Massimiliano Copponi (Membro CEI/CT 44, Membro IEC/MT 62061, IEC/JWG 14 Merging ISO 13849 and IEC 62061 linked to ISO/TC 199 e IEC/WG 15 Security aspects related to functional safety of safety-related control systems)

Roberto Minicucci (Membro CEI/CT 65, Membro IEC/WG 10 Security for industrial process measurement and control – Network and system security e IEC/WG 20 Industrial-process measurement, control and automation – Framework to bridge the requirements for safety and security)

“Safety” e “Security” nell’era dell’Industria 4.0

Il primo problema da affrontare è la differenza linguistica che esiste tra la terminologia utilizzata in inglese e quella esistente nella lingua italiana. Mentre in inglese esistono due vocaboli distinti per “safety” e “security” in italiano ci troviamo nella situazione di dover tradurre i due termini con la stessa parola, “sicurezza”, anche se associata a due aspetti diversi. Cerchiamo quindi innanzitutto di chiarire la differenza tra questi termini utilizzati negli standard internazionali e nella pratica.

Il concetto di safety (sicurezza per le persone) prevede che i rischi per le persone e l’ambiente correlati a una macchina o a un impianto siano eliminati o mitigati in modo che i rischi residui siano accettabili per l’operatore e utilizzatore. Questo include sia i pericoli in prossimità dell’impianto sia i pericoli all’interno dell’impianto stesso incluse le macchine.

Il concetto di security (sicurezza di una macchina o di un impianto) include la previsione, prevenzione, e protezione da eventi illegali, indesiderati, intenzionali, non intenzionali che possono influenzare i sistemi di automazione e controllo e i loro componenti:

• previsione: si riferisce a misure che hanno lo scopo di anticipare minacce verso i suddetti sistemi. Ad es. attività progettuali di analisi delle minacce, così come raccolta e analisi di eventi/informazioni in base alle quali ricavare informazioni utili a processi decisionali inerenti attività di “security”;
• prevenzione: si riferisce a misure che hanno lo scopo di ridurre la probabilità che una minaccia diventi effettiva sfruttando le vulnerabilità esistenti. Ad es. utilizzo di dispositivi di sicurezza perimetrale, firewall, proxy, etc.;
• protezione: si riferisce a misure che permettono di ridurre l’impatto realizzato dal verificarsi di minacce. Ad es. procedure e strumenti per una efficace gestione degli incidenti (“Incident management”).

Esempi di minacce possono essere accessi o modifiche non autorizzate dall’esterno, furto di dati sensibili, accessi non autorizzati a livello interno, malfunzionamenti dovuti a comportamenti negligenti relativamente alla sicurezza, modifiche non controllate lungo la catena di fornitura.

In questo contesto comprendiamo  sicurezza informatica e sicurezza fisica.

Ci troviamo già nella quarta rivoluzione industriale, che annuncia una importante digitalizzazione dei processi di progettazione e produzione. In particolare, l’“Industria 4.0″ vuole modernizzare ulteriormente il settore manifatturiero, affrontando anche alcune questioni legate alla sicurezza dei processi di automazione e alla resilienza delle tecnologie coinvolte.

Tutti i settori industriali saranno impattati da questa nuova rivoluzione e dovranno capire come far dialogare e convivere questi due mondi (safety e security) fino a poco tempo fa slegati per mantenere la sicurezza delle macchine, degli impianti e di tutti gli elementi parti di essi.

L’internet delle cose (IoT) associa il tema di internet con gli oggetti reali della vita di tutti i giorni, oggetti (e dispositivi) che saranno sempre più connessi e che stanno dando vita a una rete in tutti gli ambienti che necessitano di controllo, automazione e rilevamento. Nel mondo industriale si può considerare costituita da 3 elementi:

1. sensori: possono includere capacità di una prima elaborazione dei dati (“smart”);
2. connettività;
3. attuatori: forniscono le capacità di controllare la grandezza monitorata.

L’avvento di una miriade di dispositivi di questo tipo, spesso con dimensioni e costi ridottissimi, con capacità di agire fisicamente sui parametri dei processi in questione, in ogni ambito e applicazione, incrementa esponenzialmente i rischi legati ad aspetti congiunti di safety e security.

Evoluzione nell’ambito della standardizzazione

Data l’evoluzione tecnologica e l’aumentata interazione tra gli aspetti di safety e security delle macchine, il Comitato Tecnico IEC responsabile della sicurezza delle macchine (IEC/TC 44) ha proposto un nuovo standard (IEC 63074) con lo scopo di chiarire per i costruttori di macchine come trattare i due aspetti.

La proposta del nuovo standard (44/764/NP) è stata formalizzata dal Comitato nazionale tedesco in data 15 aprile 2016 e la sua approvazione ha portato alla nascita del progetto di Norma IEC 63074 con la seguente pianificazione: CD (2017-07), CDV (2018-01), FDIS (2018-07) and IS (2019-12).

È stato quindi creato dal Comitato TC 44 dell’IEC il Gruppo diKLavoro 15 (WG15) per l’emissione dello standard. Il WG15 si è riunito la prima volta a Londra nel dicembre 2016 e successivamente a Francoforte nel gennaio 2017 per rivedere i commenti pervenuti con la nuova proposta. I prossimi incontri pianificati nel 2017 necessari alla finalizzazione del CD e successivo CDV sono previsti in Germania a luglio, in Giappone a settembre e a ottobre in Belgio.

