Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA COMPLETA

Cyber security e cyber safety, per difendere le infrastrutture critiche: ecco come

Nel contesto tecnologico attuale nessuna organizzazione può prescindere da un corretto piano di cyber security e cyber safety per la protezione delle sue infrastrutture critiche. La guida e le best practice per raggiungere la resilience della struttura organizzativa aziendale

04 Ott 2018
C

Alessio Caforio

Cyber Security/System Engineer, Infosec Manager - NATO Communications and Information Agency, Vitrociset Spa


Safety, security e resilience (resilienza) sono parti essenziali della mission di un’organizzazione, in quanto sostengono la sua realizzazione contro eventi avversi, siano essi intenzionali o accidentali.

Vedremo quindi come cyber security e cyber safety, nel contesto del cyberspazio, siano ormai un binomio imprescindibile che contribuisce alla resilience delle infrastrutture critiche. È dunque necessario affrontarne congiuntamente le problematiche, per evitare carenze progettuali, ottimizzare le risorse messe in campo e migliorarne l’efficacia.

L’insieme di security, safety e resilience sostiene la realizzazione della mission aziendale contro eventi avversi intenzionali o accidentali.

Le infrastrutture critiche hanno una mission di valenza nazionale che deve essere salvaguardata proteggendo e garantendo i servizi che erogano. Tali servizi hanno come elemento fondante l’Information e Communication Technology per il processamento, l’immagazzinamento e lo scambio di informazioni. È quindi interessante focalizzarsi sul cyberspazio, anche se, in generale, occorrerebbe estendere l’analisi ad aspetti organizzativi (ad esempio, processi e procedure) e a risorse fisiche (ad esempio, ambienti e risorse umane).

Il Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico afferma che:

“Gli attacchi cibernetici più sofisticati non solo sono potenzialmente in grado di danneggiare o paralizzare il funzionamento di gangli vitali dell’apparato statale e la fornitura di servizi essenziali ai cittadini, ma possono avere anche effetti potenzialmente distruttivi (soprattutto in prospettiva) se impiegati per indurre il malfunzionamento delle infrastrutture critiche (ad esempio reti di controllo del traffico aereo, dighe, impianti energetici, ecc.), generando danni materiali ingenti e la potenziale perdita di vite umane”.

Risulta chiaro come lo studio di possibili minacce all’integrità di sistemi e reti di interesse nazionale sia fondamentale per definire le necessarie linee di difesa.

La sinergia di safety, security e resilience è la risposta. Esse sono il sostegno essenziale a tutte le altre capacità e risorse operative messe in campo per garantire il raggiungimento degli obiettivi della mission.

Attualmente, tale sinergia è oggetto di studi sempre più approfonditi. È comunque evidente come sia richiesto un approccio multidisciplinare difficilmente riscontrabile nei numerosi standard di settore.

Safety, security e resilience hanno loro stesse numerose declinazioni, in dipendenza dal campo di applicazione: automotive, aerospace, transportation; diventa quindi difficile proporre e creare sinergie che, però, sono il vero valore aggiunto per un’organizzazione.

Il punto di partenza dovrebbe essere la definizione di concetti e pratiche comuni ai diversi settori.

Il background necessario per la resilience di un sistema

Safety e security nella lingua italiana si traducono con la stessa parola: sicurezza. La differenza è tuttavia sostanziale. In italiano, il significato reale è comprensibile dal contesto, in inglese è la parola stessa ad aiutarne la comprensione:

  • safety è lo stato di non pericolo, in cui il rischio che si verifichino eventi non intenzionali, dannosi per persone o proprietà, è accettabile;
  • security è la protezione di persone e proprietà da azioni dannose e intenzionali.

Andremo ora ad evidenziare le possibili relazioni tra questi due concetti applicati al cyberspazio (cyber security e cyber safety), cioè a sistemi ICT complessi, distribuiti e interconnessi.

