tecnica
72
Settembre 2014
■
Automazione e Strumentazione
SECURITY
La definizione e l’analisi di politiche di controllo d’accesso (access policy) sono
elementi cardine su cui basare qualsiasi schema di protezione per sistemi industriali
di controllo e di automazione distribuiti, contro attacchi informatici condotti sia
a livello locale sia attraverso il cyberspazio. Quest’articolo mostra come l’uso di
opportune tecniche di modellazione e di verifica, condotte con l’ausilio di strumenti
software automatici, possa essere di aiuto nel raccordare le policy specificate a un
alto livello di astrazione con i meccanismi elementari di sicurezza di basso livello,
presenti nell’implementazione del sistema fisico reale. L’approccio utilizzato per
raggiungere tale obiettivo è basato su un tipo di modello innovativo che integra due
diverse viste dello stesso sistema, indicate nel seguito rispettivamente con i termini
di specifica e implementazione. Le capacità descrittive del modello sono presentate
tramite un semplice esempio derivato da un prototipo reale d’impianto progettato
per la riparazione, lo smontaggio e il riciclaggio di circuiti stampati.
Manuel Cheminod
Luca Durante
Lucia Seno
Adriano Valenzano
Controllo di accesso
in sistemi industriali distribuiti
La protezione da attacchi informatici, sferrati
contro sistemi industriali di controllo e auto-
mazione (industrial control systems - ICS) e
infrastrutture critiche attraverso il cyberspazio,
impone di doversi misurare con sfide ardue e
sempre nuove senza soluzione di continuità.
La sicurezza degli ICS, infatti, è ormai univer-
salmente considerata un processo in continua
evoluzione e non un prodotto da utilizzarsi
all’occorrenza
[1]
. Alla base di tale processo si
trovano inevitabilmente opportune strategie e
tecniche per il controllo d’accesso che rendono
possibile la realizzazione di sistemi di prote-
zione di qualsivoglia complessità.
In termini molto semplificati un insieme di
access policy definisce “chi può fare cosa e
su quali oggetti” del sistema. Nella quasi tota-
lità dei casi le access policy sono definite a un
livello elevato di astrazione, perché ciò offre
vantaggi rilevanti in termini di verifica della
loro coerenza e dell’indipendenza delle strate-
gie adottate dall’effettiva implementazione del
sistema. Purtroppo i benefici sono spesso atte-
nuati dalle difficoltà che s’incontrano nel veri-
ficare che la configurazione del sistema reale
(in particolare per quanto riguarda l’imposta-
zione di meccanismi di base quali password,
diritti di accesso, regole di filtraggio dei dispo-
sitivi di rete ecc.) corrisponda esattamente e
correttamente a quanto richiesto per soddisfare
le policy di alto livello.
L’approccio seguito frequentemente in altri
settori applicativi dell’information technology
(IT), cioè il disporre di sistemi software e har-
dware in grado di garantire il rispetto (enforce-
ment) delle policy, non è quasi mai applicabile
al caso degli ICS a causa delle peculiarità di
questi ultimi. Molti ICS, ad esempio, adottano
dispositivi hardware speciali e/o software dedi-
cato e ciò rende semplicemente impossibile il
procedere alla loro sostituzione con elementi
“policy-aware”. La scarsa sensibilità ai pro-
blemi di sicurezza, tipica del recente passato,
ha inoltre fatto in modo che un gran numero di
ICS sia alquanto carente, ancora oggi, di quei
meccanismi di protezione a basso livello (per
esempio account diversificati, gestione dei
diritti ecc.) che rappresentano spesso l’unica
opzione disponibile per “costringere” l’utente
al rispetto delle policy di accesso. Da questo
punto di vista assume quindi cruciale impor-
tanza la disponibilità di tecniche e strumenti
che consentano di verificare se la configura-
zione del sistema e dei suoi dispositivi realizzi
correttamente quanto specificato dalle policy
di alto livello.
La soluzione proposta in quest’articolo si basa
su un modello innovativo del sistema da ana-
lizzare che permette di coniugare due diversi
punti di vista. Il primo (specifica) consente di
descrivere le policy di accesso a livello astratto,
come solitamente avviene, tramite l’uso di un
opportuno formalismo (nel nostro caso, in par-
ticolare, si fa uso della diffusa metodologia
‘
Keyword
Sicurezza dei sistemi
industriali, role-based
access control (RBAC),
policy per il controllo
di accesso, strumenti
automatici di analisi,
model checking
GLI AUTORI
M. Cheminod, L. Durante, L.
Seno, A. Valenzano - IEIIT,
Consiglio Nazionale delle
Ricerche (CNR), Corso Duca degli
Abruzzi 24, 10129 Torino, Italy
