Standards & Safety 3 min read

IEC 62443 Sicurezza informatica dei sistemi di controllo industriale: requisiti di patching e manutenzione

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Introduzione: perché la sicurezza informatica degli ATS è una questione di manutenzione

I sistemi di controllo industriale (ICS/ACU TP) nelle imprese ucraine operano in condizioni di costanti minacce informatiche. Secondo CERT-UA, nel 2023-2024 sono stati registrati più di 2.500 incidenti che hanno preso di mira infrastrutture critiche. Lo standard IEC 62443 (una serie di 14 documenti, l'ultima edizione consolidata - 2024) definisce un approccio sistematico alla protezione delle reti industriali a tutti i livelli, dai componenti alle politiche organizzative.

Per un tecnico dell’assistenza, la sicurezza informatica non è un compito IT astratto. Ogni patch aperta sul controller, ogni firmware non aggiornato del pannello HMI, ogni porta Ethernet non protetta sull'azionamento è un vettore di attacco. La norma IEC 62443-2-3:2015 (Patch management in ambiente IACS) regola direttamente le procedure di aggiornamento del software dei componenti ACS nell'ambito della manutenzione programmata.

Il 1° gennaio 2024 è entrata in vigore in Ucraina la legge "Sulle infrastrutture critiche" (n. 1882-IX), che obbliga gli operatori delle infrastrutture critiche a implementare sistemi di protezione informatica in conformità con gli standard internazionali. DSTU EN IEC 62443 è adottato come standard nazionale mediante il metodo di conferma.

Ambito e obbligo

Chi dovrebbe essere responsabile?

  • Operatori di oggetti infrastrutturali critici (categorie A, B, C secondo la Risoluzione della CMU n. 1109)
  • Aziende con ACS TP connesse alle reti aziendali
  • Produzione con sistemi SCADA, DCS, PLC di livello 0-3 secondo il modello Purdue
  • Fornitori di componenti ACS TP (requisiti IEC 62443-4-1 e 4-2)

Quali attrezzature sono coperte dai requisiti

  • Controllori logici programmabili (PLC) — Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Pannelli operatore (HMI) — Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Convertitori di frequenza con interfacce di rete (Profinet, EtherNet/IP, Modbus TCP)
  • Switch e router industriali (Hirschmann, Moxa, Phoenix Contact)
  • Sensori e trasduttori con HART/Foundation Fieldbus/IO-Link
  • PC industriali, server SCADA, sistemi storici

Industrie

Energia, approvvigionamento idrico, industria chimica, metallurgia, industria alimentare, produzione di cemento, industria mineraria: qualsiasi produzione con gestione automatizzata dei processi tecnologici.

Requisiti chiave della norma

DocumentorequisitoPeriodo di attuazioneresponsabile
IEC 62443-2-1:2010+AMD1:2024Sistema di gestione della sicurezza informatica (CSMS): politiche, procedure, ruoli12 mesi dal momento della categorizzazione dell'oggettoCapo dell'impresa
IEC 62443-2-3:2015Procedure di gestione delle patch per l'ambiente IACS6 mesi dopo l'implementazione del CSMSIngegnere ACS TP / Sicurezza IT
IEC 62443-3-3:2013Requisiti di sicurezza a livello di sistema (SL 1-4)Durante la progettazione / modernizzazioneIngegnere di progetto
IEC 62443-4-2:2019Requisiti tecnici per i componenti (SL-C)Quando si acquistano nuovi componentiDipartimento Appalti / MRO
DSTU ISO/IEC 27001:2023Integrazione dell'ISMS con il CSMSIn parallelo con la norma IEC 62443-2-1CISO / responsabile IS

Impatto sulle operazioni di manutenzione

Applicazione di patch nell'ambito della manutenzione programmata

La norma IEC 62443-2-3 richiede un processo di aggiornamento software formalizzato per i componenti industriali. Ciò significa:

  1. Inventario di tutte le risorse software (firmware PLC, sistema operativo HMI, versioni SCADA)
  2. Monitoraggio dei bollettini di sicurezza dei produttori (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Valutazione del rischio prima dell'applicazione del cerotto (punteggio CVSS ≥ 7,0 — critico, periodo di chiusura ≤ 30 giorni)
  4. Test delle patch sull'hardware di backup prima della distribuzione in produzione
  5. Documentazione di ogni aggiornamento nel registro delle modifiche

Cambiamenti nell'approvvigionamento di pezzi di ricambio

Lo standard IEC 62443-4-2 stabilisce quattro livelli di sicurezza dei componenti (SL-C 1–4). Quando si sostituisce il controller, l'interruttore o il pannello HMI, è necessario:

  • Verificare il certificato ISASecure (EDSA/SSA/SDLA) o la dichiarazione di conformità IEC 62443-4-2
  • Assicurarsi che il firmware supporti un aggiornamento sicuro (aggiornamento firmware firmato)
  • Richiedere la documentazione sulle linee guida di hardening al fornitore
  • Mantieni l'integrità della catena di fornitura: acquista solo da distributori autorizzati

Documentazione

Ogni procedura di manutenzione relativa ai sistemi cyber-fisici deve contenere:

  • ID risorsa e versione firmware corrente
  • Elenco delle patch applicate con le date
  • Risultati dei controlli di integrità (somme hash, firme digitali)
  • Firma di una persona responsabile dotata di qualifiche (certificato GICSP, certificato di sicurezza informatica ISA/IEC 62443)

Requisiti e certificazione dei componenti

Componenti con certificazione di sicurezza informatica obbligatoria

Tipo componenteRequisito IEC 62443-4-2SL-C minimoEsempi di soluzioni certificate
PLC/PLC di sicurezzaFR 1–7 (identificazione, autorizzazione, integrità dei dati, auditing)SL-C 2 (produzione tipica), SL-C 3 (infrastruttura critica)Siemens S7-1500 (certificato TÜV SÜD), Allen-Bradley GuardLogix 5580
Interruttori industrialiFR 1, FR 2, FR 5 (restrizione del flusso di dati)SL-C2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
Pannelli HMIFR 1, FR 3, FR 4 (riservatezza, integrità)SL-C2Siemens Unified Comfort Panel (V18+)
Convertitori di frequenza con EthernetFR 1, FR 7 (disponibilità di risorse)SL-C1ABB ACS880, Siemens G120 con CU250S-2
Router/firewall industrialiFR 1–7 (set completo)SL-C3Fortinet FortiGate Rugged, Cisco IE-3400

Componenti meccanici ed elettrici

I requisiti di cyber security non annullano le certificazioni classiche. Per i componenti operanti in ambiente ACS TP restano comunque obbligatori:

  • Marcatura CE (Direttiva 2014/35/UE per le apparecchiature a bassa tensione)
  • Certificato UkrSEPRO per apparecchiature soggette a certificazione obbligatoria in Ucraina
  • Conformità alla norma DSTU EN 60529 (grado di protezione IP) per armadi di automazione
  • DSTU EN 61439-1:2017 per dispositivi completi a bassa tensione
  • Cuscinetti, guarnizioni, connettori - conformità alla norma ISO 9001 e norme specifiche (ISO 15:2017 per i cuscinetti volventi)