Prima di analizzarle, però, occorre introdurre altri due concetti: resilience e mission:

  • la mission è l’insieme degli obiettivi e delle strategie per raggiungerli stabiliti da un’organizzazione. La mission viene poi perseguita attraverso l’impiego di capacità operative e di supporto;
  • con il termine resilience si indica la capacità di reagire a perturbazione del normale funzionamento del sistema o di parte di esso, garantendone l’operatività, seppur ridotta, in modo controllato, al fine di salvaguardare gli obiettivi della mission. Essa è oggetto di studio di un’intera branca dell’ingegneria: Resilience Engineering, inoltre risulta essere un argomento molto spesso analizzato in relazione alla cyber security: la cyber resilience.

Safety, security e resilience, applicate al cyberspazio, sono dunque tre componenti essenziali a supporto della mission di un’organizzazione.

Sistemi del cyberspazio interconnessi che scambiano di continuo informazioni, offrono e consumano servizi a vari livelli di complessità, possono assumere stati/comportamenti dannosi in modo casuale o indotto.

È quindi necessario definire i possibili danni e le priorità dei beni da proteggere in un’ottica di gestione opportuna del rischio.

La security si focalizza su almeno tre dimensioni (integrità, confidenzialità, disponibilità) e su minacce intenzionali quali gli attacchi portati da attori malevoli.

La safety, storicamente, si focalizza su eventi per lo più casuali come errori/rotture/guasti (integrità e disponibilità) con conseguenze per la salute delle persone. La safety applicata a livello funzionale (ISO 61508 e le sue vari declinazioni di settore) consente di catturare aspetti più complessi rispetto al singolo evento locale: interazioni e comportamenti che coinvolgono più parti di un sistema o più sistemi.

Prescindendo dalle cause specifiche, possiamo analizzare le conseguenze delle minacce sulle proprietà fondamentali della mission (integrità, disponibilità, confidenzialità) e le soluzioni atte a contrastarle: troviamo in tal modo come sono legati Safety, Security e Resilience.

Le proprietà della mission (integrità, confidenzialità, disponibilità) che dipendono dalle tre capacità di supporto (safety, security e resilience). La confidenzialità ha impatti su integrità e disponibilità, in quanto la conoscenza di informazioni sensibili può danneggiare direttamente o indirettamente il sistema.

Cyber security e cyber safety: gli standard

Nel momento in cui si analizzano gli eventi dannosi per il sistema che, cioè, ne minano l’integrità e la disponibilità, si possono impiegare competenze di cyber security e cyber safety:

  • dato un evento dannoso su parti del sistema causato da una Security Threat (minaccia), esistono dei Safety Hazard (Pericoli) collegati?
  • dato un evento dannoso su parti del sistema causato da un Safety Hazard, esistono Security Threat collegati?

Un team che comprenda specialisti di security e specialisti di safety può eseguire questo tipo di controlli incrociati e completare un processo di analisi complesso e multidisciplinare che porti ad un netto miglioramento dei livelli generali di cyber security e cyber safety del sistema:

  • si individuano Security Threat (minacce) e Safety Hazard (pericoli) che sarebbero sfuggiti ad analisi separate;
  • si individuano Mitigation più efficaci a contenere i livelli rischio e a raggiungere gli obiettivi di cyber security e cyber safety. Contrastare una Security Threat può avere effetti benefici su un Safety Hazard, e viceversa.

Considerando aspetti di resilience in relazione agli obiettivi della mission e agli eventi dannosi, si possono progettare mitigation che preservino le funzionalità prioritarie del sistema.

La maggior parte degli standard di cyber security e cyber safety definiscono dei requisiti per il ciclo di vita del sistema con un focus sulle funzioni di cyber security e cyber safety e sulle funzioni operative che hanno impatto su cyber security e cyber safety. È quindi possibile ottimizzare l’effort e i processi, per garantire un ciclo di vita del sistema adeguato e che risponda ai suddetti requisiti.

