ITALIA 4.0

88 ITALIA 4.0 2022 A ffidare in subappalto la fornitura e manutenzione di com- ponenti OT e la messa in sicurezza fisica e digitale degli im- pianti incrementa l’esposizione dell’industria e delle utilities a rischi cyber derivanti dalla supply chain, preda sempre più ambita dei cybercriminali. Ma non solo, anche una scarsa comprensione dei processi OT mina la resilienza di tali infrastrutture. Requisiti per la cybersecurity industriale Integratori di sistema, uffici di progettazione o fornitori di compo- nenti e sottosistemi a cui si affida l’erogazione di servizi e macchinari con contratti di subfornitura sono parte della supply chain e quindi coinvolti nella progettazione, nello sviluppo, nell’integrazione, nel- la messa in servizio, nella convalida e nella manutenzione degli im- pianti OT presenti non solo nell’industria ma anche presso le utilities, ovvero fornitori di luce, gas, acqua e servizi essenziali per il Paese. La questione della cyber-maturità dei subappaltatori in ambito OT è divenuta più che mai centrale. La sottovalutazione dei rischi e la conseguente mancata adozione di best practice di sicurezza hanno contribuito all’attuale fragilità della supply chain, che diventa facil- mente vettore di infezione per il resto della catena industriale. Una situazione di cui sono naturalmente responsabili anche gli appaltanti e le organizzazioni industriali stesse, che non impongono sufficienti requisiti di cybersecurity, nonostante esista una serie di standard e di best practice di cybersicurezza a cui i responsabili della sicurezza delle infrastrutture IT e OT industriali possono fare riferimento. Standard e parametri per l’outsourcing in ambito OT Lo standard più noto a livello industriale è senza dubbio lo IEC 62443, che descrive i requisiti di sicurezza per tutti i fornitori di ser- vizi, coprendo diversi punti che spaziano dall’accesso remoto ai siste- mi alla gestione della configurazione. I responsabili della sicurezza OT possono inoltre fare affidamento su standard tratti dall’IT, come l’ISO/IEC 27001, dedicato alla gestione dei sistemi informativi, che definisce i requisiti per l’implementazione di un Isms (Information Security Management System). Della stessa famiglia fa parte la nor- ma ISO/IEC 27036, uno standard internazionale dedicato alle relazio- ni cliente-fornitore. Per assicurarsi che i subappaltatori selezionati adottino buone prati- che di cybersecurity occorre affrontare la questione già nei bandi di gara, basandosi, ad esempio, sui requisiti per l’applicazione di ISSPs (Issue Specific Security Policies) presso la sede del subappaltatore. È essenziale anche l’identificazione di un referente informatico e la presenza di uno SLA (service-level agreement) specifico per assicu- rare che i sistemi aggiornabili ricevano tempestivamente le patch di sicurezza. Infine, queste clausole devono includere una descrizione del metodo di comunicazione tra il subappaltatore e il suo cliente in caso di attacco cyber. Tutti questi punti dovrebbero essere parte integrante del punteggio assegnato a ciascun fornitore di servizi, prima dell’approvazione da parte di chi ha indetto la gara d’appalto e della validazione finale da parte del Ciso dell’azienda, che dovrà anche prevedere misure interne (tra cui DMZ e VPN) per consen- tire ai fornitori scelti di operare in maniera protetta. La messa in sicurezza delle attività affidate a terzi si profila dunque come una STORMSHIELD ITALIA Via Leone XIII, 10 - 20145 Milano Tel. +39 333 9992651 italy@stormshield.eu www.stormshield.com/it/ l firewall industriali SNi20 e SNi40 Publiredazionale