OT Cyber FAT/SAT

Test di cyber resilience per i sistemi di controllo industriale (FAT/SAT)

> OT | VALUTAZIONE DEL SITO and ALTRO ANCORA > OT Cyber FAT/SAT

OT Cyber FAT/SAT per i sistemi di controllo industriale

In qualità di operatore o proprietario di Industrial Control Systems (ICS), lei è responsabile della verifica dei requisiti di cybersecurity di questi sistemi. Per un nuovo ICS, questa verifica dovrebbe far parte del Factory Acceptance Test (FAT) e del Site Acceptance Test (SAT). Bureau Veritas Cybersecurity può aiutarla con una verifica indipendente.

Highlight-image

Minacce alla sicurezza in ambito OT

Ransomware, malware: i nostri esperti di sicurezza vedono emergere tutti i tipi di minacce alla sicurezza OT, diffuse da attori malintenzionati che approfittano di una debole postura di sicurezza OT. Non implementare le misure di sicurezza fin dall'inizio può essere costoso o addirittura pericoloso.

Perché scegliere Cyber FAT/SAT?

Tra la fase di progettazione e ingegneria e la fase di funzionamento e manutenzione, ci sono altre fasi importanti, come l'implementazione e la messa in servizio. Soprattutto tra queste fasi, viene eseguito un test di accettazione in fabbrica e sul sito per verificare che tutti i requisiti di progettazione siano soddisfatti.

Un FAT si svolge presso la sede del fornitore prima che i sistemi completati vengano spediti al sito. Un FAT comporta test approfonditi di tutti i componenti per verificare la conformità al progetto e alle specifiche del progetto, e per controllare se il sistema soddisfa tutti i requisiti di funzionalità e prestazioni. I test sono facilitati dal fornitore o dall'integratore di sistema ed eseguiti dal proprietario dell'asset.

Un test di accettazione del sito (SAT) è simile, ma si svolge presso il sito del cliente e solo dopo la completa messa in funzione/installazione del sistema. Assicura che il sistema sia installato in uno stato operativo corretto, affidabile e sicuro.

Sebbene i requisiti di cyber security facciano spesso parte delle specifiche di progettazione, vengono regolarmente trascurati durante un FAT o un SAT convenzionale. Per il proprietario o l'operatore, spesso è troppo difficile verificare la natura complessa di tutti questi controlli di cybersecurity. E non ci si può aspettare che il fornitore, l'integratore o l'appaltatore EPC verifichino in modo indipendente il proprio progetto. Il Cyber FAT/SAT di Bureau Veritas Cybersecurity colma questo divario: forniamo supporto come fornitore indipendente di sicurezza.

Il Cyber FAT/SAT (CFAT/CSAT) è un'estensione del FAT/SAT convenzionale con un focus sulla cyber security. Può essere pianificato in parallelo o dopo il FAT/SAT regolare. Gli obiettivi sono simili, ma si concentrano sulla sicurezza digitale.

Come la supportiamo

  • Assicurarsi che i sistemi siano installati e configurati secondo le specifiche di progetto e gli accordi contrattuali;
  • Verificare la corretta configurazione e l'indurimento degli asset OT;
  • Testare rigorosamente se i controlli di cyber security funzionano in modo efficace;
  • Rilevare e correggere i problemi di sicurezza prima che il sistema venga spedito in loco o messo in funzione.

Bureau Veritas Cybersecurity può eseguire questi controlli di convalida utilizzando due approcci o una combinazione di entrambi. Vale a dire: eseguendo una revisione della progettazione e della sicurezza e/o un test di penetrazione (VA/PT). Entrambe le opzioni saranno dettagliate nelle sezioni seguenti.

Come i nostri servizi di cybersecurity si inseriscono nel ciclo di vita del progetto

Il ciclo di vita di un nuovo ICS inizia con una specifica di progetto creata dal proprietario o dall'operatore. Naturalmente, questa specifica descrive le funzioni principali della nuova installazione, ma di solito contiene anche alcuni requisiti di cyber security. Questi possono essere basati sulla conformità alle politiche di sicurezza aziendali, agli standard industriali (IEC 62443) o alle leggi e ai regolamenti applicabili.

La fase successiva è quella della progettazione e dell'ingegneria. Anche qui la cybersecurity gioca un ruolo fondamentale. Per garantire che i requisiti di sicurezza siano incorporati nel progetto e non siano un ripensamento, è possibile eseguire valutazioni del rischio, modellazioni delle minacce e revisioni della progettazione.

Dopo questa fase, il sistema è pronto per essere implementato. È qui che entrano in gioco il FAT e il SAT. L'ICS Cyber FAT/SAT di Bureau Veritas Cybersecurity si concentra specificamente sulle fasi di verifica comuni durante la regolare fase FAT/SAT di ogni progetto.

Più avanti nel ciclo di vita, durante la fase di funzionamento e manutenzione, la cybersecurity diventa un'attività continua. Questo garantisce un'attenzione continua ai processi di sicurezza e alla postura di sicurezza degli asset OT. Inoltre, si assicura che tutti i rischi digitali rimangano accettabili. Gli OT Risk Assessment, gli OT Site Assessment e gli OT Security Maturity Assessment sono strumenti importanti per determinare questi rischi.

Bureau Veritas Cybersecurity offre tutti i servizi sopra menzionati, specificamente adattati all'ambiente OT e ai sistemi ICS, coprendo l'intero ciclo di vita del progetto.

Image in image block

Come funziona una revisione della progettazione e della sicurezza

Con una revisione della progettazione e della sicurezza, Bureau Veritas Cybersecurity può verificare che il design e la configurazione implementati siano conformi alle specifiche del progetto. E se necessario, effettuiamo anche una revisione in base agli standard del settore, come IEC 62443.

