ETSI TS 104 100 per le misure in ambiente ICS e OT

Franco Vincenzo Ferrari mi ha segnalato la pubblicazione della ETSI TS 104 100 V1.1.1 (2025-11) con titolo "Cyber Security (CYBER); Critical Security Controls for Effective Cyber Defence; Industrial Control Systems Sector": https://portal.etsi.org/webapp/workprogram/Report_WorkItem.asp?WKI_ID=73028 (il pdf si scarica gratuitamente premendo l'iconcina in alto a destra sotto "Download Standard").

L'ambito è quello OT o ICS, ossia industriale. 

Si tratta di controlli tecnici e gestionali (quasi come quelli della ISO/IEC 27002, ma senza troppe politiche, senza la richiesta di una valutazione del rischio generale e con più dettagli tecnici). Non si tratta di specifiche tecniche per i prodotti e servizi, anche se da qui se ne possono facilmente selezionare.

Sulla parte OT ricordo la NIST SP 800 e la NISTIR 8183A. Queste guide (rispettivamente di 316 e 730 pagine) sono molto più ponderose di quella ETSI, che è già esaustiva, con le sue 84 pagine.

Guida CISA per la sicurezza dell'OT

Chiara Ponti ha segnalato agli Idraulici della privacy la guida "Primary Mitigations to Reduce Cyber Threats to Operational Technology" della Cybersecurity and Infrastructure Security Agency (CISA) statunitense: https://www.cisa.gov/resources-tools/resources/primary-mitigations-reduce-cyber-threats-operational-technology.

Il CISA è un esempio di sinteticità. Forse eccessiva, ma compensa la prolissità di troppi altri.

Pubblicata la ISO/IEC 27019:2024 con i controlli di sicurezza per il settore dell'energia

Segnalo che è stata pubblicata la ISO/IEC 27019:2024 "Information security controls for the energy utility industry": https://www.iso.org/standard/85056.html.

Riporta, come la ISO/IEC 27017 e la ISO/IEC 27018, controlli di sicurezza aggiuntivi rispetto a quelli già presenti nella ISO/IEC 27001 e linee guida per la loro implementazione aggiuntive rispetto a quelle già presenti nella ISO/IEC 27002. Non mi risulta ci siano cambiamenti significativi se non quelli necessari per allineare la versione del 2017 ai controlli delle ISO/IEC 27001 e ISO/IEC 27002 del 2022.

Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione

Segnalo questo breve articolo dal titolo "Cyber-attacco in Svizzera, muore una mucca. Lezioni sulla digitalizzazione": https://formiche.net/2024/08/mucca-cyber-attacco-svizzera/.

Racconta delle conseguenze del controllo di un robot di mungitura da parte di malintenzionati. La lezione finale è "quando si parla di cyber-attacchi, si pensa soltanto alle grandi imprese e infrastrutture", ma bisogna prestare attenzione anche a tutti gli altri ambiti.

Ringrazio Stefano Ramacciotti per la segnalazione.

Nuovo Regolamento macchine e cybersecurity

E' stato pubblicato il Regolamento (UE) 2023/1230 relativo alle macchine. Esso abroga la Direttiva macchine, ossia la Direttiva relativa alla sicurezza delle macchine industriali (questa mia indicazione è molto imprecisa e serve solo a contestualizzare).

Su questo argomento ho letto con interesse l'articolo "Il nuovo Regolamento Macchine: la Cybersecurity Industrial elemento essenziale dal Design della Macchina e durante tutto il suo ciclo di vita": https://www.ictsecuritymagazine.com/articoli/il-nuovo-regolamento-macchine-la-cybersecurity-industrial-elemento-essenziale-dal-design-della-macchina-e-durante-tutto-il-suo-ciclo-di-vita/.

In pochissime parole, il Regolamento introduce in modo molto chiaro la necessità di valutare la sicurezza delle macchine anche relativamente all'hardware e al software. Questo è molto giusto perché hardware e software che non funzionano correttamente possono portare a funzionamenti imprevisti e, quindi, pericoli per le persone.

Il testo del Regolamento si trova qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32023R1230.

Il regolamento si applicherà dal 14 gennaio 2027.

Ancora una volta, i dettagli su come valutare le macchine saranno ulteriormente specificate nella normativa di armonizzazione.

Nuova versione della NIST SP 800-82 sull'OT

Segnalo la pubblicazione della r3 della NIST SP 800-82 dal titolo "Guide to Operational Technology (OT) Security": https://csrc.nist.gov/pubs/sp/800/82/r3/final.

Io avevo letto la versione 2 e l'avevo trovata molto interessante. Diciamo che riporta molte cose che si ritrovano nelle IEC 62443, ma in formato gratuito.

I cambiamenti apportati da questa versione 3 sono numerosi e sono riassunti nell'ultima pagina. Non riesco al momento a rileggere tutto il documento.

