I requisiti per la Cyber-Physical Security (CPS) sono stati tradizionalmente specificati da organizzazioni attive in una serie di settori di infrastrutture sensibili, tra cui:
- Distribuzione di acqua e gas;
- Trasmissione e distribuzione di energia elettrica;
- Produzione di petrolio e gas;
- Produzione e distribuzione di alimenti;
- Sistemi di trasporto.
Si tratta di infrastrutture e servizi di importanza critica che devono essere protetti e gestiti in modo adeguato, con il rischio di provocare disastri se non vengono gestiti in modo adeguato. Attualmente, queste organizzazioni seguono uno standard noto come Information Security Management (ISM), chiamato anche Information Security Program (ISP) dal NIST, che ha introdotto un importante aggiornamento alle sue linee guida per la sicurezza delle CPS. Le modifiche apportate nel tempo indicano una caratteristica: i rischi per la sicurezza devono essere ridotti al minimo attraverso controlli appropriati che affrontino le vulnerabilità che possono essere sfruttate da possibili minacce, il cui obiettivo è l’abuso e/o il danneggiamento delle risorse.
Scaricando “Industrial Cybersecurity”, di Luca Durante, Primo Ricercatore presso l’Istituto di Elettronica e Ingegneria dell’Informazione e delle Telecomunicazioni del Consiglio Nazionale delle Ricerche (CNR-IEIIT) di Torino, si apprende l’importanza di:
- Revisione e analisi automatizzate
- Gestione degli account e dell’autenticazione
- Il principio del Least Privilege
- Visibilità su tutti gli asset e le risorse