Lista di controllo della conformità per il responsabile del servizio

  1. È stato effettuato un inventario completo delle risorse software del sistema di controllo automatico (PLC, HMI, SCADA, apparecchiature di rete) - sono state documentate le versioni del firmware
  2. È stato creato un registro dei beni con classificazione per zone di sicurezza (zone) e canali di comunicazione (condotti) secondo la norma CEI EN 62443-3-2
  3. Per ciascuna zona viene definito un livello di sicurezza target (SL-T).
  4. Persona nominata responsabile della gestione delle patch di ACS TP (non un reparto IT generico)
  5. Firmato sul bollettino di sicurezza di tutti i produttori delle apparecchiature installate
  6. È stata sviluppata una procedura di valutazione del rischio prima di applicare la patch (modello di valutazione del rischio)
  7. È stato creato un ambiente di staging per testare le patch prima della produzione
  8. Sono definiti i termini massimi per la chiusura delle vulnerabilità: CVSS ≥ 9,0 — 14 giorni, CVSS 7,0–8,9 — 30 giorni, CVSS 4,0–6,9 — 90 giorni
  9. Implementata una procedura di backup per le configurazioni PLC/HMI prima di ogni aggiornamento
  10. Viene fornita la protezione fisica delle porte di programmazione (porte USB, seriali): spine, serrature dell'armadio
  11. Controllato per i certificati IEC 62443-4-2 per tutti i componenti appena acquistati
  12. Implementata la segmentazione della rete (VLAN, firewall) tra zone di livello 0-3 e la rete aziendale
  13. È configurata la registrazione degli eventi di sicurezza con raccolta centralizzata (syslog/SIEM).
  14. Il personale di manutenzione è stato formato sulle nozioni di base dell'igiene informatica (modifica delle password predefinite, divieto delle unità USB)
  15. È stato sviluppato un piano di risposta agli incidenti con la definizione dei ruoli del personale di manutenzione
  16. I contratti con i fornitori di pezzi di ricambio sono stati controllati per quanto riguarda i requisiti di integrità della catena di fornitura
  17. È stato condotto un audit dei sistemi legacy e sono state determinate misure compensative per i sistemi senza supporto patch
  18. Tutte le connessioni remote ad ACS TP (VPN, modem) sono documentate, ridotte al minimo richiesto
  19. La gestione delle modifiche è implementata: nessun aggiornamento senza una richiesta di modifica approvata
  20. È previsto un audit annuale di conformità alla norma IEC 62443 con il coinvolgimento di un revisore esterno

Incoerenze tipiche identificate dai revisori

1. Mancanza di gestione delle patch come processo

Nel 78% delle imprese ucraine (secondo la stima di DSSZZI, 2023), l'aggiornamento del firmware del PLC non viene eseguito affatto o viene eseguito solo durante le riparazioni importanti. I controller funzionano con firmware di 5-10 anni fa con vulnerabilità note (CVE).

2. Password predefinite

Siemens S7-300/400 senza protezione tramite password, pannelli HMI con login admin/admin, switch con credenziali predefinite di fabbrica. Violazione di FR 1 (Controllo di identificazione e autenticazione) IEC 62443-4-2.

3. Mancanza di segmentazione della rete

PLC e rete aziendale nella stessa VLAN. Nessuna DMZ tra i livelli 3 e 4. Violazione diretta della norma IEC 62443-3-3, SR 5.1 (segmentazione della rete).

4. Incoerenza dei componenti acquistati

Sostituzione di uno switch guasto con uno switch domestico (non gestito) senza supporto ACL, VLAN, 802.1X. Acquisto di componenti contraffatti o non autorizzati senza documentazione.

5. Mancanza di log delle modifiche

Impossibilità di tenere traccia di chi, quando e cosa è cambiato nel programma PLC. Mancanza di controllo delle versioni del progetto.

Responsabilità e sanzioni

Responsabilità amministrativa

La legge ucraina "sulle infrastrutture critiche" (articolo 27) prevede:

  • Sanzione per mancato rispetto dei requisiti di protezione informatica: da 3.400 a 51.000 UAH (100-1.500 NMDH) per i funzionari
  • Sanzione per le persone giuridiche – fino al 2% del fatturato annuo (per analogia con la Direttiva NIS2 2022/2555 in caso di integrazione nel mercato europeo)

Responsabilità penale

Articolo 363-1 del codice penale dell'Ucraina (interferenza nel funzionamento dei sistemi di informazione) — se l'inazione ha portato a un incidente con gravi conseguenze: fino a 5 anni di reclusione.