Da notare che lo standard IEC 63074 nasce anche come guida per altri Comitati Tecnici (per esempio ISO/TC199) relativamente agli aspetti della security del sistema di controllo di sicurezza  e in aggiunta è utilizzabile anche per la security dei sistemi di controllo non legati alla safety. É inoltre intenzione del TC 44 di rimanere in contatto con gli altri Gruppi di Lavoro (IEC/TC65/WG20) che si occupano degli aspetti di safety e security e con gli utenti dello standard tra cui costruttori, integratori ed utilizzatori. In questo senso il TC65/WG20 sta lavorando alla definizione della Technical Specification 63069.

In generale, il concetto di security nel contesto che stiamo considerando, include sia aspetti di safety, sia aspetti legati a:

• disponibilità (in generale delle risorse a cui si vuole accedere, siano essi dati o macchine);
• integrità di dati;
• confidenzialità dei dati.

Riassumendo, le minacce e le vulnerabilità alla sicurezza possono avere:

• impatti legati alla safety: come ad esempio l’esclusione della funzione di arresto di emergenza, o la modifica dei parametri delle funzioni di sicurezza che renderebbero inefficace la protezione nel caso la minaccia diventi reale;
• impatti non legati alla safety: come perdita di dati confidenziali o danni economici per l’azienda; un esempio è rappresentato dalla perdita di disponibilità della macchina attraverso un accesso non autorizzato al sistema di controllo, che forzi la fermata dell’unità con la funzione di arresto di emergenza.

La norma in oggetto (IEC 63074) invece si occuperà solo dei requisiti relativi alle minacce alla sicurezza (security) e vulnerabilità che possono influenzare il sistema di controllo di sicurezza SCS (Safety-Related Control System) della macchina e portare successivamente alla perdita dell’efficienza ed efficacia del sistema stesso.

Gli aspetti fondamentali presenti nello standard saranno quindi:

• il rapporto tra safety e security;
• la definizione delle minacce (potenziali violazioni di sicurezza) e vulnerabilità (debolezze progettuali, implementative, o operative) del sistema di controllo di sicurezza che possono essere sfruttate per attaccare la sicurezza della macchina;
• la determinazione dell’impatto sulle caratteristiche che determinano la sicurezza e sulla disponibilità dell’SCS per rendere non efficaci e/o non funzionanti le sue funzioni di sicurezza (safety functions);
• la definizione dei modelli per l’identificazione delle minacce che, sfruttando le vulnerabilità individuate nell’SCS, possono impattare la safety;
• il legame tra questo standard e gli standard di security della serie IEC 62443, e l’applicazione dei relativi requisiti per la definire le minacce alla sicurezza e vulnerabilità.

Lo standard descriverà come attacchi esterni all’equipaggiamento possono mettere a rischio le persone, e identificherà i requisiti di sicurezza necessari per la protezione delle funzioni di sicurezza.

Questi requisiti sono distribuiti in tutte le fasi del ciclo di vita delle macchine, e comprendono misure organizzative, tecniche, o contromisure attive e passive di mitigazione.

I risultati di ogni fase dell’analisi devono essere documentati in modo che l’efficacia delle contromisure utilizzate in precedenza possa essere confrontata con nuovi scenari di attacco nelle analisi ricorrenti di sicurezza: la prima analisi viene effettuata prima della messa in funzione della macchina, ma ulteriori analisi sono comunque necessarie durante il suo utilizzo per evidenziare eventuali nuove minacce legate all’evoluzione tecnologica.

L’elemento chiave della norma è rappresentato dalla valutazione del rischio per la sicurezza (security), che deve essere effettuata per identificare le minacce e le vulnerabilità del sistema di controllo di sicurezza, e determinarne il potenziale impatto. Essa si tradurrà nelle seguenti attività:

1. inventario e descrizione dei dispositivi coperti dalla valutazione dei rischi di sicurezza (security): ad esempio un dispositivo collegato al sistema di controllo di sicurezza;
2. una descrizione delle minacce individuate e delle loro sorgenti (compresi attacchi intenzionali sull’hardware, programmi applicativi e relativi software, così come eventi non intenzionali derivanti da errori umani);
3. una descrizione delle vulnerabilità identificate che, qualora le minacce divengano effettive, danno luogo a rischi per la sicurezza;
4. una descrizione delle potenziali conseguenze derivanti e delle condizioni che le determinano;
5. considerazione delle varie fasi sotto analisi quali la progettazione, realizzazione, messa in funzione e manutenzione;
6. determinazione delle misure supplementari per mitigare le conseguenze di una minaccia tra cui ad esempio specifiche funzioni di controllo della sicurezza, come il monitoraggio dei valori limite;
7. una descrizione delle misure adottate per ridurre o rimuovere le minacce (contromisure). Le possibili contromisure legate ai rischi della security vengono descritte nella norma basandosi sui concetti espressi dalla serie di standard IEC 62443.

Alla fine del processo, al costruttore della macchina verrà richiesto di fornire la documentazione necessaria per informare l’utilizzatore dei rischi rilevanti per la sicurezza e delle misure di mitigazione del rischio da prendere in considerazione. Le seguenti informazioni dovranno essere menzionate nella manualistica:

• dispositivi coperti dalla valutazione del rischio sicurezza;
• fasi considerate (progettazione, realizzazione, messa in funzione, utilizzo e manutenzione);
• misure contro l’accesso non autorizzato e la modifica;
• misure per garantire l’integrità del sistema, in particolare per le interfacce in considerazione, software e di comunicazione.

I costruttori di macchine quindi dovranno in futuro integrare il processo di analisi dei rischi di security nell’attuale processo di analisi dei rischi di safety per progettare le macchine di conseguenza e informare gli utilizzatori in merito ai rischi residui inclusi quelli di security.