Progettazione di sicurezza in Operational Technology: applicazioni militari dello standard ISA-62443
Breve introduzione allo standard ANSI/ISA-62443
Lo standard tecnico ANSI/ISA-62443 (anche noto come IEC-62443) rappresenta un pilastro fondamentale nella protezione delle infrastrutture critiche e dei sistemi di automazione e controllo industriale (IACS). Questa serie di standard, sviluppata dal comitato ISA99 dell’International Society of Automation (ISA) in collaborazione con la International Electrotechnical Commission (IEC), offre linee guida dettagliate e metodologie approfondite per la progettazione, l’implementazione, l’operatività e il mantenimento di sistemi di controllo industriale sicuri e affidabili.
Lo standard ISA-62443 si distingue per il suo approccio olistico alla sicurezza, integrando principi di ingegneria, gestione del rischio e tecnologie di sicurezza avanzate, definendo un quadro completo per affrontare le vulnerabilità e le minacce sempre più sofisticate e pervasive che affliggono i sistemi industriali moderni: una delle caratteristiche distintive di ISA-62443 è infatti la sua capacità di adattarsi a una vasta gamma di settori industriali, compresi il manifatturiero, l’energia, l’acqua, i trasporti ed altri ancora.
In ambito di infrastrutture critiche della Difesa, nell’aprile 2021 il NATO ENSEC COE[1] – centro di eccellenza per la sicurezza energetica della NATO – e il comitato di standard ISA99 – dedicato alla Sicurezza dei Sistemi di Automazione e Controllo Industriale – hanno sottoscritto un protocollo d’intesa per la cooperazione nello scambio di informazioni e la possibile collaborazione su risorse didattiche e attività: il NATO ENSEC COE si è subito interessato all’applicazione dello standard ANSI/ISA-62443 durante uno studio sul rischio cibernetico dei sistemi di controllo industriale utilizzati nel sistema di oleodotti NATO dell’Europa Centrale NATO-POL[2], al fine di migliorare la sicurezza, l’affidabilità e le prestazioni delle tecnologie fondamentali che sostengono la sicurezza dell’Alleanza e degli Stati membri.
Tra gli obiettivi primari dello standard ISA-62443 vi è garantire la disponibilità, l’integrità e la confidenzialità delle informazioni e dei sistemi di controllo nelle infrastrutture industriali secondo un concetto di triade C.I.A. invertita, introdotto dallo stesso standard per enfatizzare l’importanza della disponibilità nei sistemi di controllo industriale, dove il tempo di inattività può avere conseguenze significative tanto sulla produzione quanto sulla sicurezza. Nel cuore dello standard ISA-62443 risiede il concetto di Security Level (SL), che stabilisce i requisiti di sicurezza per i sistemi di automazione industriale in base alla loro capacità di resistere ad attacchi di intensità e motivazione variabile; tale classificazione (riportata nel dettaglio al paragrafo Adozione nel contesto delle infrastrutture militari critiche) serve come guida per gli operatori industriali, consentendo loro di implementare misure di sicurezza proporzionali al livello di minaccia valutato. In aggiunta, lo standard introduce il concetto di Security Level Target (SL-T), che indica il livello di sicurezza che si aspira a ottenere per tutelare i sistemi IACS (Industrial Automation & Control Systems) dalle minacce individuate attraverso l’analisi dei rischi.
Definizione e determinazione dei Security Level Target (SL-T): ostacoli e considerazioni
Citando lo standard tecnico ANSI/ISA-62443-3‑2-2020:
“There is no prescribed method for establishing SL-T. Some organizations choose to establish SLT based upon the difference between the unmitigated cyber security risk and tolerable risk. Whereas others elect to establish SL-T based on the SL definitions provided in Annex A of this document and ISA-62443-3-3. Another approach, if a risk matrix is used (see Annex B for examples), is to qualitatively establish the SL. Starting from a reasonable estimate of SL (can also be none) the cyber security risk is evaluated by the risk matrix taking into account the countermeasures implied by the SL. If the risk is not acceptable, then the SL is raised (this means additional countermeasures are added) until the cyber security risk is acceptable. The SL derived from this analysis becomes SL-T.”[3]
Appare evidente l’assenza di un metodo fisso, definito dallo stesso standard, che consenta di stabilire il Security Level Target (SL-T) di un IACS: alcune organizzazioni potrebbero scegliere di adottare un approccio basato unicamente sulla differenza tra rischio non mitigato e rischio tollerabile, altre di seguire le definizioni fornite nella norma ISA-62443-3-3, queste ultime oggetto di analisi nel successivo paragrafo.