Noto però, con un certo disappunto, che il NIST sta proseguendo nella sua campagna di "de-sintetizzazione" e infatti questa versione è di 316 pagine, mentre la precedente era di 247 (più del 20% in più).

 

NIST su digital forensics e OT

Glauco Rampogna mi ha segnalato la pubblicazione del NIST "NISTIR 8428 - Digital Forensics and Incident Response (DFIR) Framework for Operational Technology (OT)":
- https://www.nist.gov/publications/digital-forensics-and-incident-response-dfir-framework-operational-technology-ot.

E' molto interessante, fosse anche solo per capire alcune peculiarità di sicurezza degli ambienti OT.

NIST SP 1800-10 sulla sicurezza dei sistemi industriali (ICS)

Il NIST ha pubblicato la SP 1800-10 con titolo "Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector":
- https://www.nccoe.nist.gov/manufacturing/protecting-information-and-system-integrity-industrial-control-system-environments.

Oltre al testo principale, c'è la parte A (Executive summary), la parte B (4 esempi di architetture, con specifici prodotti e configurazioni), la parte C (specifiche dettagliate per configurare i prodotti riportati nella parte B).

Sono documenti estremamente tecnici. Il NIST ne ha prodotti diversi. Il documento meno tecnico è la SP 800-82, comunque di 250 pagine.

Attacco a Colonial Pipeline

Colonial Pipeline è una società statunitense dedicata al trasporto di carburante. Ad aprile 2021 è stata attaccata da un ransomware e ha quindi dovuto chiudere temporaneamente alcuni chilometri di rete:
- https://www.theguardian.com/technology/2021/may/08/colonial-pipeline-cyber-attack-shutdown.

Infine, ha pagato il riscatto per sbloccare i propri sistemi informatici:
- https://arstechnica.com/gadgets/2021/05/colonial-pipeline-resumes-operations-after-ransomware-prompted-closure/.

Al momento non mi sembra siano stati scritti articoli di maggior approfondimento dei dettagli su come l'attacco sia stato possibile. Ho trovato alcune dichiarazioni di esperti di sicurezza, ma è evidente, dalla loro genericitià, che le hanno fatte senza informazioni ulteriori.

La Cybersecurity and Infrastructure Security Agency aveva lanciato un allarme già a ottobre 2020, dopo aver studiato un altro attacco (mi sembra che la vittima, in questo caso, sia stata anonimizzata):
- https://us-cert.cisa.gov/ncas/alerts/aa20-049a.

Mi aggancio proprio a questo rapporto, dove la misura tecnica più importante è quella della segmentazione delle reti. Ovviamente si tratta di una misura costosa e impopolare presso gli operatori (che dovrebbero quindi avere computer o partizioni distinte per leggere le email e per svolgere le operazioni tecniche), ma sembra sia l'unica possibile. Oltre, ovviamente, all'autenticazione a più fattori per accedere da remoto (altra soluzione "scomoda", ma necessaria).

Tra l'altro, il rapporto approfondisce altre questioni, spesso dimenticate dagli esperti di sicurezza: in certi settori, le emergenze di sicurezza sicurezza IT sono molto sottovalutate rispetto a quelle operative e prevedere opeazioni manuali in caso di indisponibilità dei sistemi IT.

Meglio lasciare la lettura al rapporto (molto sintetico, ma, ripeto, molto significativo) del CISA.

Inutile dire che questo tipo di attacco non riguarda solo le reti di trasporto dei carburanti, ma tutti i settori:
- https://www.theguardian.com/technology/2021/may/13/colonial-pipeline-ransomware-attack-cyber-crime.

Aggiornamento dei controlli NIST per la sicurezza IT nel manifatturiero

Il NIST ha aggiornato il proprio "Cybersecurity Framework Manufacturing" ed è alla versione 1.1:
- https://csrc.nist.gov/publications/detail/nistir/8183/rev-1/final.

Avrei preferito qualche approfondimento in più sulle specificità del settore manifatturiero (il cosiddetto OT) rispetto all'informatica cosiddetta d'ufficio, ma già questa pubblicazione è molto utile.

Pubblicata la IEC 62443-3-2 per la valutazione del rischio per i sistemi IACS (OT)

E' stata pubblicata a giugno 2020 la norma "Security for industrial automation and control systems - Part 3-2: Security risk assessment for system design":
- https://webstore.iec.ch/publication/30727.

Essa presenta i requisiti per una valutazione del rischio tecnica dei sistemi informatici industriali (normalmente indicati come OT, ma indicati dalla norma IACS).

Ricordo che la 62443 è divisa in più parti: la prima per i concetti generali, la seconda per i sistemi di gestione, la terza per i sistemi OT e la quarta per le singole componenti.

