Cyber Risk aeronautico e navale: una comparazione con la Industrial Cybersecurity

A cura di:Giustino Fumagalli Ore

Il 2021 vedrà l’avvio di obblighi relativi alla sicurezza cyber nel settore navale e aeronautico. La specificità del mondo aeronautico ha richiesto la formulazione di norme dedicate al trattamento e  mitigazione dei rischi di Cybersecurity al fine di garantire l’aeronavigabilità e quindi tutelare la Safety (la cosiddetta Security for Safety), che hanno valore internazionale[1].

Al contrario il mondo navale, ancora lontano dal trovare norme vincolanti valide uniformemente a livello globale, si limita a una risoluzione dell’International Marittime Organization (IMO)[2] e a linee guida non vincolanti[3], anche se – è bene ricordare – la gestione dei Cyber Risks in relazione alla Safety sarà elemento vincolante nelle attività di Compliance navale dal 2021.

Come per i sistemi di controllo industriale (ICS e/o SCADA), l’avionica e i sistemi navali tradizionalmente non hanno sentito la pressione della minaccia Cyber, in quanto gli ambienti critici in genere erano naturalmente isolati dal mondo esterno e basati su tecnologie proprietarie in cui era difficile immaginare vulnerabilità adatte ad essere sfruttare per attacchi tramite malware o intrusioni malevole. La tecnologia evolve lentamente in settori in cui è principalmente richiesta affidabilità estrema e l’assenza di errori progettuali che possano mettere a repentaglio la safety. Tuttavia, evolve; e ora sempre più spesso si utilizzano, anche in campo navale e aeronautico, prodotti informatici derivati da sistemi commerciali “general purpose”, o sistemi interconnessi, che, direttamente o indirettamente, presentano interfacce verso la “grande rete” o più semplicemente sorgenti di minacce quali le USB. Esattamente come nel mondo industriale, il quale ha visto e sta vedendo un forte cambiamento di impostazione, dove i sistemi di controllo di processo si collegano sempre di più a reti enterprise e da lì, anche quando non previsto, al mondo esterno.

Normalmente, quando parliamo di governare la cybersecurity pensiamo alla ISO/IEC 27001 e agli annessi controlli specificati all’interno della ISO/IEC 27002, o nel mondo USA alla NIST SP800-171 o la NST SP800-53, mentre per l’analisi dei rischi si pensa alla ISO/IEC 27005 o alla NIST SP800-30. Se guardiamo al  mondo dei sistemi di controllo si parla, invece, di ISA 62443 (che è una famiglia di norme) o della NIST SP800-82, tipica del mondo statunitense.

Tenuto conto delle peculiarità di ogni settore, possiamo però vedere che l’approccio alla gestione del rischio è il medesimo, e a riprova si riporta qua nel seguito l’approccio al rischio suggerito nel mondo navale[4] da quello della ISO/IEC 27005 per il mondo IT “tradizionale”:

Figura 1: Risk Management

Il mondo industriale, quello aeronautico e quello navale sono accumunati da architetture similari, con criticità analoghe in termini di risposta operativa e di safety: se guardiamo alla figura sottostante possiamo astrattamente raffigurare, per tutte e tre i settori, architetture o necessità operative basate su 5 livelli, con al centro i sistemi più critici e all’esterno quelli che ne aumentano progressivamente la superficie di rischio:

Figura 2: Information System Levels

I sistemi di controllo industriale, i sistemi navali operativi e l’avionica hanno in sostanza le medesime caratteristiche che troviamo sintetizzate nella colonna a destra della figura 3 (OT Systems), caratteristiche che sono messe a confronto con il classico IT[5]:

Figura 3: IT vs OT

Il mondo industriale ci insegna a delimitare e separare correttamente i diversi livelli dei sistemi, in modo da evitare che eventuali “contaminazioni” riescano a propagarsi all’interno dei livelli più critici. Una classica soluzione architetturale per la separazione dei sistemi “mission critical” da quelli tradizionali, prevede l’architettura di rete[6] mostrata a sinistra qua sotto e, se la compariamo con quella di destra, che è suggerita per il mondo navale[7], ci accorgiamo che l’approccio è il medesimo, basato sul separare e proteggere adeguatamente la parte OT da quella dei sistemi di support alla missione e da tutto il resto del mondo:

Figura 4: Typical network architecture

Analogamente i rischi cyber, sia per i sistemi industriali, sia navali e avionici, dovrebbero essere valutati e gestiti delimitando i diversi perimetri[8], in particolare i sistemi critici, da quelli di supporto e poi dal resto del mondo, in modo da identificare efficacemente per ogni livello:

  • minacce;
  • Attack Paths;
  • superfici di attacco;
  • misure di contenimento dell’attacco e recovery.