Alcuni metodi prevedono l’uso di una matrice di rischio: si parte da una stima di SL e si valuta il rischio usando la matrice, aggiungendo contromisure finché il rischio non sia ritenuto accettabile derivando quindi un livello di sicurezza target (SL-T). Tale flessibilità nell’approccio potrebbe consentire alle organizzazioni di adattare SL-T alle proprie esigenze specifiche; occorre tuttavia notare come la stessa flessibilità sia in grado di portare a interpretazioni soggettive e, potenzialmente, ad incoerenze nella determinazione di SL-T tra diverse parti coinvolte all’interno di un’organizzazione.
In una prima progettazione di tipo “greenfield” (termine proveniente dallo standard che si riferisce a una nuova installazione o a un nuovo sistema che viene progettato e implementato da zero, senza vincoli derivanti da tecnologie o infrastrutture esistenti), risulta essenziale considerare le seguenti situazioni che potrebbero emergere e influenzare il processo di definizione di un Security Level Target (SL-T).
- Mancanza di dati reali: in un progetto non ancora avviato, potrebbero mancare dati reali sulla performance degli impianti o sulla vulnerabilità degli asset. Senza dati concreti, qualsiasi valutazione del rischio sarà basata su stime e ipotesi, rendendo difficile stabilire un SL-T accurato e affidabile.
- Variabilità delle specifiche: le specifiche del progetto potrebbero cambiare durante le fasi di progettazione e sviluppo. Questi cambiamenti potrebbero influenzare significativamente il livello di sicurezza richiesto; conseguentemente, l’assegnazione di un SL-T in questa fase e mediante la conduzione del solo risk assessment potrebbe portare a discrepanze tra le specifiche iniziali e i requisiti di sicurezza finali.
- Mancanza di specifiche nell’implementazione delle contromisure di sicurezza: durante la fase di progettazione, potrebbe sorgere incertezza riguardo all’implementazione concreta delle contromisure di sicurezza. L’assenza di dettagli sull’attuazione pratica potrebbe compromettere le valutazioni dei rischi, conducendo a scelte basate su scenari ideali piuttosto che sulla realtà effettiva.
- Variazioni nella complessità: la complessità del sistema potrebbe variare durante la progettazione. Un sistema inizialmente progettato come “semplice” potrebbe diventare più complesso a causa di requisiti aggiuntivi o di modifiche nel progetto. Tali variazioni potrebbero influenzare il livello di sicurezza richiesto, rendendo difficile stabilire un SL-T “baseline” che sia definitivo o duraturo nel tempo.
- Rischio di sovra o sotto-stima: in assenza di dati concreti e dettagli sull’implementazione, il rischio di sovrastimare o sottovalutare il livello di sicurezza richiesto potrebbe aumentare. Tra le dirette conseguenze si avrebbe un eccesso di spesa per contromisure di sicurezza non necessarie o, al contrario, una protezione insufficiente contro le minacce reali.
- Mancato coinvolgimento degli stakeholder: nelle fasi iniziali del progetto, specie quelle precoci, potrebbe non essere coinvolto un numero sufficiente di stakeholder. Senza il coinvolgimento di tutte le parti interessate, le valutazioni del rischio e gli SL-T proposti potrebbero non riflettere appieno le esigenze – anche in termini di compliance – e le “preoccupazioni” di tutte le parti coinvolte nel progetto.
