11

Fieldbus & Networks

Da sempre il termine sicurezza riferito all’ambiente industriale e di comuni-

cazione, viene usato sia con l’accezione di sicurezza funzionale, sia quella di

sicurezza informatica. In inglese, invece, esistono due parole ben distinte: ‘se-

curity’ e ‘safety’. Sembrano ambiti distinti e che poco hanno a che fare tra loro,

ma l’avvento di bus di comunicazione Ethernet-based e la gestione di profili di

comunicazione per la sicurezza funzionale ha reso questa differenza e distanza

più sottile. Vediamo perché.

Nella gestione di un profilo di sicurezza (safety) quello che si vuole è che i messaggi arrivino in

tempo, non corrotti, al giusto destinatario e non venga perso alcun messaggio. Per la parte di

sicurezza funzionale, pertanto, è vitale che nessuna informazione venga persa, perché questo

rappresenterebbe un rischio per la sicurezza degli operatori e dell’ambiente, così come recita la

normativa in materia (IEC6108). Proprio per garantire questo tipo di ‘prestazioni’ sullo scambio

delle informazioni, i profili di comunicazione per applicazioni di safety hanno implementato dei

meccanismi di rilevazione degli errori di trasmissione tali per cui tutti i vincoli sulla correttezza

dello scambio dati sia garantita. Questi controlli vengono eseguiti per ogni scambio dati che

passa sul bus di comunicazione. Altra cosa interessante e importante: i profili di sicurezza fun-

zionale usano un approccio chiamato ‘black channel’, il quale permette di utilizzare il profilo si-

curo come layer aggiuntivo su qualunque protocollo e mezzo fisico (rame, fibra ottica o wireless).

Spostando l’attenzione, invece, sulla parte di sicurezza informatica (security), quali possono

essere gli effetti di un eventuale attacco per una rete di comunicazione industriale Ethernet-

based? Perdita di comunicazione, perché vi è stata un’inserzione di traffico sulla stessa che

l’ha portata al collasso; inserimento di telegrammi non autentici, che possono andare a mo-

dificare il comportamento del sistema di controllo; infine, l’eventuale inserimento di un nuovo

partecipante che possa ‘ascoltare’ il traffico e recuperare informazioni di interesse. Quale può

essere una soluzione, a livello di protocollo, che permetta di identificare un problema di attacco

e consente così di intervenire? Sicuramente si deve implementare un controllo del numero

di pacchetti inviati (impedisce l’inserzione di nuovi dati), controllare l’identità dei partecipanti

(impedisce l’inserzione di nuovi partecipanti non autorizzati), monitorare il tempo di risposta

a ogni singolo pacchetto inviato (verifica l’assenza di una quantità di dati eccessiva). Ma a

ben guardare questi sono gli stessi meccanismi messi in atto da un profilo di comunicazione

impiegato per la sicurezza funzionale! Pertanto, potrebbe essere interessante andare a imple-

mentare un profilo di sicurezza che permetta di portare in sicurezza il sistema anche nel caso

in cui l’impianto sia vittima di un attacco informatico. Vero che spengo il sistema, ma lo faccio

in modo sicuro e controllato e ho il tempo per poter intervenire e verificare dove si sia verificata

la lacuna nella protezione di security. Inoltre, il profilo safety è standard e per ottenere una rete

e un impianto sicuri (‘secure’ e ‘safe’) non è necessario implementare modifiche, visto che è

nativo. Pertanto, se viene implementata questo tipo di soluzione, è possibile affermare che la

nostra rete di comunicazione sarà sicura.

Spetterà questa volta al mondo anglosassone identificare una nuova parola che racchiuda

insieme i concetti di safety e security…

Micaela Caserza Magro

MAGGIO 2016

FIELDBUS & NETWORKS

L’editoriale è a cura dei membri dei Comitati Tecnici di Fieldbus & Networks e Automazione Oggi

SAFETY O

SECURITY…?

ENTRAMBE!

Editoriale