Dall'utente finale al produttore di componenti, l'impatto della sicurezza informatica sull'intera supply chain.
- L'apparato documentale
- Analisi dell'impianto di processo
- Security Assessment, Security Concept e selezione dei fornitori
- Produzione documentale
- Configurazione apparati e validazione
System Under Consideration, in senso lato, lo sgomento che attraversa la supply chain.
PILZ Come si colloca nella catena di fornitura.
Contestualizzare e inquadrare documentazione proveniente da una complessa supply chain
- Challenge
- Un "plico" digitale di requisiti, template, timeline e quant'altro che ha attraversato una lunga catena di fornitura
- Non ci sono indicazioni chiare del framework normativo utilizzato
- Non sempre le ragioni dei requisiti sono note, poichè figlie di un risk assessment eseguito a monte e protetto da estrema riservatezza anche nei confronti di partner
La risposta di Pilz
- Competenza maturate nell'IT oltre che nell'OT che consentono di desumere ex post le potenziali ragioni dei requisiti
e come implementarli
- Le Security Firm nascono dal mondo IT, i requisiti posti e la forma mentis sono spesso di origine IT più che OT
- Analisi documentale ed estrazione dei framework normativi di riferimento
- Sono stati individuati I seguenti framework: IEC62443, NIST SP 800-82 e ISO27001 come origine dei requisiti
- Produzione di quanto necessario, documentale, progettuale e attuativo per ottemperare alle richieste, ma con cognizione di causa, prevedendo in anticipo gran parte delle obiezioni e problemi grazie alle analisi preliminari e al know-how IT e OT combinati
Le diverse priorità nella difesa di un sistema OT rispetto ad un sistema IT
Security Assessment
- L'analisi secondo IEC62443-3-2
- Le matrici MITRE ATT&CK
La metodologia consente di parametrizzare le matrici di probabilità e la valutazione dei possibili attacchi su dati oggettivi provenienti dall'osservazione del "threat landscape" corrente su scala globale, dalle tecniche di attacco ragionevolmente utilizzabili sull'SuC, passando per lo storico di reali eventi, fino al "profilo di attacco" del singolo gruppo organizzato.
- La strategia di difesa: un esempio estratto dal security concept
Componenti e fornitori
Dalla strategia alla pratica
Alcuni esempi di documentazione richiesta dalla committenza
Configurazione degli apparati e validazione
Diagramma di rete Verifiche di sicurezza interne:
Dal diagramma di rete al FAT