Adozione nel contesto delle infrastrutture militari critiche
Nel contesto delle infrastrutture militari critiche legate alla Operational Technology, argomento centrale del presente contributo, l’assegnazione del livello di sicurezza (SL-T) è un processo complesso che richiede una considerazione accurata delle minacce, delle specifiche dottrine e normative militari e delle esigenze operative. L’approccio del risk assessment “tradizionale” mediante fogli o modelli pronti all’uso, sebbene ampiamente utilizzato in contesti come quello delle utilities, potrebbe non soddisfare completamente le esigenze delle organizzazioni militari coinvolte.
Di seguito vengono esaminate – seppur non esaustivamente – le ragioni principali per cui un approccio più specializzato e orientato alla cyber threat intelligence, oltre che specificamente adattato alle minacce e alle precipue esigenze militari, è essenziale nella progettazione e implementazione di sistemi e infrastrutture OT nell’ambito della difesa.
- Classificazione delle informazioni sensibili: considerato che le organizzazioni militari trattano anche informazioni altamente sensibili e/o classificate, un risk assessment tradizionale potrebbe non tener conto delle minacce particolari legate alla sicurezza nazionale e alle operazioni militari. La classificazione delle informazioni potrebbe rendere inadeguate alcune metodologie di valutazione del rischio utilizzate nel contesto civile e industriale.
- Advanced Persistent Threat: le organizzazioni militari affrontano minacce avanzate e persistenti da attori statali e non statali. Queste minacce spesso superano le tradizionali capacità di valutazione del rischio, richiedendo approcci più sofisticati e orientati all’intelligence per poter essere efficacemente identificate e mitigate.
- Necessità di contromisure specifiche: le dottrine militari richiedono contromisure specifiche e altamente specializzate per affrontare minacce particolari. Un risk assessment generico potrebbe non identificare adeguatamente queste esigenze specifiche, portando ad una protezione insufficiente contro minacce complesse.
- Gestione delle operazioni tattiche e strategiche: le implementazioni nell’ambito delle operazioni militari possono richiedere una gestione delle risorse e delle operazioni altamente dinamica e flessibile. Un approccio basato su risk assessment tradizionale, seppur mirato alle infrastrutture critiche, potrebbe non essere sufficientemente adattabile alle mutevoli condizioni del teatro operativo o alle esigenze tattiche e strategiche in rapida evoluzione.
- Riservatezza delle capacità tecniche: alcune capacità tecniche utilizzate in contesti militari sono altamente riservate. La divulgazione di queste informazioni, quando possibile, durante un processo di valutazione del rischio potrebbe compromettere la sicurezza e l’efficacia delle operazioni militari.
- Possibili minacce interne: le minacce interne, come insider non affidabili o infiltrazioni nemiche, sono una preoccupazione diffusa in diverse organizzazioni; tuttavia, nel contesto militare possono avere implicazioni particolarmente gravi per la sicurezza nazionale. Le esigenze specifiche delle organizzazioni militari, incluse la riservatezza delle informazioni e la necessità di operare in ambienti ad alto rischio, richiedono un approccio più specializzato e orientato all’intelligence per identificare e affrontare tali minacce in modo efficace.
- Rispetto delle direttive governative e normative militari: le organizzazioni militari devono naturalmente conformarsi a direttive governative[4] e normative militari specifiche, che potrebbero richiedere approcci di sicurezza unici e non facilmente adattabili a modelli di valutazione del rischio generici.
In aggiunta, per quanto concerne le definizioni dei quattro livelli di sicurezza presenti nello standard tecnico ANSI/ISA-62443-3‑2-2020, di seguito riportate:
“ISA-62443-4-2 [10] defines SLs in terms of four different levels (1, 2, 3 and 4), each with an increasing level of security. SL 0 is implicitly defined as no security requirements or security protection necessary.
SL 1: Protection against casual or coincidental violation
SL 2: Protection against intentional violation using simple means with low resources, generic skills and low motivation
SL 3: Protection against intentional violation using sophisticated means with moderate resources, IACS specific skills and moderate motivation
SL 4: Protection against intentional violation using sophisticated means with extended resources, IACS specific skills and high motivation.”
