Automazione Plus

Un progetto europeo detta le ‘regole’ sulla protezione di infrastrutture criticheERT

Oggigiorno, nel cuore di infrastrutture critiche e di sistemi essenziali, quali il sistema di fornitura dell’energia elettrica, dell’acqua, del gas e dei combustibili e negli impianti chimici risiedono Pc tra loro collegati. Così, un malfunzionamento o un guasto al sistema di monitoraggio, controllo e trasmissione dati, dovuto a un incidente o a un attacco doloso, può impedire il funzionamento di infrastrutture vitali per la comunità e causare danni notevoli, amplificati dal fatto che i sistemi sono fortemente interconnessi tra loro.

L’attenzione alla ‘cyber-sicurezza’ dei sistemi di controllo e trasmissione dei dati è molto forte negli Stati Uniti, dove per le utility e in molti settori industriali sono state approntate linee guida per la sicurezza. In Europa, in particolare in Italia, pare che la consapevolezza di tali pericoli sia meno evidente. Inoltre, standard, guideline e buone pratiche appaiono non in armonia tra loro, sovrapponendosi o lasciando spazi non coperti. Per migliorare la situazione, nel giugno del 2008 è partito un progetto che ha fornito risultati e indicazioni a fine 2010.

Nel corso dell’incontro tenutosi lo scorso 2 marzo presso la sala conferenze del DEI (Dipartimento di Elettronica e Informazione) del Politecnico di Milano, organizzato da Aeit (Federazione Italiana di Elettrotecnica, Elettronica, Automazione, Informatica e Telecomunicazioni) – dal titolo: “La sicurezza dei sistemi di controllo, di supervisione e acquisizione dati (Scada)”, Roberto Manfredi ha descritto l’attività e le caratteristiche di tale progetto finanziato dalla Commissione Europea. Nello specifico, il progetto, noto come ‘European Network for the security of Control and Real Time Systems (ESCoRTS)’, si è occupato di sicurezza delle apparecchiature di controllo e acquisizione dati (Scada) in infrastrutture critiche, con particolare attenzione ai sistemi elettrici (produzione, trasporto e distribuzione) e ai sistemi di distribuzione dell’acqua.

È stato portato avanti da un Consorzio e da uno Stakeholder Advisory Board, appositamente creati a tal fine. Il Consorzio è formato da: CEN – European Committee of Standardization di Bruxelles, JRC – Joint Research Centre di Ispra, 3 costruttori di Scada (ABB, Areva ora Alstom Grid, Siemens), 3 utilizzatori (Enel, Transelectrica, Mediterranea delle Acque), Opus in rappresentanza degli U.S., Enginet di Milano e Uninfo. Lo Stakeholder Advisory Board è formato da enti di sicurezza, unità di ricerca, associazioni di utenti industriali e fornitori di servizi di 13 Paesi europei e ha vagliato i risultati intermedi, dato apporti e verificato il lavoro nel suo procedere.

Il progetto, pensato da JRC di Ispra, è coordinato dal CEN, supportato da Enginet, piccola società di Milano che ha effettuato il management del progetto e fornito alcuni apporti specialistici; ha inoltre visto la partecipazione attiva di tutti i membri del Consorzio. Il piano ha dato vita a un focus group che, in ambito CEN, prenderà in carico il proseguimento del lavoro sulle tematiche del progetto. Il lavoro è stato suddiviso in vari ‘work package’; il primo, ‘Work Package 1’, ha prodotto: una survey sui ‘Bisogni di sicurezza delle infrastrutture e aziende’, sulla base di un lavoro sul campo con acquisizione di dati e interviste; un report sul workshop in occasione del quale è stato presentato la survey precedente, registrando le reazioni dei convenuti; un report sul workshop dedicato al tema ‘Il mercato EU dei servizi sulla sicurezza Scada’.

Il ‘Work Package 2’ sullìidentificazione e valutazione delle best practice ha rilasciato una survey sull’esistente (‘Metodi di sicurezza, procedure e guideline’; un report sulla tassonomia delle soluzioni di sicurezza. Inoltre, sono stati effettuati 3 esperimenti sul campo, con l’ applicazione di standard di sicurezza. Il ‘Work Package 3’ ha prodotto una roadmap che indica i punti da sviluppare e le azioni da intraprendere per superare le manchevolezze individuate. Il ‘Work Package 4’ ha prodotto: un report sulle piattaforme ICT sicure per lo scambio dati; un report sulle metriche per la misurazione della cyber-sicurezza e il suo test; un report sulle caratteristiche di futuri laboratori per la prova della sicurezza di apparati e applicazioni. È stata inoltre effettuata una verifica sul campo in un’applicazione delle metriche.

La seconda parte della conferenza, tenuta da Daniela Pestonesi di Enel Ricerca, ha illustrato un esperimento condotto da Enel e da un costruttore di Scada (ABB) per la misurazione della sicurezza Scada in un sistema. L’esperimento è consistito nell’uso di un-sub set degli standard ISA99, per valutare la sicurezza di una parte del sistema di automazione di un impianto a ciclo combinato ritenuto rappresentativo per architettura Scada e di sistema ICT. In chiusura i relatori hanno manifestato ai presenti la disponibilità ad aprirsi alla collaborazione di enti/aziende interessate a proseguire le attività individuate nella roadmap. I dati pubblici del progetto sono disponibili sul sito CEN/Cenelec.

Enel: www.enel.it
Politecnico di Milano: www.polimi.it
Enginet: www.engi-net.it
ABB: www.abb.it
Siemens: www.siemens.it
Aeit: www.aeit.it