Con l’inserimento dei sistemi di controllo degli edifici nell’IoT, Bruno Johnson analizza l’approccio di IP-BLiS verso la sicurezza.
I sistemi di controllo degli edifici sono vulnerabili ad attacchi, sia dall’interno sia dall’esterno, per cui devono impiegare strutture di sicurezza che impongano l’autenticazione di utenti e apparecchiature attraverso il controllo di identità e integrità.
Gli edifici sono fortemente regolamentati, per cui i responsabili di tutte le fasi del ciclo di vita di un edificio devono possedere un livello elevato di competenza e responsabilità, in particolare per quanto riguarda la sicurezza, che può avere un impatto diretto sulla protezione dell’edificio.
IP-BLiS riconosce l’esigenza di una sicurezza elevata
IP-BLiS non è una nuova entità, ma un insieme di organizzazioni esistenti che hanno iniziato a cooperare nel 2020. IP-BLiS riconosce che l’esigenza di una sicurezza elevata è fondamentale per i sistemi di controllo degli edifici. Mentre professionisti e sistemi IT possano avere seguito la formazione nell’ambito della sicurezza IP (Internet Protocol), da questo punto di vista professionisti e sistemi OT (Operational Technology) sono stati trascurati. I requisiti di certificazione o conformità ai quadri normativi sono spesso ancora in fase di definizione.
Per esempio, lo U.S. National Institute of Standards and Technology (NIST) fornisce indicazioni sotto forma di serie NISTIR 8259. NISTIR 8259A è la Core Device Cybersecurity Baseline dedicata alle funzionalità dei dispositivi tecnici, mentre NIST 8259B si occupa dei requisiti non tecnici come documentazione, richieste di informazioni, divulgazione di informazioni e formazione, nonché consapevolezza. Nel contempo, la Commissione Europea (CE) ha pubblicato il requisito ETSI EN 303 645, riguardante tredici categorie di sicurezza, rivolte a funzionalità dei dispositivi tecnici e a requisiti non tecnici.
La CE ha inoltre aggiornato la Direttiva sulle apparecchiature radio (RED), che stabilisce il quadro normativo previsto per ottenere la marcatura CE. La Commissione ha adottato altri mandati per i dispositivi a copertura RED in grado di comunicare tramite Internet, trattare dati personali, relativi a traffico o posizione oppure elaborare transazioni finanziarie. Tali disposizioni diventano obbligatorie il 1° agosto 2024. Analogamente, a giugno 2021, la U.S. Federal Communications Commission (FCC) ha emesso un preavviso di 12 mesi del documento di avviso di ricerca e della regolamentazione proposta con l’intento di migliorare l’adozione delle best practice di cybersecurity.
Disposizioni comuni in materia di sicurezza
Regolamenti e requisiti di sicurezza possono essere articolati in sette disposizioni comuni, come mostrato nella figure seguente.
Le disposizioni comuni si definiscono come segue:
• Identità del dispositivo – valore di indirizzo unico associato a un dispositivo o endpoint.
• Configurazione del dispositivo – capacità di configurare dispositivi attraverso interfacce logiche.
• Protezione dei dati – capacità di proteggere in crittografia un dispositivo e i relativi dati memorizzati.
• Accesso logico – capacità di stabilire la configurazione di autenticazione e identificazione.
• Aggiornamento software – capacità di aggiornare il software del dispositivo.
• Consapevolezza dello stato di cybersecurity – capacità di generare, monitorare e riportare eventi.
• Sicurezza del dispositivo – capacità di proteggere il dispositivo durante il normale funzionamento.
Considerazione in ogni fase del ciclo di vita di un edificio
Oltre alle disposizioni comuni di sicurezza del dispositivo riportate sopra, il sistema di controllo degli edifici deve essere in grado di gestire commissioning e decomissioning del dispositivo. È necessario anche un processo di gestione della presentazione della vulnerabilità al fine di isolare e aggiornare il dispositivo di cui sia stata individuata la vulnerabilità. Si dovranno analogamente attuare le politiche EoL (End of Life) ed EoS (End of Service) per gestire dispositivi e sistemi non più supportati dai rispettivi costruttori. Dovremo quindi considerare la sicurezza in ogni fase del ciclo di vita di un edificio.
Ovviamente, in gran parte del mondo, l’infrastruttura di nuova costruzione relativamente è relativamente ridotta. Si prevede quindi che, con l’IT, i sistemi di controllo degli edifici debbano essere sottoposti a manutenzione e aggiornamento continuo a fini di sicurezza. È quindi necessario tenere conto regolarmente delle disposizioni riportate sopra.
Vantaggi derivanti dal rispetto delle raccomandazioni IP-BLiS
Come riferito, i legislatori iniziano e considerare la sicurezza un requisito obbligatorio di alcuni tipi di dispositivi e, di conseguenza, la mancata conformità ai requisiti di sicurezza potrebbe causare danni finanziari e reputazionali. Una violazione della sicurezza potrebbe inoltre provocare danni secondari, per esempio a livello di protezione.
IP-BLiS ha presentato una serie di best practice comuni relative alla sicurezza degli edifici, che riguardano diverse aree di gestione della rete di controllo degli edifici, tra cui l’indirizzamento dei dispositivi, il rilevamento dei servizi, la sicurezza, il supporto del layer fisico e i requisiti dell’infrastruttura. Sebbene non esaustivo, l’elenco è molto utile al fine di istruire e informare i professionisti del settore sui cambiamenti futuri.
Conclusione
Oltre all’esigenza di aumentare la formazione dei professionisti IP e OT nell’ambito della sicurezza degli edifici, la sfida che il settore si trova attualmente ad affrontare deriva dalla confusione tra regolamenti attuati in regioni diverse, con indicazioni poco chiare su certificazione o conformità.
IP-BLiS riconosce che le best practice e le scelte comuni siano un ingrediente fondamentale per rendere sostenibili e gestibili i sistemi di automazione degli edifici più complessi e ricchi di funzionalità. IP-BLiS ha presentato una serie di best practice comuni relative a IoT e sicurezza degli edifici e continuerà a fornire informazioni sull’evoluzione dei prodotti basati su tali concezioni, quando giungono sul mercato.
L’articolo è il contributo a IP-BLiS da parte di Bruno Johnson, Chair OCF Marketing & Communications Work Group.