È chiaro che le definizioni dei quattro livelli di sicurezza fornite dallo standard ISA-62443-4-2, basate unicamente sulle capacità delle minacce e sulle risorse necessarie per compromettere la sicurezza del sistema, risultano piuttosto generiche e potrebbero presentare limitazioni rilevanti se applicate al contesto militare. L’assenza di dettagli specifici rischia di “spingere”, “forzare” i decisori verso un’assegnazione “automatica” di SL 4 a tutte le casistiche rientranti in tale contesto, a causa della percezione di minacce esterne complesse, altamente motivate o non completamente comprese, dando così origine a varie problematiche, di seguito elencate.
- Sovraccarico di risorse: l’assegnazione deliberata di SL 4 ad ogni IACS potrebbe portare a un eccessivo dispendio di risorse, finanziarie e umane, per implementare e gestire misure di sicurezza sofisticate anche in situazioni che non richiedono tali livelli di protezione.
- Difficoltà nell’identificare le minacce prioritarie: con la deliberata e indiscriminata assegnazione di SL 4, gli enti potrebbero avere difficoltà a identificare e dedicare risorse alle minacce più gravi e specifiche, perdendo di vista le priorità di sicurezza.
- Rischio di non conformità: l’assegnazione indiscriminata di SL 4 potrebbe portare a non conformità con direttive, normative e requisiti specifici dell’ambito militare.
- Mancanza di adattabilità e interoperabilità: un’assegnazione generica del massimo SL potrebbe mancare di adattabilità alle mutevoli minacce e a esigenze operative specifiche, incluse quelle di interoperabilità, poiché non terrebbe conto dei contesti operativi variabili e delle minacce emergenti.
- Eccessiva complessità: l’implementazione generalizzata di misure di sicurezza al massimo livello potrebbe portare a una complessità eccessiva nei sistemi militari, rendendo difficile la gestione operativa e la manutenzione delle infrastrutture.
La mancanza di dettaglio nelle definizioni degli SL potrebbe, quindi, portare a un’applicazione inefficace e/o poco adattabile delle misure di sicurezza nel contesto militare. Risulta pertanto fondamentale – al fine di scongiurare inefficienze operative, spreco di risorse e una protezione inefficace contro le minacce reali e prioritarie – una personalizzazione o reinterpretazione (anche estesa) dei quattro Security Level, così da poterli adattare alle minacce specifiche, alle dottrine militari e alle esigenze operative di ciascun ente. Tale personalizzazione consentirebbe una maggiore flessibilità nell’adozione di contromisure mirate, riducendo al minimo la spesa e l’utilizzo delle risorse senza tuttavia compromettere l’efficacia della sicurezza. Inoltre, permetterebbe di reagire in modo tempestivo alle minacce emergenti e di adattare continuamente le strategie di sicurezza, garantendo una protezione dinamica e adeguata in un panorama estremamente mutevole come quello militare.
Operational Technology e Difesa: un modello di sicurezza adattivo
Per massimizzare tanto l’efficienza quanto l’efficacia nella metodologia di progettazione e implementazione dell’Operational Technology in infrastrutture militari critiche, in accordo anche con lo standard tecnico ISA-62443, è cruciale l’adozione di obiettivi tecnici strategici, specialmente nelle nuove implementazioni (greenfield secondo ISA-62443). Tali obiettivi dovrebbero essere di natura dinamica e personalizzabile per rispondere alle necessità specifiche di ogni organizzazione militare. Obiettivi ad alto livello potrebbero abbracciare vari ambiti, alcuni dei quali elencati di seguito.
Identificazione delle minacce e delle vulnerabilità
Conduzione di un’analisi approfondita per l’identificazione delle minacce specifiche che potrebbero essere affrontate nelle operazioni militari in corso o future, critiche e non; conseguente valutazione delle vulnerabilità delle infrastrutture militari, inclusi sistemi di comunicazione, reti informatiche, protocolli di comunicazione e infrastrutture fisiche.