Trovo interessante l'approccio di questa 62443-3-2 perché richiede di suddividere opportunamente il sistema in sottosistemi, in modo da assicurarne coerenza.

Alcune zone da tenere separate sono: sistemi di business, IACS, sistemi di sicurezza fisica delle persone (safety), dispositivi connessi temporaneamente, i dispositivi wireless, i dispositivi connessi da reti esterne.

Articolo sulla protezione delle piattaforme tecno-industriali

Segnalo questo articolo dal titolo "Protezione delle piattaforme tecno-industriali. Compliance NIS e oltre" di Giulio Carducci:
- https://www.ictsecuritymagazine.com/articoli/protezione-delle-piattaforme-tecno-industriali-compliance-nis-e-oltre/.

L'articolo propone un approccio per la valutazione del rischio relativo alla sicurezza OT (tradotta, molto bene, a mio parere, con "tecno-industriale").

L'articolo ha il pregio di non nascondere i punti di "semplificazione" dell'approccio battezzato IPSEM. Ma questi passaggi sono molto ben spiegati e giustificati, sia facendo riferimento alle caratteristiche peculiari dell'ambiente tecno-industriale, differente da quello "gestionale", sia alle solite caratteristiche del rischio relativo alla sicurezza delle informazioni.

Per la cronaca: Giulio Carducci è stato uno dei miei maestri, ma questo articolo l'ho "scoperto" da solo e mi fa piacere segnalarlo.

IEC 62443-4-2 sulla sicurezza dei componenti OT (sicurezza industriale)

Franco Vincenzo Ferrari del DNV GL mi ha suggerito questo articolo dal titolo "Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida". Ho qualche riserva sull'articolo, in particolare sulla disinvoltura con cui confonde security e safety e sulla sua concentrazione sui dispositivi (mentre la norma è applicabile a 4 tipi di componenti), però alcune cose sono decisamente interessanti e ne raccomando la lettura:
- https://www.cybersecurity360.it/legal/lo-standard-iec-62443-4-2-per-la-cyber-security-industriale-le-linee-guida/.

Questa norma riporta i requisiti da considerare per i componenti dei sistemi informatici industriali. I componenti possono essere:
- applicazioni software;
- dispositivi integrati (Embedded device; dispositivi specifici, incluse PLC e sensori);
- pc o server generici;
- componenti di rete.

I requisiti possono poi essere usati per 4 livelli di sicurezza.

La lettura non è semplice e richiede anche di essere accompagnata dalla IEC 62443-3-3. Allo stato attuale, però, sono convinto che le IEC 62443 rappresentino la lettura allo stato dell'arte in materia di sicurezza informatica industriale (o "OT cyber security", dove però il termine "OT" non è mai usato dalle 62443).

La pagina ufficiale della norma è:
- https://webstore.iec.ch/publication/34421.

NIST: Cybersecurity per le aziende manifatturiere

Il NIST ha pubblicato un documento dal titolo "NISTIR 8183A, Cybersecurity Framework Manufacturing Profile Low Impact Level Example Implementations Guide":
- https://csrc.nist.gov/publications/detail/nistir/8183/final.

E' un malloppo di più di 700 pagine divise in 3 documenti.

Il primo è abbastanza generico: riporta le "solite" misure di sicurezza, senza spiegarne bene gli impatti in ambito industriale (o ICS). Però si cela una piccola sorpresa, scritta in piccolo e nelle tabelle di correlazione con le funzionalità. Infatti, per ogni misura del NIST Cybersecurity framework si leggono degli strumenti per attuare la misura indicata.

Il secondo volume presenta esempi di documenti e strumenti per le aziende manifatturiere in serie, mentre il terzo è dedicato alle aziende manifatturiere di singoli prodotti (la terminologia usata dal NIST è "di processo" e "discrete"). Qui le sorprese e le indicazioni sono tante.

Intanto i modelli di documento. Ci sono modelli per le politiche, per le procedure operative (tutte accorpate in un unico documento), per la valutazione del rischio, per la gestione degli incidenti, per il ripristino e per i contratti con i fornitori.

Non tutto condivido (per esempio l'accorpamento di tutte le procedure operative in un unico documento e l'eccessivo livello di dettaglio suggerito; per esempio anche il modello di valutazione del rischio, che non permette di rilevarne l'utilità, visto che è troppo dedicato al calcolo e non all'uso). Altri sicuramente non condivideranno altre cose. Ma penso che il livello di dettaglio sia né troppo né troppo poco e lascia ampio spazio alla personalizzazione da parte degli utilizzatori. Ritengo notevole lo sforzo fatto da una fonte così autorevole.

