FN_100

SETTEMBRE 2019 FIELDBUS & NETWORKS 11 Cover story Phoenix Contact Le best practice includono quindi la selezione di impianti e componenti sicuri: tutti i sistemi dovrebbero includere le necessarie caratteristiche di sicurezza. Poiché la sicurezza informatica non può essere raggiunta al cento per cento, sarà necessario provvedere al patch management, ov- vero classificare gli aggiornamenti software/le patch per criticità e instal- larli di conseguenza. È infine auspicabile agire in termini di prevenzione e risposta agli attacchi attraverso una raccolta e analisi minuziosa dei dati, da utilizzare per poi elaborare un piano di emergenza per la difesa o il rispristino. Assistenza da parte dei fornitori L’attuazione delle misure di protezione richiede il sostegno dei rispettivi fornitori. I macchinari e gli impianti dovranno disporre delle funzioni di sicurezza necessarie per poter essere integrati in modo sicuro nei sistemi del gestore. Ciò include la gestione degli utenti e delle autorizzazioni, registri sicuri o registrazione degli eventi. Nella sezione 3-3 la norma IEC62443 descrive queste funzioni dal punto di vista del sistema. L’efficacia delle funzioni tecniche è garantita assicurando l’esperienza necessaria e la manu- tenzione continua nei processi di pianificazione e operativi secondo IEC62443 parte 2-4. Per la scelta dei componenti utilizzati devono essere prese in conside- razione le contigue sezioni 4-1 e 4-2 della norma IEC62443. Le funzioni secondo la sezione 4-2 supportano le proprietà del sistema. La sicurezza degli endpoint è generata dai processi di sviluppo e manutenzione in conformità con la sezione 4-1 (Security Development Lifecycle - SDL). Il processo di manutenzione include anche la fornitura di patch per le vulnerabilità del prodotto. La dotazione delle funzioni e dei processi di sicurezza di cui sopra dovrebbe già essere presa in considerazione nella fase di selezione dei fornitori. N ell’ambito di Industry 4.0 e dell’IIoT (Industrial Internet of Things) la trasmissione di dati basa- ta sulla rete è in continua crescita. Tuttavia, il vantaggio della comunicazione senza confini comporta un aumento del rischio di accessi non autorizzati se non vengono adottate opportune misure di sicurezza. Nonostante la vasta esperienza e l’assoluta attenzione ai prodotti è possibile che si verifichino errori nella pro- grammazione che possono originare vulnerabilità lato sicurezza. Alla luce di queste considerazioni, Phoenix Contact è stata una delle prime aziende ad aver fondato un team internazionale di risposta agli incidenti di sicu- rezza del prodotto (Product Security Incident Response Team - Psirt). Sul sito www.phoenixcontact.com/psirt , clienti, scien- ziati, agenzie governative e tutti coloro che sono coin- volti nel campo della sicurezza, possono segnalare potenziali vulnerabilità. Entro due giorni lavorativi dalla segnalazione verrà inviata conferma dell’av- venuta ricezione. Dopo un accu- rato esame, nonché dopo il rila- scio di patch, i dettagli del pro- blema di sicurezza saranno pub- blicati sul sito web Psirt, come da prassi comune che vuole che si eviti di esporre la vulnerabi- lità a potenziali hacker prima che gli utenti possano proteggere la loro applicazione con una versione del software corretta. Gli specialisti di sicurezza di Positive Technologies, provider di soluzioni di sicurezza, hanno per esempio scoperto una vulnerabilità negli switch della gamma FL Switch, comunicandola tramite il sito Psirt. Il bug è stato risolto con un aggiornamento del firmware e la successiva pubblicazione online di un’opportuna infor- mativa. Nella pubblicazione delle vulnerabilità, il team Psirt collabora strettamente con Cert@VDE, una piatta- forma per il coordinamento dei problemi di sicurezza IT specificatamente destinata alle piccole e medie aziende che operano nel settore dell’automazione industriale. Il sito Psirt elenca tutti i problemi di sicurezza finora individuati nei prodotti di Phoenix Contact e viene costantemente aggiornato. Per rimanere sempre infor- mati è possibile iscriversi alla newsletter Psirt. La segnala- zione, la rapida eliminazione e l’informazione sulle vulne- rabilità di sicurezza contribu- iscono al fatto che i prodotti di Phoenix Contact, quindi le applicazioni dei suoi utenti, soddisfino sempre i vigenti requisiti di sicurezza. HOMEPAGE PSIRT PER UNA MAGGIORE SICUREZZA Una tipica matrice di valutazione del rischio