Valutazione del rischio
Adozione di una metodologia di valutazione del rischio specifica che tenga conto delle minacce e delle vulnerabilità identificate e che tenga inoltre in considerazione parametri quali: la sensibilità delle informazioni, la criticità delle operazioni e l’impatto potenziale di un attacco sulle missioni e operazioni militari in corso e/o future, nonché sulle capacità dell’ente e sulla sicurezza nazionale.
Definizione delle metriche di sicurezza
Sviluppo e definizione di metriche specifiche per la valutazione della sicurezza delle infrastrutture militari. Ciò potrebbe includere indicatori di performance operativa, tempi di ripristino in caso di attacco, capacità di ripristino automatico[5], densità di valore[6] e capacità di resilienza. Potrebbe essere valutata anche l’inclusione di indicatori di performance derivanti da dati storici esistenti, anche se collezionati nel contesto dell’information technology, come ad esempio il tempo medio di rilevamento (MTTD) e di risposta (MTTR).
Coinvolgimento delle parti interessate
Sviluppo di un piano di dettaglio che preveda e descriva il coinvolgimento e lo “scope di autorità” (opzionalmente anche di “autorevolezza”) di tutte le parti interessate: compresi vertici e reparti militari, organi di vigilanza, agenzie di informazione per la sicurezza, organismi di certificazione, vendor, system integrator e professionisti della sicurezza.
Adattamento alle dottrine e normative militari
Incorporazione di specifiche dottrine e regolamenti militari che governano la sicurezza e la protezione delle infrastrutture critiche all’interno delle analisi di rischio. È altresì fondamentale includere tassonomie, definizioni e standard pertinenti, anche quando si tratta di standard interni all’organizzazione.
Personalizzazione degli SL
Rielaborazione delle definizioni di Security Level derivanti dallo standard per calibrarli in modo specifico in base alle minacce e alle necessità proprie del settore Difesa. Ad esempio, potrebbe rivelarsi necessaria l’introduzione di processi valutativi supplementari o criteri di assegnazione per ciascun SL, che considerino le operazioni erogate o supportate – anche marginalmente – da determinati IACS, nonché la gestione di informazioni sensibili o classificate e le minacce emerse da entità ostili, inclusi potenziali scenari di conflitto armato.
Validazione e aggiornamento continuo
Validazione programmata delle valutazioni del rischio condotte attraverso esercitazioni e simulazioni, per assicurare che esse siano realistiche e rappresentino le minacce attuali; costante aggiornamento delle valutazioni del rischio al fine di riflettere l’evoluzione delle minacce e delle tecnologie.
Implementazione di contromisure specifiche
Implementazione di contromisure di sicurezza specifiche che siano in linea con il livello di sicurezza target identificato, partendo dalla baseline di “controlli” e requisiti di sicurezza definiti per ciascun Security Level dallo standard ANSI/ISA-62443; sorveglianza continua dell’efficacia delle misure di sicurezza per garantire aggiustamenti tempestivi in relazione a minacce o vulnerabilità di recente scoperta.
Collaborazione e condivisione
Lavoro sinergico con entità, organizzazioni militari e istituti di ricerca specializzati in Operational Technology per lo scambio di expertise e approcci ottimali. Questo interscambio di esperienze è fondamentale per affinare le tattiche di protezione e personalizzare i livelli di sicurezza (SL) in modo più efficace.