Caso di studio: gestione del traffico aereo

Considerando i principali aspetti dei processi di cyber security e cyber safety, possiamo riassumere in una tabella le macro-sinergie che si possono realizzare. Si riportano contestualmente, a scopo esemplificativo, riferimenti ad un ipotetico scenario di cyber security e cyber safety relativo alla gestione del traffico aereo. Si considera un caso di Ground to Ground Data Communication tra Flight Data Processing Systems (FDPS), con riferimento allo standard di Safety di Eurocontrol ed allo standard di Security Common Criteria, per garantire la separazione verticale del traffico aereo. Le informazioni riportate sebbene verosimili non fanno riferimento a casi reali e non sono il risultato di un’analisi puntuale, fuori dallo scopo del presente articolo.

keyboard_arrow_right
keyboard_arrow_left
CONCETTI DI SAFETYCONCETTI DI SECURITYSINERGIE
Hazard and Operability Analysis (HAZOP)

Esempio

Si identifica il pericolo (Hazard1): “Il contenuto di un messaggio scambiato per definire la separazione verticale del traffico si è corrotto in modo imprevisto e non intenzionale

Pertanto una funzione del sistema assegna al velivolo un livello di volo errato”

Threat Analysis

Esempio

Si identifica la minaccia (Threat1): “Un malware sfrutta una vulnerabilità del sistema Operativo di un componente del sistema di Controllo del Traffico Aereo per modificare il contenuto del messaggio in modo intenzionale e senza che la modifica sia rilevata”

L’esperienza nell’individuazione delle minacce o pericoli rispetto all’entità dei danni che possono provocare consente l’individuazione delle parti del sistema che richiedono maggiore attenzione nel definire meccanismi di protezione: funzioni di cyber security e cyber safety.

Esempio

Il pericolo (Hazard1) e la minaccia (Threat1) identificati hanno in comune la “corruzione del messaggio”, possono quindi essere analizzati congiuntamente da parte di specialisti di cyber security e cyber safety, per ridurre la possibilità che si verifichino o per ridurre, qualora si verificassero, le conseguenze sulla mission (Gestione del Traffico Aereo).

Impatto sulla mission Valutazione delle conseguenze del verificarsi del pericolo

Esempio

Si può perdere la separazione verticale tra differenti velivoli con conseguenti possibili collisioni

Impatto sulla mission Valutazione delle conseguenze del verificarsi della minaccia

Esempio

Si può perdere la separazione verticale tra differenti velivoli con conseguenti possibili collisioni

Le conseguenze per la Mission possono essere valutate congiuntamente da specialisti di cyber security e cyber safety in quanto sia security che safety devono salvaguardare l’integrità del sistema e delle sue funzionalità.
Safety Risk Assessment

Esempio

Si valuta il rischio dovuto all’Hazard1, considerando le conseguenze per la missione e la probabilità che il pericolo si verifichi

Security Risk Assessment

Esempio

Si valuta il rischio dovuto alla Threat1, considerando le conseguenze per la missione e la probabilità che la minaccia si verifichi

Valutazioni congiunte delle proprietà della mission (integrità, disponibilità, confidenzialità), consentono una valorizzazione migliore e più realistica dei livelli di rischio di cyber security e cyber safety.
Obiettivi di safety

Sono specifici del dominio di safety e tendono a garantire condizioni operative che non rechino danno a cose o persone.

Per il traffico aereo sono definiti e normati.

Esempio

Si definisce l’obiettivo di safety (Safety1): La probabilità di perdita della separazione verticale non deve eccedere 2.5 x 10-9 per ora di volo, per tutti i livelli di volo attuali e previsti

Obiettivi di security

In generale, attengono alla protezione delle proprietà di integrità, confidenzialità e disponibilità del sistema rispetto ad attacchi specifici.

Esempio

Si definisce l’obiettivo di security (Security1): Il sistema deve rilevare modifiche non autorizzate ai messaggi scambiati

È possibile definirli attraverso la condivisione di competenze specifiche di campo, avendo in mente la salvaguardia delle proprietà della mission.

Esempio

I due obiettivi riportati come esempio sono complementari, inoltre il rilevamento di modifiche non autorizzate ai messaggi consente di definire una funzione di safety che richieda ritrasmissione del messaggio.