La ED202A per la sicurezza dell’aeronavigabilità, facendo propri i principi della ISO/IEC27001, ha suddiviso l’ambiente d’analisi in 3 elementi (analizzabile su più livelli, dal velivolo al singolo componente di un sottosistema):

  • l’Asset critico (in base al punto di vista dell’analisi può essere anche il velivolo intero o un sistema/ sottosistema) a rischio Security;
  • il Security perimeter, che è l’insieme degli elementi che compongono l’Asset Critico, e di conseguenza le interfacce esposte all’Environment esterno;
  • l’Environment esterno, ovvero gli attori e i sistemi che possono (autorizzati o meno) interagire con il nostro asset tramite le interfacce presenti.

Un siffatto approccio permette di identificare in modo preciso, per ogni livello del perimetro, quali siano gli asset (fisici e logici) a maggiore criticità e vulnerabilità ad attacchi intenzionali o malware, gli effetti dell’attacco in termini di security e conseguentemente associare tali effetti ai requisiti di safety. Analizzando il contesto a cerchi concentrici si ha inoltre la possibilità di verificare e confrontare, sia bottom-up sia top-down, gli “Attack paths” e le potenziali conseguenze in termini di safety, disegnando così i possibili “Security Scenario affecting the Safety”.

Benché in presenza di mondi diversi, è chiaro quindi che aria e mare possono sfruttare le esistenti Best Practice di terra (Industrial) al fine di contrastare i Cyber Risks e garantire la necessaria Safety; e il mondo Industrial può anch’esso attingere alle norme e pratiche di altri mondi tecnologici per migliorare la capacità di analizzare i rischi e la sua capacità difensiva dai Cyber attacks. Vediamo quindi, in una semplice matrice, come le norme esistenti nel mondo dell’Information security e nel mondo dell’Industrial security possano essere di aiuto e complementari alle norme di settore, sia nel campo aeronautico[9] e sia navale.

Perimetro Aeronautico Navale
OT ISA 62443 / NISP SP800-82 ISA 62443 / NISP SP800-82
Support Systems ISA 62443 / NISP SP800-82 ISA 62443 / NISP SP800-82
IT trusted/Authorized systems NIST SP800-171

NIST SP800-172

 ISO/IEC 27001/27002
Others IT Systems ISO/IEC 27001/27002

NIST SP800-171

 ISO/IEC 27001/27002
Internet ISO/IEC 27001/27002 ISO/IEC 27001/27002

Note

[1] Si fa qui riferimento alla ED202A della Eurocae e della sua omologa RTCA DO-326A, e delle altre norme che le accompagnano.

[2] Resolution MSC.428(98) on Maritime Cyber Risk Management in Safety Management System (SMS) del 16/06/2017

[3][3] Nel presente articolo si fa riferimento alla “The Guidelines on Cyber Security on Board Ships” version 3, Produced and supported by BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, IUMI, OCIMF and WORLD SHIPPING COUNCIL

[4] Da “The Guidelines on Cyber Security on Board Ships”, version 3

[5] Fonte NIST SP800-82

[6] Figura tratta da NIST SP800-82

[7] Da “The Guidelines on Cyber Security on Board Ships”, version 3

[8] Figura tratta da ED-202A EUROCAE

[9] Le norme indicate in tabella possono essere uno spunto importante per mettere in pratica efficacemente le prescrizioni presenti in ED202A, ED203A ed ED204.

