Cerca nel sito per parola chiave

rapporti - Deliverable

Sicurezza ICT e assurance per componenti e tecnologie abilitanti: Analisi iniziale

rapporti - Deliverable

Sicurezza ICT e assurance per componenti e tecnologie abilitanti: Analisi iniziale

Si riportano i risultati di uno studio preliminare sulla cyber security nei contesti 5G e SCADA (Supervisory Control And Data Acquisition) finalizzato a fornire agli stakeholder del sistema elettrico elementi sia per valutare la maturità dei sistemi 5G lato specifiche di sicurezza e corrispondenti verifiche, sia per gestire i vincoli che la normativa nazionale sulla sicurezza delle infrastrutture critiche fissa per sistemi SCADA.

Lo studio preliminare sulla cyber security nei contesti 5G e SCADA è stato eseguito con indagini mirate in ambito 3GPP (3rd Generation Partnership Project) e GSMA (Global System for Mobile communications Association). Le specifiche prodotte negli ambiti 3GPP e GSMA sono state analizzate anche sulla base della letteratura specialistica dedicata alla ricerca di debolezze di sicurezza che potrebbero generare vulnerabilità nei sistemi 5G reali. Ne è risultato che la specificazione di sicurezza in ambito 3GPP va considerata non solo incompleta (in accordo alle pianificazioni per le specificazioni per i sistemi 5G) ma anche non definitiva, soprattutto per effetto della revisione critica a cui è soggetta nella letteratura specialistica (che è osservata con attenzione ed eventualmente apprezzata da 3GPP e GSMA).

Ne è risultato anche che l’aspetto valutazione di sicurezza di componenti reali 5G non appare, dalla documentazione accessibile, sufficientemente indagato e specificato e per questo si è iniziata una revisione critica dell’approccio 3GPP-GSMA. Per il contesto SCADA, è stata eseguita una prima indagine sia sulla Legge 133/2019 (perimetro di sicurezza nazionale) sia sulle vulnerabilità tipiche dei sistemi SCADA. Particolare attenzione è stata dedicata al componente PLC (Programmable Logic Controller), per il quale, oltre alle vulnerabilità tipiche, sono stati indagati i requisiti di sicurezza e/o di verifica di sicurezza definiti in diversi ambiti, quali, p.es., IEC 62443 (Security for Industrial Automation and Control Systems) e CSPN (Certification de Securitè de Premier Niveau).

Ne è risultato un quadro non definitivo, in quanto l’ambito indagato si presenta piuttosto dinamico (p.es., dalla Legge sul perimetro di sicurezza nazionale sono attese ulteriori e significative specificazioni). Sono stati comunque analizzati alcuni aspetti del processo di vulnerability assessment per sistemi SCADA che, per effetto della fusione tra le tecnologie IP (Internet Protocol) e quelle SCADA, può anche contare, con opportuni adattamenti, su strumenti e metodi già utilizzati per componenti ICT generici.

Progetti

Commenti