Livello di assurance

Esempio

Vista la probabilità che l’evento si verifichi e l’entità delle sue conseguenze si richiede un livello di Assurance per il SW pari a SWAL3

Livello di assurance

Esempio

La funzione deve essere progettata, testata e utilizzata fornendo evidenze sufficienti a dimostrare che risponde agli obiettivi dichiarati con un livello di Assurance EAL3 secondo lo standard Common Criteria

La maggior parte degli standard definiscono delle scale di valori per l’Assurance che indicano il livello di confidenza da raggiungere nell’implementazione per le soluzioni di cyber security e cyber safety. Servono quindi a guidare (in numero e qualità) tutte le attività relative alla loro realizzazione. In generale i livelli di assurance sono legati al livello di rischio.
Requisiti di safety

Esempio

  • Il Sistema dovrà rilevare messaggi che contengano valori di protocollo errati
  • Il Sistema dovrà ritrasmettere il messaggio se errato
Requisiti di security

Esempio

  • Il sistema dovrà tracciare eventi relativi al rilevamento di messaggi che contengano valori di protocollo errati
  • Il sistema dovrà controllare che il flusso dei messaggi rispetti le politica di sicurezza predefinita
È possibile definirli attraverso la condivisione di competenze specifiche di campo, avendo in mente la salvaguardia delle proprietà della mission e le funzioni di cyber security e cyber safety che si intendono progettare.
Funzioni di safety

Esempio

  • È prevista una funzione di safety per la verifica della separazione verticale
  • È prevista una funzione di safety per la ritrasmissione del messaggio che definisce la separazione verticale dei velivoli
Funzioni di security

Esempio

  • È prevista una funzione di security per il tracciamento e la notifica di modifiche al contenuto
  • È prevista una funzione di security per controllo dei flussi di messaggi attraverso il canale di comunicazione che garantisca il corretto instradamento dei messaggi secondo una security policy ben definita
  • Funzioni di security possono proteggere funzioni operative ma anche funzioni di safety (ad es. controlli automatici di soglie)
  • Funzioni di safety possono essere progettate considerando aspetti di security in modo da renderle meno vulnerabili ad attacchi esterni
  • Funzioni di security possono essere soggette a requisiti di performance e affidabilità analoghi a quelli previsti per le funzioni di safety
  • Funzioni di security (ad es. tracciamento) possono essere integrate con funzioni di safety (ad es. rilevamento).

Esempio

La sinergia tra le funzioni consente di raggiungere in modo ottimale il medesimo obiettivo di integrità. Si ha dunque un design ottimizzato e più efficace che considera aspetti che attraverso analisi isolate sarebbero tralasciati.

Safety assessmentSecurity evaluation/AuditEntrambe le discipline spesso richiedono valutazioni da parte di terze parti per accertare che gli obiettivi siano stati raggiunti.
Ciclo di vitaCiclo di vitaLe attività previste nel ciclo di vita dipendono dai livelli di assurance di cyber security e cyber safety che si vogliono raggiungere e per lo più riguardano la produzione di evidenze su come gli obiettivi vengono raggiunti. Tali attività possono essere messe a fattor comune per ottimizzare l’effort e relativi costi durante tutto il ciclo di vita del sistema.

Resilience: operatività ridotta e controllata

Le perturbazioni introdotte dal verificarsi di Security Threat e/o Safety Hazard, cioè gli effetti sul sistema, devono essere studiate con molta attenzione: infatti, in sistemi complessi, anche piccoli cambiamenti dei processi di business possono avere gravi ripercussioni sull’intero sistema grazie a fenomeni di risonanza e amplificazione. Inoltre, piccoli cambiamenti possono non essere rilevati o considerati adeguatamente.

Studi su queste perturbazioni consentono di progettare sistemi in grado di offrire almeno i servizi ad alta priorità per la mission, nonostante il verificarsi di eventi dannosi. Ad esempio: tecniche di Fault Tree Analysis o Attack Tree Analysis consentono di valutare le dipendenze e la propagazione di eventi di cyber security e cyber safety.

La miglior risposta è un approccio multidisciplinare

La progettazione di soluzioni che supportino la mission di un’organizzazione e quindi le capacità operative dei suoi sistemi, non può prescindere da un approccio multidisciplinare che coinvolga specialisti di safety, security e resilience oltre che specialisti del dominio specifico in cui opera l’organizzazione.

I sottosistemi di cyber security e cyber safety possono e devono essere realizzati attraverso una stretta collaborazione tra gli specialisti di entrambe le discipline, al fine di garantire il raggiungimento degli obiettivi della Mission in modo ottimale e realmente efficace.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5