Close

22 settembre 2016

Settore Industrial control System Security in Energy

I sistemi di controllo industriale (ICS) sono composti da entità fisiche il cui funzionamento si basa prevalentamente su componenti ICT. ICS sono onnipresenti e possono essere trovati in un certo numero di infrastrutture critiche per la sicurezza, tra cui l’energia, processi chimici, di assistenza sanitaria, aerospaziale, manifatturiero e il trasporto. Originariamente isolati e intrinsecamente sicuri, gli ICS sono stati sempre più esposti ad attacchi informatici (ad esempio Stuxnet). Anche se è impossibile eliminare tale rischio, le misure di sicurezza e i controlli devono essere in atto per garantire un livello accettabile di esposizione al rischio.
L’iniziativa di sicurezza ICS era un progetto congiunto della Global Cyber Security Center e la Italian Energy Utility Company, impresa svolta nel 2011 e 2012. Il lavoro si propose di:
1. identificare lo stato-of-the-art di pratiche di sicurezza e contromisure sviluppati e realizzati dagli organismi internazionali più rilevanti e influenti con le istituzioni del settore.
2. condurre una revisione della politica di sicurezza informatica utilizzata dalla società di servizi e dei controlli di sicurezza in atto in un insieme rappresentativo di centrali elettriche della società di servizi, al fine di determinare l’effettivo livello di protezione e, se necessario, di trovare un aggiuntivo e adeguato controllo di sicurezza.
Il primo punto può essere riutilizzato e applicato a molte infrastrutture critiche, come la maggior parte dei documenti di sicurezza recensiti sono ugualmente valide nella maggior parte dei settori industriali. Il secondo punto è mirato al settore energetico, in particolare per l’ambiente Utility Company, la metodologia sviluppata dal progetto può essere applicata sistematicamente a qualsiasi infrastruttura critica e per qualsiasi area ICS.
Il team di progetto ha raccolto e analizzato un gran numero di standard internazionali, raccomandazioni, politiche guida e linee guida emesse da istituti pertinenti. Sono stati considerati i seguenti istituti internazionali:
• American Petroleum Institute (API)
• International Electrotechnical Commission (IEC)
• Institute of Electrical and Electronics Engineers (IEEE)
• International Society of Automation (ISA)
• International Organization for Standardization (ISO)
• North American Electric Reliability Corporation’s (NERC)
• American Gas Association (AGA)
• U.S. Government Accountability Office (GAO)
• National Institute of Standards and Technology (NIST)
• Sandia National Laboratories
• UK Centre for the Protection of National Infrastructure (CPNI)
• US Department of Energy (DoE)
• US Department of Homeland Security (DHS)
• US Nuclear Regulatory Commission (NRC)
I documenti sono stati classificati e ordinati secondo un modello di raccolta strutturata sviluppato dal team. La struttura è stata ispirata alle informazioni di domini di sicurezza descritti nel 27001 ISO/IEC. Questo ha permesso al team di scegliere le misure più efficaci dei controlli di sicurezza confrontati per dominio di applicazione. Il risultato di questa prima fase del progetto è stata una grande serie di requisiti di sicurezza relativi ai sistemi di controllo di energia.
La seconda fase del progetto ha consegnato una “gap analysis”, raccolta dei requisiti di sicurezza sviluppati nella prima fase, le politiche di sicurezza e di controllo in atto nell’ambiente Utility Company. A questo scopo, la squadra ha svolto:
• controllo delle politiche e dei documenti di sicurezza Utility società ICS
• controllo è implemeazione delle pratiche, in base alla documentazione e al supporto fornito dalla società di servizi.
Al fine di avere una migliore visione delle implicazioni dei controlli di sicurezza, sono stati analizzati e classificati secondo caratteristiche diverse, come valore delle attività, la vulnerabilità, la classe minaccia, dominio di sicurezza, e la priorità della sicurezza. Questa classificazione ha permesso alla società di utilità di comprendere il rischio associato ai controlli mancanti e dare la priorità a quelli più importanti che devono essere attuate.

Settore Industrial control System Security in Energy ultima modifica: 2016-09-22T15:00:21+00:00 da Aramis

22 settembre 2016