FN_103

MAGGIO 2020 FIELDBUS & NETWORKS 45 marcato e a questo si affianca un’afferma- zione del paradigma Industry 4.0. La conse- guenza sulla cyber security delle installazioni è un sensibile aumento della superficie di attacco degli impianti industriali. Diventa dun- que vitale proteggere le singole apparecchia- ture da manipolazioni di terzi malevoli, senza però compromettere le funzionalità proprie dei device e degli impianti. Standard IEC 62443-4-2: il controllo accessi La norma sottolinea il principio del ‘privilegio minimo’, secondo il quale ogni parte attiva del sistema (umana e non) deve fruire dei privilegi di accesso strettamente necessari all’espleta- mento delle sole funzioni previste dal proprio ruolo. Da questo consegue uno schema di controllo accessi ‘frammentato’, a differenza di molte vecchie installazioni, che preve- dono il solo accesso come amministratore, nonché l’attribuzione puntuale dei comandi a ogni utente o ruolo previsto (segregazione dei compiti). In questo modo, come prescritto da un’altra norma della stessa famiglia (IEC 62443-3-3), si richiama la necessità dell’iden- tificazione e dell’autenticazione dell’utente (user ID/password) per consentire l’accesso a sistemi o apparati. A parte il caso classico con password, l’ac- cesso può essere protetto mediante token fisici, certificati crittografici (a chiave simme- trica o a doppia chiave protette a livello hard- ware), biometria (nel caso di utente umano) e anche combinazioni tra di loro con una durata temporale finita. È compito dei produttori pre- disporre una lista di ruoli con accessi diversi- ficati su cui verranno mappati i singoli utenti in fase di configurazione, siano questi umani, processi software, oppure altre apparecchia- ture che devono interagire con il componente certificato. Inoltre, per motivi di sicurezza deve essere prevista una procedura di ‘override’ manuale in casi di emergenza e, in specifiche attività particolarmente critiche, un sistema a doppia approvazione. Quando il componente prevede un’interfaccia di accesso, ovvero la quasi totalità dei dispo- sitivi moderni, questa deve prevedere il blocco automatico in caso di inattività e un numero limitato di sessioni contemporanee, al fine di evitare il problema del blocco delle risorse a seguito di troppe richieste. Standard IEC 62443-4-2: l’importanza dei log Ogni dispositivo deve poter generare log e te- nere traccia di una serie di eventi di sicurezza (accessi riusciti e falliti, modifiche di confi- gurazioni, eventi del sistema di protezione, lettura dei log ecc.) con marcature temporali certe (time stamping), identificazione univoca dell’oggetto, dell’utente e del risultato dell’a- zione. La norma prevede espressamente che l’apparecchiatura debba poter trasmettere i log a un ‘deposito’ remoto per evitare compro- missioni on-site, nonché un meccanismo per impedire la saturazione della capacità locale di immagazzinamento. Il componente deve anche implementare un sistema di non ripu- diabilità dei log, in modo da poter ricostruire un’attribuzione certa e inoppugnabile di ogni singolo evento tracciato. Standard IEC 62443-4-2: l’integrità dei sistemi come fattore critico I comandi trasmessi nelle reti industriali pos- sono essere critici, quindi i vari componenti cer- tificati devono prevedere un sistema di verifica dell’integrità degli stessi al fine di prevenire modifiche non autorizzate. Un tale obiettivo si raggiunge innanzitutto attraverso controlli pre- ventivi dell’apparato (test locali e da remoto). A questi si aggiunge la validazione puntuale dei comandi con sistemi crittografici di firma del messaggio (per l’integrità del messaggio) o anche di cifratura integrale del messaggio complessivo. Naturalmente deve essere pre- sente un sistema di validazione degli input. Le segnalazioni di ogni ‘non conformità’ de- vono avvenire in modo automatico non appena l’apparecchiatura le rileva. La gestione degli errori però non deve poter fornire informazioni a eventuali attaccanti, infatti viene fatto espli- cito riferimento alle linee guida Owasp - Open Web Application Security Project. È inoltre ri- chiesto un sistema di validazione delle sessioni di comunicazione per evitare che un attaccante malevolo si inserisca in una sessione corretta e possa inviare comandi non autorizzati. Standard IEC 62443-4-2: la segmentazione delle reti La norma impone che i singoli oggetti possano operare in un ambiente segmentato. Un tipico schema di segmentazione prevede zone spe- cifiche dalle quali i flussi di dati non possano fuoruscire, attraverso l’utilizzo dei tradizionali sistemi di protezione perimetrale (firewall) ed eventuali VPN (Virtual Private Network) per connessioni remote. Standard IEC 62443-4-2: l’esigenza di una reazione tempestiva Una buona capacità di risposta agli attacchi richiede tempi di reazione spesso molto brevi: i sistemi certificati devono rilevare autonoma- mente eventuali tentativi di manomissione in un tempo ragionevole e segnalarli, rimanendo attivi anche in caso di un attacco di tipo Denial Of Service. Inoltre, nel caso peggiore, devono portarsi in uno stato di protezione in modo pre- dicibile e automatico. Standard IEC 62443-4-2: il backup Il ‘tallone d’Achille’ della maggioranza dei sistemi industriali consiste in procedure di backup inesistenti, implementate in modo inefficace, o non protette adeguatamente con- tro letture non autorizzate e/o manomissioni. I sistemi che si adeguano alla norma IEC 62443- 4-2 dovranno implementare stringenti policy di backup con capacità crittografiche per proteg- gere le informazioni, al fine di assicurare la ca- pacità di recupero della funzionalità a seguito di un incidente. Standard IEC 62443-4-2: il principio della minima funzionalità attiva Tutte le funzionalità non necessarie al fun- zionamento normale del dispositivo devono essere per default disabilitate. I dispositivi devono essere in grado di dialogare con un sistema di catalogazione, specificando quali funzioni siano attive e in quale modalità. Standard IEC 62443-4-2: il pericolo del ‘mobile code’ Lo standard riserva particolare attenzione ai linguaggi che utilizzano il mobile code, per esempio Java, Javascript, Flash, ActiveX ecc. Ogni applicativo software di questo tipo deve essere preventivamente verificato prima di es- sere eseguito: si deve tenere traccia di chi può inviare (upload) frammenti di codice e validare l’identità del mittente. Questa forma di pro- tezione viene anche estesa alle interfacce di test/diagnostica (per esempio i protocolli Jtag). Standard IEC 62443-4-2: gestione aggiornamenti, protezione fisica e avvio I device certificati devono poter essere aggior- nabili in modo sicuro, di solito con protezione degli update mediante certificati crittografici. Un aspetto critico riguarda il presidio dell’ac- cesso fisico agli stessi, per esempio con si- gilli, che deve essere tracciato nel sistema di gestione centrale. Al bootstrap i dispositivi devono validare il firmware e gli applicativi software tramite l’ HWRoT - Hardware Root of Trust (metodi hardware di avvio sicuro). Concludendo, l’impatto della norma IEC 62443- 4-2, e in generale di tutte quelle della famiglia 62443, può apparire come un aumento della complessità degli impianti industriali e del relativo costo di esercizio, ma non va sottova- lutato il grande vantaggio di mitigare i rischi legati a manomissioni e a danni dolosi o ac- cidentali.

RkJQdWJsaXNoZXIy MTg0NzE=