Cyber Threat Intelligence
La Cyber Threat Intelligence (ambito intenzionalmente ampliato rispetto ai precedenti) permette l’analisi approfondita delle minacce emergenti e delle vulnerabilità sistemiche, fornendo dati critici per la valutazione del rischio e l’adozione di misure di sicurezza adeguate, attraverso processi di identificazione e classificazione sistematica; può pertanto contribuire significativamente alla determinazione dei Security Level Targets (SL-T) necessari per la protezione delle risorse strategiche. Si richiama infatti l’attenzione del lettore su come l’efficienza nell’uso delle risorse risulti imprescindibile in tale ambito, dove il capitale – sia umano che tecnologico – deve essere impiegato in maniera ottimale: ottimizzazione delle risorse che passa attraverso una gestione strategica basata su informazioni affidabili, permettendo di allocare l’investimento delle capacità difensive in modo proporzionato al grado di rischio rilevato. La capacità di identificare con precisione le minacce più rilevanti consente di allocare le risorse in maniera oculata, concentrando gli investimenti sulle aree di maggiore rischio e importanza. Questo approccio mirato non solo massimizza l’efficacia delle misure protettive implementate ma riduce anche l’inefficienza derivante dall’utilizzo eccessivo o mal diretto di risorse (tempo, manodopera, budget, attrezzature, etc.) per affrontare minacce di minore entità o improbabili (fenomeno noto come “overprovisioning”).
Tabella riepilogativa
Fase | Descrizione |
Identificazione delle minacce e vulnerabilità | Conduzione di un’analisi approfondita per individuare minacce specifiche e valutare le vulnerabilità del sistema. |
Valutazione del rischio | Adozione di una metodologia specifica considerando minacce, vulnerabilità, likelihood, impatto potenziale e parametri critici. |
Definizione delle metriche di sicurezza | Sviluppo di metriche specifiche per valutare la sicurezza delle infrastrutture militari, considerando vari aspetti. |
Coinvolgimento delle parti interessate | Definizione del coinvolgimento e dell’autorità di tutte le parti interessate, comprese organizzazioni ed enti esterni. |
Adattamento alle dottrine militari | Incorporazione delle dottrine e normative militari nelle analisi di rischio, tenendo conto di esigenze specifiche. |
Personalizzazione dei Security Level | Rielaborazione delle definizioni di SL per adattarle alle minacce e alle necessità uniche del settore Difesa. |
Validazione e aggiornamento continuo | Esercitazioni programmate e aggiornamenti costanti per garantire la realismo delle valutazioni e tener conto dell’evoluzione delle minacce. |
Implementazione di contromisure specifiche | Applicazione di misure di sicurezza mirate, partendo dai controlli definiti per ciascun Security Level. |
Collaborazione e condivisione | Lavoro sinergico con entità specializzate in Operational Technology per scambio di expertise e approcci ottimali. |
Cyber Threat Intelligence | Utilizzo della CTI per analizzare le minacce emergenti e fornire dati critici per la valutazione del rischio e la definizione dei Security Level Targets. |
Questo articolo è stato estratto dal white paper “Quaderni di Cyber Intelligence #5” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/quaderni-di-cyber-intelligence-5/
Note
[1] https://www.enseccoe.org/en/about/6
[2] https://it.wikipedia.org/wiki/Oleodotto_NATO_Petroleum,_Oil_and_Lubricant
[3] (ANSI/ISA-62443-3-2-2020)
[4] Direttive PCM-ONS 3/2019, PCM-ANS/COMSEC-256 (B), PCM-ANS/TI-001÷005 e 008, PCM-ANS 6/2006 et al.
[5] e.g. CVSS v4.0, Metrica “Recovery”: describes the resilience of a system to recover services, in terms of performance and availability, after an attack has been performed.
[6] e.g. CVSS v4.0, Metrica “Value Density”: describes the resources that the attacker will gain control over with a single exploitation event. It has two possible values, diffuse and concentrated.
Articolo a cura di Mirko Caruso
Esperto in sicurezza delle informazioni e conformità delle infrastrutture critiche, membro e collaboratore della OWASP® Foundation. Ricercatore del progetto Domain-based Message Authentication, Reporting and Conformance e nei settori della sicurezza, prevenzione e contrasto della posta elettronica ai fenomeni di "Government impersonation" e pedopornografia. ISACA CISM e Cisco Certified Network Security Professional con esperienza diretta nei data center Tier IV di ISP italiani. Tre volte nella Hall of Fame del Gruppo TIM per la divulgazione responsabile di vulnerabilità critiche. Appassionato di OSINT, laureato in Studi Giuridici, con major in Informatica.