 

Articolo a cura di Giustino Fumagalli

Profilo Autore
Giustino Fumagalli

Socio fondatore di Gerico Security Srl (www.gerico-sec.it) opera come Chief Information Security Officer e garantisce consulenze direzionali nel campo della sicurezza delle informazioni e continuità operativa.
Con un importante passato nella progettazione di software real-time e project management per sistemi spaziali e telecomunicazioni, ha partecipato a progetti civili e militari internazionali, anche di protezione civile e protezione delle infrastrutture critiche. Supporta le aziende nella gestione dei rischi, nella realizzazione di programmi di information security e continuità operativa, eventualmente accompagnandole nell’ottenimento della certificazione ISO/IEC 27001, ISO 22301 e della nuova certificazione americana CMMC. Inoltre, segue direttamente le tematiche legate all’Industrial Security, e alle evoluzioni in materia di “Security for Safety” nel mondo Navale ed in quello Aeronautico, quali le norme ED202A e ED203A.
È certificato Senior Security Manager UNI10459:2017, in accordo al Decreto del Ministero dell’Interno n.269/2010 e al disciplinare del 24 febbraio 2015 del Capo della Polizia. È inoltre certificato PMP per il Project Management, CISM, CRISC di ISACA per l’information security, CBCP in materia di Business Continuity, Lead Risk manager ISO31000, è infine qualificato Lead Auditor ISO27001 e Lead Auditor ISO22301.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Fabio Sammartino – Intervista al Forum ICT Security 2018

Fabio Sammartino – Intervista al Forum ICT Security 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”299599967″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Fabio Sammartino Head of Presales, Kaspersky Lab I dati della cyber intelligence di Kaspersky confermano che le minacce verso le infrastrutture aziendali sono in costante evoluzione. Un trend evidenziato dall’inizio dell’anno è quello di una diminuzione dello sviluppo di cryptomalware a vantaggio dello sviluppo di tool per…

Mobile Forensics: le nuove funzionalità di sicurezza integrate di Android e iOS rendono più difficoltoso l’accesso alla polizia giudiziaria

Mobile Forensics: le nuove funzionalità di sicurezza integrate di Android e iOS rendono più difficoltoso l’accesso alla polizia giudiziaria

A cura di:Cosimo De Pinto Ore Pubblicato il

Forse non tutti conoscono il significato di Mobile Forensics anche se sicuramente ne hanno sentito parlare. La Mobile Forensics è la branca della Digital Forensics che si occupa di regolamentare le fasi di acquisizione, preservazione, analisi e reporting delle evidenze digitali contenute in un dispositivo mobile, quali telefoni, navigatori, tablet. Per evidenza digitale viene intesa…

USA sotto attacco hacker: quando il target è un intero Stato

USA sotto attacco hacker: quando il target è un intero Stato

A cura di:Redazione Ore Pubblicato il

Ormai è palese: nel moderno mondo del cyber crime l’arma più potente e diffusa sono i DDoS. Non sapete di cosa si tratta? Leggetelo qui. La loro tecnica d’attacco non teme rivali, tanto che proprio nei giorni scorsi i DDoS hanno causato uno stop di circa 120 minuti di gran parte del web USA. Il…

Intervista Lara Del Pin – Cyber Crime Conference 2019

Intervista Lara Del Pin – Cyber Crime Conference 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”331973131″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 10° CYBER CRIME CONFERENCE Lara Del Pin – Country Manager Panda Security Italia e Svizzera Il cryptojacking, appartenente alla famiglia dei malware “silenti”, appare come un trend in preoccupante espansione. Del Pin ci parla di questo fenomeno e delle possibili difese, che prevedono sia il monitoraggio dei…

Vulnerabilità scoperta nel sistema di presentazione wireless ClickShare di Barco

Vulnerabilità scoperta nel sistema di presentazione wireless ClickShare di Barco

A cura di:Redazione Ore Pubblicato il

Gli esperti di sicurezza della divisione F-Secure Consulting di F-Secure hanno scoperto diverse vulnerabilità che possono essere sfruttate in un noto sistema di presentazione wireless. Gli attaccanti potrebbero utilizzare queste falle per intercettare e manipolare le informazioni durante le presentazioni, rubare password e altre informazioni riservate, installare backdoor e altri malware. Il sistema di presentazione…