L'architettura di rete e la sua configurazione di sicurezza vengono esaminate in base all'architettura di riferimento del modello Purdue, ma anche in base alle best practice del settore, come la micro-segmentazione e il design zero-trust. Bureau Veritas Cybersecurity esamina anche la configurazione della rete e del firewall, per garantire che questi confini di segmentazione siano efficaci.

Per i singoli asset ICS, come le stazioni di lavoro ingegneristiche (EWS), le interfacce uomo-macchina (HMI), i componenti di rete e i controllori industriali (ad esempio DCS, PLC, RTU), esaminiamo la postura di sicurezza e verifichiamo che siano configurati secondo le specifiche, le best practice e gli standard industriali. Questi controlli includono, ma non si limitano a: l'indurimento del sistema, le patch di sicurezza, l'antivirus, i backup e i controlli di autenticazione e autorizzazione.

Il FAT sarebbe il momento ideale per eseguire le revisioni della progettazione e della sicurezza. Ciò consentirebbe di avere più tempo per risolvere qualsiasi potenziale problema di sicurezza prima che l'apparecchiatura venga spedita al sito. Se la revisione può essere effettuata durante il FAT, l'ambito del SAT potrebbe essere limitato. In tal caso, si dovrebbe solo verificare nuovamente i risultati precedenti e testare le apparecchiature e le interfacce che non facevano parte della configurazione del FAT.

Come le valutazioni delle vulnerabilità e i test di penetrazione (VA/PT) aiutano a costruire la resilienza

Una valutazione delle vulnerabilità e un test di penetrazione (VA/PT) per i sistemi OT richiedono un approccio specializzato. Con una valutazione delle vulnerabilità, l'obiettivo è trovare il maggior numero possibile di vulnerabilità attraverso la scansione e la revisione manuale dei sistemi, dei dispositivi di rete e delle configurazioni delle applicazioni. Al contrario, un test di penetrazione viene eseguito dalla prospettiva di un aggressore. Il suo scopo è quello di exploitare queste vulnerabilità per illustrare le conseguenze di questi problemi di sicurezza sulla resilienza digitale dell'ambiente. I risultati di entrambi gli assessment possono essere utilizzati per risolvere i potenziali problemi di sicurezza prima che il sistema venga messo in produzione.

Un vantaggio importante dell'esecuzione di questi test come parte del FAT e/o del SAT è la possibilità di eseguire test più rigorosi. È comunemente noto che molti sistemi ICS sono meno resistenti alle scansioni di vulnerabilità, e quindi è più difficile eseguire questi tipi di test quando il sistema è in produzione. Quindi, queste fasi FAT e SAT sono il momento ideale per eseguire un assessment VA/PT approfondito. È anche l'occasione perfetta per verificare se i controlli difensivi e di monitoraggio sono stati implementati in modo efficace.

Leggi anche: Servizio di valutazione delle vulnerabilità industriali / Pentesting

Definizione della VA/PT durante il FAT/SAT

Dipende dai piani FAT e SAT esistenti il modo in cui effettuare questo assessment. Di solito, è impossibile configurare e testare l'intero sistema OT durante una FAT. Gli strumenti sul campo, i macchinari pesanti, i pacchetti di terze parti, i sistemi esistenti e le connessioni alla rete aziendale di solito non fanno parte del FAT. Lo stesso vale per le potenziali connessioni IoT, le applicazioni cloud del fornitore, l'accesso remoto sicuro o altre forme di connettività tra sistemi collegati alla rete IT o a Internet. Ecco perché durante il FAT l'attenzione si concentra spesso sulle scansioni di vulnerabilità e sui test di penetrazione degli asset applicabili che risiedono nei livelli 1, 2 e 3 di Purdue. Durante il SAT, questo può essere esteso a tutte le interfacce esterne e includere gli asset del livello 0, la DMZ IT/OT e la rete IT aziendale. Infine, qualsiasi problema che non può essere risolto immediatamente nell'ambito del FAT può essere ritestato durante il SAT.

Risultato del Cyber FAT/SAT

Bureau Veritas Cybersecurity corrisponderà al processo FAT/SAT esistente, se possibile. Aggiungiamo i nostri risultati alla punch list. In base alla priorità, questi problemi potrebbero essere risolti dal fornitore e ritestati durante il FAT/SAT, mentre Bureau Veritas Cybersecurity potrebbe supportarlo fornendo raccomandazioni.

Contattatemi per il programma OT Cyber FAT/SAT

Desidera saperne di più sull'OT Cyber FAT/SAT? Compili il modulo sottostante e la contatteremo entro un giorno lavorativo.

USP

Servizi correlati

Site Assessment

OT Site Assessment

Esplori i nostri servizi OT Site Assessment e salvaguardi i suoi Industrial Control Systems (ICS) dalle minacce informatiche. Comprenda i rischi e scopra i miglioramenti secondo i requisiti IEC 62443. Protegga le sue operazioni oggi stesso con Bureau Veritas Cybersecurity.

Modellazione delle minacce per i sistemi di controllo industriali.

Secura Threat Modeling Service

Scopra le potenziali minacce informatiche ai suoi Industrial Control Systems con il servizio di Modellazione delle minacce di Secura, in modo da poter implementare in modo proattivo misure di sicurezza efficaci.

VAPT industriale

VAPT Industrial

VAPT, Vulnerability Assessment / Penetration Testing (VAPT), fornisce informazioni sulla cyber resilience delle sue reti IT e OT. I test di cybersecurity negli ambienti industriali richiedono un approccio specializzato a causa dei diversi rischi e modelli di minaccia nell'ambito OT. Lo sappiamo. Scopra i diversi approcci VAPT in ambito OT.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.