Al capitolo 4 si trova un elenco, con descrizione e commenti (e con anche suggerimenti per l'installazione e la configurazione), di strumenti tecnologici per attuare alcune misure. L'elenco include strumenti per la rilevazione dei dispositivi (discovery dell'hardware), per la valutazione del rischio, per il backup, per la raccolta e analisi dei log, per i vulnerability assessment, per i ticket di gestione degli incidenti, di data loss prevention, per la cancellazione sicura. Alcuni sono free, altri sono a pagamento. In tutti i casi, un'utile punto di riferimento.

Raccomandazione UE sulla cibersicurezza nel settore dell'energia

Segnalo questo articolo dal titolo "Cybersecurity nel settore energetico, ecco le raccomandazioni della Commissione europea":
- https://www.agendadigitale.eu/infrastrutture/cybersecurity-nel-settore-energetico-ecco-le-raccomandazioni-della-commissione-europea/.

Mi sembra interessante osservare che questa "Raccomandazione UE 2019/553 della Commissione del 3 aprile 2019 sulla cibersicurezza nel settore dell'energia" presenta indicazioni che potrebbero essere considerate anche in altri settori e nell'ambito industriale più generale.

Il link dell'articolo riporta alla raccomandazione in italiano. La pagina con le versioni nelle altre lingue dell'Unione è questa:
- https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019H0553.

ENISA Industry 4.0 - Cybersecurity Challenges and Recommendations

Sandro Sanna mi ha segnalato la pubblicazione del breve (13 pagine) studio di ENISA dal titolo "Industry 4.0 - Cybersecurity Challenges and Recommendations":
- https://www.enisa.europa.eu/publications/industry-4-0-cybersecurity-challenges-and-recommendations.

Le raccomandazioni (riassunte da me) sono:
- allineare le competenze in materia di IT e OT (segnalo che è scritto che le persone in ambito OT devono adattarsi alle innovazioni, me, ma non è esplicitato che gli "esperti" di IT devono capire le caratteristiche dell'OT, per esempio in termini di sicurezza delle persone e lunghezza del ciclo di vita dei prodotti);
- prestare attenzione alle regole stabilite (solitamente incomplete) e alla necessità di fornire fondi alla sicurezza;
- incoraggiare con incentivi la sicurezza;
- prestare attenzione ai prodotti per industria 4.0 perché il loro ciclo di vita è la composizione di quello dei prodotti IT e OT;
- chiarire le responsabilità tra gli attori di industria 4.0;
- prestare attenzione al fatto che gli standard in materia di industria 4.0 sono frammentati;
- gestire la sicurezza considerando tutta la filiera di fornitura;
- prestare attenzione all'interoperabilità e alla sicurezza dei prodotti industria 4.0.

Differenze tra sicurezza IT e sicurezza ICS (e non solo)

Da un tweet di @yvetteagostini, segnalo questa breve riflessione dal titolo "IT+OT Cyber security experts?":
- lnkd.in/eE5j5qs.

In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti alla sicurezza industriale (sicurezza per OT o Operational technology o per ICS o Industrial Control Systems, di cui fanno parte gli SCADA). Infatti la sicurezza per OT si concentra sulla difesa di sicurezza fisica (safety), affidabilità (reliability) e produttività (productivity). A maggior ragione, non è pensabile una roba come la "convergenza di sicurezza IT e OT".

Non sono molto d'accordo (per esempio perché sono convinto che la sicurezza IT debba anche considerare la produttività e la sicurezza OT debba anche considerare la riservatezza; gli altri parametri sono sovrapponibili), ma trovo istruttivo questo sottolineare la differenza culturale tra le due materie.

È innegabile che, per affrontare bene una materia, è necessario capirne la cultura di fondo. Questo l'ho visto, per esempio, quando ho affrontato la qualità dopo essermi dedicato alla sicurezza delle informazioni e poi, nella mia crescita professionale, sono ritornato alla sicurezza delle informazioni e poi alla gestione dei servizi, alla continuità operativa, alla privacy, eccetera. Ogni materia ha le sue peculiarità e queste vanno capite e apprezzate prima di farle "convergere".

È anche per questi motivi che ho sempre cercato di non fare elenchi di correlazione tra norme sulla sicurezza (ISO/IEC 27001), sulla gestione dei servizi (ISO/IEC 20000-1), sulla privacy e altro. Ed è anche per questi motivi che evito l'uso dell'espressione "cybersecurity", visto che è usato in modo molto vago, per includere o escludere la sicurezza IT  o OT, a seconda dell'interlocutore.

Studio ENISA su Industria 4.0

ENISA ha pubblicato uno studio dal titolo "Good Practices for Security of Internet of Things in the context of Smart Manufacturing":
- https://www.enisa.europa.eu/publications/good-practices-for-security-of-iot.

La lettura è decisamente interessante anche se, a mio parere, il documento poteva essere più sintetico. Rimane una lettura molto consigliata, non solo per chi si occupa di IoT o di Industria.