Conseguenze assicurative

Le compagnie assicurative si rifiutano di pagare in caso di comprovato mancato rispetto degli standard di sicurezza informatica. Una perdita tipica derivante da un attacco informatico contro un’impresa industriale è compresa tra 500.000 e 5.000.000 di euro (dati dell’Allianz Global Industrial Report 2024).

Rischi contrattuali

I clienti europei richiedono la prova di conformità alla norma IEC 62443 come condizione del contratto. Non conformità = perdita di contratti di esportazione.

Raccomandazioni pratiche per l'implementazione

Fase 1: verifica dello stato attuale (1-2 mesi)

Inventario di tutti i componenti di ACS TP. Determinazione dell'attuale livello di sicurezza (SL-A — raggiunto). Identificazione del divario tra SL-A e SL-T target.

Fase 2: sviluppo delle politiche (2-3 mesi)

Creazione di una procedura di gestione delle patch secondo la norma IEC 62443-2-3. Integrazione con il sistema di manutenzione programmata esistente (CMMS). Definizione di ruoli e responsabilità.

Fase 3: implementazione tecnica (3–6 mesi)

Segmentazione della rete. Sostituzione di apparecchiature che non supportano i requisiti di sicurezza. Impostazioni di monitoraggio. Implementazione dell'accesso remoto sicuro.

Passaggio 4: acquisto dei componenti appropriati

In caso di sostituzione o ammodernamento pianificato: selezione di componenti con conformità confermata alla norma IEC 62443-4-2. Interruttori industriali, controller, convertitori di frequenza, sensori con interfacce di rete: tutto deve essere accompagnato da una documentazione che descriva le funzioni di sicurezza implementate (Security Features).

Risultato

La sicurezza informatica dei sistemi di controllo industriale non è un’iniziativa informatica facoltativa. Questa è una componente obbligatoria della manutenzione tecnica, stabilita dalla legislazione ucraina e dagli standard internazionali. La norma IEC 62443-2-3 definisce esplicitamente il patching come una procedura di manutenzione. Ogni sostituzione di un componente ACS TP deve tenere conto dei requisiti di sicurezza informatica insieme alle caratteristiche elettriche e meccaniche.

UNITEC-D GmbH garantisce la fornitura di componenti industriali certificati - da cuscinetti e guarnizioni alle apparecchiature di rete e agli elementi del sistema di automazione - con la documentazione completa di conformità agli standard CE, ISO e di settore. Utilizza il Catalogo elettronico UNITEC-D per selezionare i componenti che soddisfano i tuoi requisiti di livello di sicurezza.

Elenco dei documenti normativi

  • IEC 62443-2-1:2010+AMD1:2024 — Sicurezza per i sistemi di automazione e controllo industriale — Parte 2-1: Definizione di un programma di sicurezza IACS
  • IEC 62443-2-3:2015 — Gestione delle patch nell'ambiente IACS
  • IEC 62443-3-2:2020 — Valutazione del rischio di sicurezza per la progettazione del sistema
  • IEC 62443-3-3:2013 — Requisiti di sicurezza del sistema e livelli di sicurezza
  • IEC 62443-4-1:2018 — Requisiti sicuri del ciclo di vita dello sviluppo del prodotto
  • IEC 62443-4-2:2019 — Requisiti tecnici di sicurezza per i componenti IACS
  • Legge dell'Ucraina "Sulle infrastrutture critiche" n. 1882-IX del 16 novembre 2021
  • Delibera CMU n. 1109 del 9 ottobre 2020 “Approvazione della procedura per la formazione dell'elenco degli oggetti infrastrutturali critici”
  • DSTU ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT)
  • Direttiva (UE) 2022/2555 (NIS2) — per le imprese con contratti europei
  • NIST SP 800-82 Rev. 3 (2023) — Guida alla sicurezza OT (riferimento)

Related Articles