La sicurezza è da sempre un tema importante nell’ambito degli impianti tecnici degli edifici, e lo è diventato ancora di più negli ultimi anni.  Come altri settori, anche il nostro è esposto al rischio di possibili attacchi informatici. Tutti i nostri clienti sono impattati dalla cybersecurity, in base alle problematiche in gioco nelle loro attività e ai vincoli normativi a cui sono soggetti.

Per WIT, la sicurezza informatica è una sfida importante che fa parte della strategia a lungo termine dell’azienda e in questo articolo vogliamo fornirti degli spunti per cominciare o proseguire il cammino verso la creazione di  sistemi BMS e di regolazione che siano efficienti e sicuri.

Il controllo dei punti che permettono l’accesso fisico alle apparecchiature, che potrebbero essere utilizzati per penetrare nel sistema, deve essere preso in considerazione nella sicurezza generale dell’installazione: l’acceso all’Unità Intelligente Locale (ULI) e alle varie postazioni informatiche ad essa collegate va regolato con mezzi tradizionali (porte munite chiavi) o con mezzi più moderni: controllo degli accessi con identificazione delle persone (lettore di badge + apertura elettrica o serratura wireless). Questa seconda soluzione offre anche il vantaggio di poter monitorare l’accesso ai locali tecnici.

È inoltre auspicabile proteggere l’accesso ai dispositivi di comunicazione, ai cavi di rete (Ethernet), alle prese di collegamento e ai bus di campo (Modbus, BACnet, M-BUS, ecc.) sia all’interno che all’esterno degli edifici.

Approfondimento: Controllo accessi e identificazione delle persone

Per limitare la diffusione degli attacchi e contenere le vulnerabilità la mappatura dei flussi è un elemento essenziale di un sistema informativo, in quanto consente di valutare molto rapidamente le vulnerabilità del sistema.

I supporti esterni che possono essere collegati alle porte USB dell’ULI costituiscono un vettore importante di propagazione di virus. È essenziale controllare e monitorare queste connessioni riducendole allo stretto necessario. Il controllo accessi (punto 1) è essenziale in questi casi.

L’autenticazione permette il riconoscimento dell’utente attraverso uno Username e una Password. Una volta identificato, l’utente riceve le autorizzazioni legate al suo profilo operativo.

Si raccomanda di definire una politica di gestione delle password e delle autorizzazioni associate attraverso l’obbligo dell’utilizzo di password forti (almeno 16 caratteri).

È necessario inoltre definire rigorosamente le persone autorizzate e ridurre il numero di amministratori al minimo indispensabile.

La semplificazione dell’architettura della soluzione BMS permette di limitare la superficie esposta agli attacchi.

L’apertura di numerosi protocolli e la presenza di diverse applicazioni su un sistema industriale ne aumentano notevolmente la vulnerabilità. È necessario garantire che i dati siano criptati e le comunicazioni siano sicure (ad esempio attraverso una VPN) e che non vengano attivati protocolli e servizi vulnerabili e non sicuri.

Approfondimento: Sybersecurity: REDY pronto per OpenVPN

L’obiettivo è quello di verificare che le comunicazioni a livello di sistema siano conformi alle richieste dettate dalla configurazione e dalle applicazioni in esecuzione. A tal fine, è necessario predisporre sistemi di monitoraggio e tracciabilità che consentano di intervenire in caso di comunicazioni indesiderate. Adottare strategie per l’archiviazione e il backup dei log permette un rapido accesso alle informazioni in caso di necessità.

Ci riferiamo qui a potenziali modifiche fraudolente alle impostazioni del sistema. Tali modifiche possono essere di diversi tipi: cambiamento dei diritti degli utenti, modifica o creazione di file tramite i protocolli FTP/FTPs o ancora l’esecuzione di uno script interno tramite l’upload di routine SQL o JavaScript.

Per soddisfare questo punto, numerose sono le azioni da intraprendere:

• Gli identificativi per l’accesso a livello amministratore e installatore devono essere noti solo alle persone interessate.
• Rendere sicuro l’accesso fisico alle apparecchiature
• Rendere sicuro l’accesso fisico alle reti (LAN, Wi-Fi, 3G/4G)
• Proteggere fisicamente gli apparati
• Aprire l’accesso in protocollo FTP/FTPs puntualmente e solo se necessario

Il backup della configurazione e della struttura dei dati è essenziale. Garantisce il ripristino dell’installazione nel modo più opportuno e con una perdita minima di dati in caso di malfunzionamenti.

I malfunzionamenti possono essere di vario tipo: hacking, guasti hardware o errori umani.

È consigliabile quindi effettuare salvataggi regolari e automatici di parametrizzazioni e dati e di instaurare un sistema di backup di questi file. Assicurarsi poi che le ULI abbiano sempre le ultime versioni del firmware, che contengono le ultime novità in fatto di sicurezza

Disporre di tutta la documentazione relativa all’installazione (architettura, schema dei cablaggi, analisi funzionale, …) permette di avere quadro accurato dell’installazione e aiuta a evitare errori operativi.

È inoltre importante controllarne e rendere sicuro l’accesso alla documentazione, in modo che solo chi ha bisogno delle informazioni le riceva. Questo passa anche dal fatto di rendere gli utenti consapevoli dei rischi associati alla gestione della documentazione.

Scarica: Descrizione Tecnica e Funzionale – Sicurezza delle Unità Locali Intelligenti WIT

È raccomandata l’implementazione di una politica antivirus per rilevare e prevenire l’esecuzione di codice fraudolento.

Se gli apparecchi in contatto diretto con l’esterno non sono dotati di protezione antivirus, l’installazione può essere protetta a monte da apparecchiature specializzate

Le apparecchiature devono essere dotate delle più recenti versioni software e delle ultime patch rese disponibili dal produttore. Può trattarsi di patch relative alla sicurezza informatica o al funzionamento dell’apparecchiatura.

È consigliabile verificare la fonte di tali patch e scaricare gli aggiornamenti solo dal sito del fabbricante.

Per concludere possiamo dire che, preoccuparsi della sicurezza informatica degli impianti e dei sistemi di Building Management è come preoccuparsi di chiudere a chiave la porta della propria casa. Non saremo mai sicuri al 100% che nessuno riuscirà ad entrare, ma avremo fatto il massimo per persuadere i malintenzionati.