Linee guida ASERCOM sulla sicurezza informatica per le apparecchiature HVAC/R

8535e1f0-ebe0-4e1c-a84d-8dc17d719c54Molti componenti delle applicazioni HVAC/R, come ad esempio compressori, ventilatori o controllori elettronici, sono dotati di funzioni di connettività, come Bluetooth, Wi-Fi o LAN. La presente linea guida intende fornire dei consigli su come collegare in sicurezza tali componenti HVAC/R a smartphone, altri computer oppure alla rete internet.
La struttura della presente linea guida segue il ciclo di vita utile di un impianto HVAC/R: inizia dalla progettazione dell’architettura, prosegue con l’installazione del sistema e la manutenzione dello stesso per tutta la sua durata e termina, infine, con dei consigli sulle azioni da intraprendere durante la dismissione dell’impianto.
Il presente documento fornisce quindi consigli pratici ed indirizzati ad aumentare la sicurezza di tali impianti durante la loro vita operativa. Queste misure possono contribuire a rendere meno vulnerabili i controllori elettronici o gli inverter installati, ma non costituiscono un’alternativa ad un sistema di gestione integrato. In particolare, per gli impianti/imprese di maggiori dimensioni si raccomanda di verificare con attenzione la necessità di applicare un sistema di gestione della sicurezza informatica integrato (ISIM).
Per una corretta valutazione di tale aspetto, si rimanda alla consultazione delle norme ISO 27001, UL2900 oppure IEC62443:
https://www.iso.org/isoiec-27001-information-security.html
https://en.wikipedia.org/wiki/ISO/IEC_27001
https://en.wikipedia.org/wiki/Cyber_security_standards
Kobes, P.: Guideline Industrial Security ISO 62443 is easy; Berlin: VDE Verlag; 2017
Si consiglia, inoltre, di controllare regolarmente e far riferimento ad eventuali norme locali vigenti in materia di sicurezza informatica. La legislazione, in questo ambito, potrebbe cambiare nel tempo.

Cattura
Nota generale
Le normative relative alla sicurezza informatica, come la IEC 62443, VDI/VDE 2182 e altre, definiscono tre diversi soggetti e ruoli in un impianto collegato alla rete internet:
a) Il produttore dei dispositivi collegabili, come controllori elettronici, inverter di frequenza o sensori (definito talvolta anche con il termine di “Venditore”)
b) Il System integrator, ovvero colui che progetta e installa il sistema sul campo usando i dispositivi collegabili (definito talvolta anche con il termine di “Appaltatore”)
c) Il proprietario delle attività che utilizza le apparecchiature HVAC/R collegate.
Questi soggetti hanno un compito molto importante: la comunicazione. Devono
scambiarsi tra loro informazioni su specifiche, esigenze, casi d’uso, modifiche ed altro. Lasicurezza informatica non è un’attività singola che, una volta raggiunta, si conclude per sempre. È importante aggiornare costantemente le informazioni a disposizione (come nel caso di rilasci di nuovi aggiornamenti) per tutto l’intero ciclo di vita utile del sistema. A tal fine è buona norma istituire un ciclo PDCA (Plan-Do-Check-Act: pianifica-opera-controlla agisci) che venga seguito durante tutta la vita utile del sistema.
Nelle seguenti sezioni vengono riportate alcune importanti raccomandazioni. In aggiunta, e qualora sia necessario applicare misure di protezione del sistema più complesse, è importante eseguire un’analisi dei rischi individuali. I punti indicati nella presente linea guida riguardano principalmente tecnologia e processi, ma oltre a questi fattori è fondamentale concentrarsi sulle persone: tutti e tre gli attori coinvolti (produttore, System integrator e proprietario delle attività) devono, con regolarità, addestrare e sensibilizzare sulla questione della sicurezza informatica tutti i dipendenti coinvolti.
Non tutti i provvedimenti proposti potrebbero adattarsi a tutti gli impianti e le applicazioni sul campo. È quindi importante selezionare quelli più appropriati e utilizzabili.

Architettura / Programmazione

Creare una progettazione secondo il principio della “Defense in-depth”
Rischio: Una singola misura a protezione di un sistema HVAC/R sul campo può facilmente avere punti deboli ed essere vulnerabile.
Soluzione: Anziché affidarsi a una singola contromisura per evitare attacchi informatici, è consigliabile applicare diverse misure di protezione complementari. Se un malintenzionato riesce a superare il primo livello, dovrà affrontarne un secondo e così via. Posizionare i componenti dell’infrastruttura IT, come ad esempio i router, in un
armadietto/stanza chiuso/a a chiave
Rischio: se persone non autorizzate riescono ad accedere fisicamente ai componenti dell’infrastruttura IT, come router, firewall o PLC, possono modificare le impostazioni e ottenere l’accesso all’impianto. Questo aspetto diventa particolarmente importante nel caso di presenza di porte di accesso di tipo USB o similari nei componenti dell’infrastruttura IT.
Soluzione: Posizionare i componenti dell’infrastruttura IT, come router o firewall, in un armadietto o in una stanza dotata di controllo degli accessi (ad esempio chiusa a chiave). Assicurarsi che solo il personale autorizzato possa accedere a questa stanza e che rimanga sempre chiusa in presenza di persone non autorizzate.
Separare le apparecchiature HVAC/R da altre parti della rete (ad esempio dagli uffici) tramite segmentazione della rete (ad esempio tramite firewall)
Rischio: Se l’apparecchiatura HVAC/R si trova nello stesso segmento con altre
apparecchiature dell’ufficio o webserver, un eventuale attacco informatico a una parte
della rete può facilmente compromettere l’intera infrastruttura.
Soluzione: Suddividere l’impianto in segmenti logici con comunicazione separata (vedere anche https://en.wikipedia.org/wiki/Network_segmentation ). Quest’operazione può essere fatta applicando un firewall tra due segmenti.
Cattura2

Continua a leggere l’articolo cliccando qui di seguito:
ita_cyber_security_-_linee_guida_2018

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...