11 consigli per la sicurezza informatica nei sistemi di Building Management
La sicurezza è da sempre un tema importante nell’ambito degli impianti tecnici degli edifici, e lo è diventato ancora di più negli ultimi anni. Come altri settori, anche il nostro è esposto al rischio di possibili attacchi informatici. Tutti i nostri clienti sono impattati dalla cybersecurity, in base alle problematiche in gioco nelle loro attività e ai vincoli normativi a cui sono soggetti.
Per WIT, la sicurezza informatica è una sfida importante che fa parte della strategia a lungo termine dell’azienda e in questo articolo vogliamo fornirti degli spunti per cominciare o proseguire il cammino verso la creazione di sistemi BMS e di regolazione che siano efficienti e sicuri.
1 – Controllo dell’accesso fisico alle apparecchiature e ai bus di campo
1 – Controllo dell’accesso fisico alle apparecchiature e ai bus di campo
Il controllo dei punti che permettono l’accesso fisico alle apparecchiature, che potrebbero essere utilizzati per penetrare nel sistema, deve essere preso in considerazione nella sicurezza generale dell’installazione: l’acceso all’Unità Intelligente Locale (ULI) e alle varie postazioni informatiche ad essa collegate va regolato con mezzi tradizionali (porte munite chiavi) o con mezzi più moderni: controllo degli accessi con identificazione delle persone (lettore di badge + apertura elettrica o serratura wireless). Questa seconda soluzione offre anche il vantaggio di poter monitorare l’accesso ai locali tecnici.
È inoltre auspicabile proteggere l’accesso ai dispositivi di comunicazione, ai cavi di rete (Ethernet), alle prese di collegamento e ai bus di campo (Modbus, BACnet, M-BUS, ecc.) sia all’interno che all’esterno degli edifici.
Approfondimento: Controllo accessi e identificazione delle persone
2 – Compartimentazione della rete informatica
2 – Compartimentazione della rete informatica
Per limitare la diffusione degli attacchi e contenere le vulnerabilità la mappatura dei flussi è un elemento essenziale di un sistema informativo, in quanto consente di valutare molto rapidamente le vulnerabilità del sistema.
3 – Gestione e controllo dei supporti rimovibili
3 – Gestione e controllo dei supporti rimovibili
I supporti esterni che possono essere collegati alle porte USB dell’ULI costituiscono un vettore importante di propagazione di virus. È essenziale controllare e monitorare queste connessioni riducendole allo stretto necessario. Il controllo accessi (punto 1) è essenziale in questi casi.
4 – Gestione degli account: Identificazione e autorizzazioni
4 – Gestione degli account: Identificazione e autorizzazioni
L’autenticazione permette il riconoscimento dell’utente attraverso uno Username e una Password. Una volta identificato, l’utente riceve le autorizzazioni legate al suo profilo operativo.
Si raccomanda di definire una politica di gestione delle password e delle autorizzazioni associate attraverso l’obbligo dell’utilizzo di password forti (almeno 16 caratteri).
È necessario inoltre definire rigorosamente le persone autorizzate e ridurre il numero di amministratori al minimo indispensabile.
5 – Semplificazione del’architettura
5 – Semplificazione del’architettura
La semplificazione dell’architettura della soluzione BMS permette di limitare la superficie esposta agli attacchi.
L’apertura di numerosi protocolli e la presenza di diverse applicazioni su un sistema industriale ne aumentano notevolmente la vulnerabilità. È necessario garantire che i dati siano criptati e le comunicazioni siano sicure (ad esempio attraverso una VPN) e che non vengano attivati protocolli e servizi vulnerabili e non sicuri.
Approfondimento: Sybersecurity: REDY pronto per OpenVPN
6 – Monitoraggio dei sistemi e rilevamento delle intrusioni
6 – Monitoraggio dei sistemi e rilevamento delle intrusioni
L’obiettivo è quello di verificare che le comunicazioni a livello di sistema siano conformi alle richieste dettate dalla configurazione e dalle applicazioni in esecuzione. A tal fine, è necessario predisporre sistemi di monitoraggio e tracciabilità che consentano di intervenire in caso di comunicazioni indesiderate. Adottare strategie per l’archiviazione e il backup dei log permette un rapido accesso alle informazioni in caso di necessità.
7 – Gestione della configurazione per garantire l’integrità delle parametrizzazioni
7 – Gestione della configurazione per garantire l’integrità delle parametrizzazioni
Ci riferiamo qui a potenziali modifiche fraudolente alle impostazioni del sistema. Tali modifiche possono essere di diversi tipi: cambiamento dei diritti degli utenti, modifica o creazione di file tramite i protocolli FTP/FTPs o ancora l’esecuzione di uno script interno tramite l’upload di routine SQL o JavaScript.
Per soddisfare questo punto, numerose sono le azioni da intraprendere:
- Gli identificativi per l’accesso a livello amministratore e installatore devono essere noti solo alle persone interessate.
- Rendere sicuro l’accesso fisico alle apparecchiature
- Rendere sicuro l’accesso fisico alle reti (LAN, Wi-Fi, 3G/4G)
- Proteggere fisicamente gli apparati
- Aprire l’accesso in protocollo FTP/FTPs puntualmente e solo se necessario
8 – Gestione del backup/ripristino delle impostazioni e del fimware
8 – Gestione del backup/ripristino delle impostazioni e del fimware
Il backup della configurazione e della struttura dei dati è essenziale. Garantisce il ripristino dell’installazione nel modo più opportuno e con una perdita minima di dati in caso di malfunzionamenti.
I malfunzionamenti possono essere di vario tipo: hacking, guasti hardware o errori umani.
È consigliabile quindi effettuare salvataggi regolari e automatici di parametrizzazioni e dati e di instaurare un sistema di backup di questi file. Assicurarsi poi che le ULI abbiano sempre le ultime versioni del firmware, che contengono le ultime novità in fatto di sicurezza
9 – Creazione e gestione della documentazione
9 – Creazione e gestione della documentazione
Disporre di tutta la documentazione relativa all’installazione (architettura, schema dei cablaggi, analisi funzionale, …) permette di avere quadro accurato dell’installazione e aiuta a evitare errori operativi.
È inoltre importante controllarne e rendere sicuro l’accesso alla documentazione, in modo che solo chi ha bisogno delle informazioni le riceva. Questo passa anche dal fatto di rendere gli utenti consapevoli dei rischi associati alla gestione della documentazione.
10 – Protezione dai virus
10 – Protezione dai virus
È raccomandata l’implementazione di una politica antivirus per rilevare e prevenire l’esecuzione di codice fraudolento.
Se gli apparecchi in contatto diretto con l’esterno non sono dotati di protezione antivirus, l’installazione può essere protetta a monte da apparecchiature specializzate
11 – Aggiornamenti software
11 – Aggiornamenti software
Le apparecchiature devono essere dotate delle più recenti versioni software e delle ultime patch rese disponibili dal produttore. Può trattarsi di patch relative alla sicurezza informatica o al funzionamento dell’apparecchiatura.
È consigliabile verificare la fonte di tali patch e scaricare gli aggiornamenti solo dal sito del fabbricante.
Per concludere possiamo dire che, preoccuparsi della sicurezza informatica degli impianti e dei sistemi di Building Management è come preoccuparsi di chiudere a chiave la porta della propria casa. Non saremo mai sicuri al 100% che nessuno riuscirà ad entrare, ma avremo fatto il massimo per persuadere i malintenzionati.
Categorie
Archivi
Gestione del carico elettrico e Building Management System
Conoscete la gestione del carico elettrico e la flessibilità?
L’IoT esteso nella gestione del Ciclo Idrico Integrato
L'IoT esteso nella gestione del Ciclo Idrico Integrato
Supervisione della rete di riscaldamento e raffreddamento per l’eco-quartiere di Nice Meridia
Supervisione della rete di riscaldamento e raffreddamento per l'eco-quartiere di
11 consigli per la sicurezza informatica degli impianti di Building Management
11 consigli per la sicurezza informatica nei sistemi di Building
Ottimizzare il consumo energetico grazie al BMS
Ottimizzare il consumo energetico grazie ad un sistema di Building
Seguici sui Social