifecycle Development per lo sviluppo di componenti
La IEC 62443, tramite il concetto fondamentale di Risk Assessment, va incontro alla valutazione del rischio-beneficio aiutando a quantificare il rischio e, di conseguenza, a quanto corrisponde idealmente il budget per prevenire un attacco cyber da parte dell’end user.
In conseguenza, lo standard prevede i requisiti tecnici per l’intera supply chain, in modo da garantire la corretta configurazione di ogni soluzione finale di automazione.
Ciò che non ci si aspetta è che in realtà fra i fattori essenziali per la conformità ai requisiti di security subentra da subito l’organizzazione.
La norma specifica infatti che se la parte di “governance”, ad esempio relativa all’attribuzione dei ruoli e delle responsabilità, non viene sviluppata al pari della parte tecnica, il progetto è destinato a fallire.
Come la formazione incide sui processi di security
A fianco delle procedure e delle tecnologie correttamente configurate, lo standard riconosce quindi nel personale un ulteriore requisito fondamentale per la riuscita dei processi di security.
Infatti, l’aspetto umano, spesso inconsapevolmente, rappresenta una minaccia (si pensi ad esempio all’operatore che lavora con chiavetta USB infetta oppure alla mancata custodia delle password).
Per la corretta adozione del metodo IEC 62443, la chiave è quindi prima di tutto l’introduzione di un piano di formazione che permetta di sviluppare competenze specifiche per l’organizzazione dei processi per l’area OT.
La formazione apre le porte alla comprensione dei ruoli e delle responsabilità prima ancora di applicare i requisiti standard, ed è per questo che rappresenta un tassello decisivo.
Per essere davvero efficaci è tuttavia necessario scegliere programmi per lo sviluppo di competenze non generalisti, ma calati sulle diverse esigenze del costruttore, dell’integratore e dell’utilizzatore.
Perché Siemens e H-ON Consulting sono partner per lo sviluppo delle competenze
Insieme a Siemens Italia, di cui H-ON Consulting è Digital Transition Partner, abbiamo lanciato un programma di formazione inedito per soddisfare il bisogno di conoscenza propedeutica alla corretta implementazione dei requisiti dello standard IEC 62443.
A fianco dei servizi di consulenza, i programmi di formazione sono articolati su quattro moduli che approfondiscono le norme IEC 62443-2-1, IEC 62443-2-4 e IEC 62443-4-1.
È ancora possibile usufruire delle agevolazioni offerte dal piano Transizione 4.0 della Legge di Bilancio 2021 e dai vantaggi del credito di imposta Formazione 4.0. Scopri i programmi di formazione.
In anteprima, alcune risorse sono disponibili sul sito h-on.it:
Scopri tutti i servizi per la Cyber Security OT:
