IEC 62443 La serie di norme internazionali IEC 62443 definisce i requisiti di sicurezza per i produttori, gli integrator e gli operatori al fine di evitare rischi.
IEC 62443: lo standard per la Cyber Security industriale
IEC 62443 e ISO 27001 in sintesi
Cyber Security nella tecnologia IT o OT
In passato, l'Information Technology (IT) e l'Operation Technology (OT) venivano considerate separatamente e assegnate ad aree specialistiche diverse. Tuttavia, con il crescente collegamento in rete e la digitalizzazione dei sistemi e della produzione, questi settori stanno crescendo insieme. La Cyber Security non può quindi più essere vista in modo isolato. Una protezione efficace ed efficiente contro gli attacchi informatici può essere raggiunta solo attraverso un approccio coordinato.
La serie di norme ISO 27000 definisce gli obiettivi di protezione per l'IT, concentrandosi sulla riservatezza. Per l'area OT, la disponibilità dei sistemi è fondamentale, come descritto nella norma IEC 62443. L'obiettivo della serie di standard IEC 62443 è fornire indicazioni utili per il funzionamento sicuro dei sistemi di automazione industriali (sistemi ICS): dalla progettazione ai processi di implementazione, fino alla gestione. A tal fine, la serie di standard descrive le regole per i produttori di componenti, i system integrator e gli operatori: i produttori di componenti devono garantire che i prodotti siano sicuri e i produttori di macchine ed impianti devono fare attenzione alla sicurezza della loro interazione. Infine, è responsabilità dell'operatore garantire procedure operative sicure. La norma IEC 62443 integra quindi la norma ISO 27001. La considerazione di entrambi gli standard è fondamentale per una protezione olistica dagli attacchi informatici.
Struttura della norma IEC 62443
Una caratteristica speciale della norma IEC 62443 è l'approccio olistico alla Security by Design. Ciò include i requisiti per i processi operativi, i sistemi e i componenti. Inoltre, tale approccio definisce misure sia procedurali che tecniche.
Un piano di sicurezza centrale della IEC 62443 è la "Defense in depth". La differenziazione graduale dei diversi meccanismi di sicurezza rende più difficile per gli aggressori penetrare nel sistema.
Implementazione della IEC 62443 come operatore
Procedura "Nove passi per un impianto sicuro".
Una soluzione di automazione sicura inizia con la definizione degli asset da proteggere. Per questi viene effettuata un'analisi delle minacce e dei rischi. Queste analisi costituiscono la base per ricavare le misure di mitigazione del rischio e i conseguenti requisiti per il sistema e i componenti utilizzati.
Tuttavia, il livello di protezione di un impianto non dipende solo dalle competenze tecniche, ma anche dai processi a cui è stato sottoposto e dal know-how del personale. Un impianto sicuro richiede un monitoraggio e una manutenzione costanti. Tutto questo include una conoscenza precisa dell'installazione e delle sue caratteristiche, ovvero una pianificazione della rete e un inventario di tutti i componenti, nonché una gestione degli utenti e dei diritti nonché dei dati di accesso.
Non esiste una soluzione standard per tutte le applicazioni. Una soluzione di automazione sicura deve sempre essere personalizzata in base alle singole circostanze. Le misure implementate devono inoltre essere riviste periodicamente e adattate allo stato attuale dell'arte. Per aiutarti, abbiamo chiamato questa procedura "Nove passi per un impianto sicuro". Si tratta di un approccio che permette agli operatori e ai system integrator di implementare la Security by Design per la loro soluzione specifica.
Implementazione di IEC 62443 presso Phoenix Contact
Il nostro piano di sicurezza completo a 360°
Piano di sicurezza a 360°
Phoenix Contact ha iniziato a implementare la norma IEC 62443 nel 2017. Tuttavia, la protezione dei sistemi o degli impianti può essere garantito solo se questi sono messi in sicurezza da tutti i lati. Per questo motivo abbiamo sviluppato e implementato il nostro piano di sicurezza a 360°: un'offerta completa senza compromessi.
Il nostro approccio alla Cyber Security è di tipo olistico. Ogni componente del nostro piano di sicurezza a 360° è quindi certificato secondo la norma IEC 62443. Questo inizia con un processo di sviluppo sicuro che assicura che i nostri prodotti siano dotati di solide funzioni di sicurezza fin dall'inizio. Queste funzionalità di sicurezza sono profondamente integrate nei nostri prodotti per garantire una protezione completa. Offriamo inoltre servizi certificati volti a migliorare continuamente la sicurezza dei nostri clienti.
Processo di sviluppo certificato secondo IEC 62443-4-1
Già nel 2018 abbiamo introdotto il processo di sviluppo sicuro certificato secondo la norma IEC 62443-4-1 per i nostri componenti. Questo processo si basa su principi di Cyber Security comprovati e sulla cosiddetta Defense in depth.
Da allora, una comunicazione trasparente e aperta sulle potenziali lacune nella sicurezza ha contribuito notevolmente a tale processo. Il Product Security Incident Response Team (PSIRT) pubblica pertanto resoconti su potenziali vulnerabilità e fornisce aggiornamenti regolari sulla sicurezza dei nostri prodotti.
Prodotti certificati secondo IEC 62443-4-2
I prodotti sicuri sono sviluppati in conformità al processo di sviluppo secondo IEC 62443-4-1 e soddisfano i requisiti di sicurezza funzionale di IEC 62443-4-2.
Nel 2021, PLCnext Control è diventato il primo controllore al mondo ad essere certificato in conformità con il Feature Set di IEC 62443-4-1 ML3 /4-2 SL2. Altri prodotti sicuri sono attualmente in fase di sviluppo o di certificazione. Scopri di più sui nostri prodotti sicuri:
Servizi certificati secondo la norma IEC 62443-2-4
Servizi certificati secondo la norma IEC 62443-2-4
Per sviluppare, consigliare, installare e mantenere soluzioni di sicurezza efficaci insieme a system integrator e operatori, i team coinvolti devono avere competenze complete in materia di Cyber Security ed essere in grado di tradurle in pratica. Questo garantisce che tutte le misure di sicurezza soddisfino gli standard più elevati e siano attuate in modo efficace.
In Phoenix Contact, i team competenti, compresi quelli di aziende nazionali selezionate, sono certificati in conformità allo standard internazionale IEC 62443-2-4. Questa certificazione conferma che i nostri team hanno le competenze e conoscono i processi necessari per integrare e gestire in sicurezza i sistemi di automazione industriale. Questa qualifica ci permette di offrire ai nostri clienti in tutto il mondo soluzioni affidabili e sicure che soddisfano i più recenti requisiti di Cyber Security.
Soluzioni certificate secondo IEC 62443-3-3
Non esiste una soluzione generale per l'applicazione dello standard. Le norme devono piuttosto essere attuate secondo i singoli desideri e le singole circostanze. Phoenix Contact sviluppa vari modelli (blueprint) per diversi mercati e soluzioni, al fine di spiegare e implementare meglio i requisiti relativi ai processi e i requisiti funzionali del sistema.
Oltre alla strategia di protezione multilivello (progetto Defense in depth), il modello "Remote Monitoring and Control" mostra la segmentazione in zone e condotti, il controllo del flusso di dati, la codifica continua delle comunicazioni, la stabilizzazione dei componenti, corsi di formazione sulla Security Awareness per i dipendenti e processi per la gestione delle patch e del rischio.
Questa soluzione è stata certificata secondo IEC 62443-3-3.
Il nostro modello "Remote Monitoring and Control" certificato da TÜV Süd secondo lo standard IEC 62443-3-3
La Cyber Security diventa legge
IEC 62443: fattore di successo per la direttiva sulla Cyber Security
Con il nuovo Cyber Resilience Act (CRA), la nuova Direttiva NIS 2 e il nuovo regolamento macchine, l'attuazione delle misure di Cyber Security in Europa diventerà giuridicamente vincolante. E non più solo per le infrastrutture critiche.
Per soddisfare gli elevati requisiti delle nuove linee guida sulla sicurezza, è utile ispirarsi agli standard internazionali. Uno di questi standard è lo standard di sicurezza IEC 62443. Ad esempio, la norma IEC 62443 copre già molti dei requisiti stabiliti dal CRA, sia per il processo di sviluppo sicuro che per i requisiti tecnici di prodotti e sistemi. La norma IEC 62443 è quindi un ottimo candidato per un futuro standard del CRA armonizzato.
IEC 62443 offre inoltre un supporto completo per la conformità alla nuova direttiva sulla sicurezza NIS 2 o al nuovo regolamento macchine.
LinkedIn: Industrial Communication and Cyber Security Diventa subito parte della nostra Community!
Le reti di comunicazione industriale ci permettono di trasmettere in modo affidabile i dati dal campo al livello di controllo fino al cloud. Sulla nostra pagina LinkedIn Industrial Communication and Cyber Security troverai informazioni interessanti sulla disponibilità della rete, sulla Cyber Security, sulla manutenzione remota e molto altro ancora. Entra a far parte della nostra Community!