I profili safety per le reti OT: garantire la sicurezza nelle infrastrutture critiche
Nell’era moderna, le infrastrutture critiche, come centrali elettriche, impianti di produzione, reti di distribuzione energetica e sistemi di trasporto, dipendono sempre più dalle reti di automazione e controllo note come Operational Technology (OT). Tuttavia, con l’aumento della connettività e della digitalizzazione, è fondamentale garantire la sicurezza di queste reti OT per evitare gravi conseguenze.
La sicurezza delle reti OT si concentra sulla protezione delle infrastrutture critiche dai pericoli legati alla cyber security, ma c’è un aspetto cruciale che spesso viene trascurato: la sicurezza operativa, o safety. Mentre la sicurezza informatica si preoccupa della protezione dei dati e dei sistemi informatici, la safety si concentra sulla protezione delle persone, delle attività e dell’ambiente da eventi potenzialmente pericolosi.
I profili safety per le reti OT sono strumenti fondamentali per garantire un ambiente di lavoro sicuro nelle infrastrutture critiche. Essi definiscono i requisiti, i protocolli e le misure di sicurezza necessarie per prevenire incidenti e minimizzare i danni in caso di situazioni di emergenza. Si parla di profili di sicurezza, in quanto essi hanno il compito di definire il contenuto e le modalità di trasmissione dei dati all’interno del payload di un telegramma di un qualunque protocollo di comunicazione. In poche parole è possibile dire che il compito di un profilo di sicurezza è quello di implementare meccanismi che siano in grado di eliminare o quantomeno identificare i possibili errori della comunicazione dei dati che avviene tra i dispositivi facenti parte di una catena di sicurezza, composta da sensori, logic solver ed attuatori.
Ci sono diversi aspetti chiave che la safety deve affrontare:
1. Analisi dei rischi: Una corretta valutazione dei rischi è la base per lo sviluppo delle funzioni di sicurezza e delle relative catene di sicurezza. Questa analisi identifica i potenziali pericoli e le conseguenze che potrebbero verificarsi in caso di incidente. Dall’analisi dei rischi vengono identificati i possibili eventi a cui è associato un rischio non accettabile e per cui è necessario introdurre delle contromisure di mitigazione; tra queste possono esserci anche delle catene di sicurezza gestite da reti di comunicazione digitali che pertanto dovranno essere dotate di un profilo di sicurezza.
2. Progettazione di misure di sicurezza: Sulla base dell’analisi dei rischi, vengono le misure di sicurezza appropriate. Queste possono includere la progettazione di sistemi di protezione fisici, come barriere e dispositivi di sicurezza, nonché l’implementazione di controlli tecnologici e procedure operative specifiche.
3. Monitoraggio e controllo: I profili safety stabiliscono procedure per il monitoraggio costante delle reti OT al fine di individuare eventuali anomalie o violazioni. Questo può comportare la creazione di un sistema di allarme tempestivo o l’implementazione di sistemi di monitoraggio automatizzati per rilevare situazioni di emergenza in tempo reale.
4. Test e manutenzione: nella definizione delle misure di sicurezza vengono sempre anche stabilite le procedure per il testing e la manutenzione periodica dei sistemi di sicurezza implementati. Questo assicura che le misure di sicurezza siano sempre funzionanti e in grado di rispondere efficacemente a situazioni di emergenza.
L’implementazione di profili safety per le reti OT richiede una collaborazione stretta tra diverse figure professionali, come ingegneri di sicurezza, esperti di automazione e personale operativo. Inoltre, è necessario seguire standard e normative specifici nel settore dell’automazione e delle infrastrutture critiche, come ad esempio gli standard IEC 61508 e IEC 61511, per quel che riguarda la sicurezza e la sua gestione ed implementazione.
In questo contesto normativo, la IEC 61508 definisce la possibilità di utilizzare comunicazioni digitali per il trasferimento dei dati all’interno delle catene di sicurezza, purché le comunicazioni avvengano implementando un profilo di sicurezza al di sopra del protocollo selezionato, approccio denominato “black channel”. Questo viene definito dalla norma IEC 61784-3, che definisce i profili di comunicazione per applicazioni safety nelle reti industriali. Questi profili sono utilizzati per garantire la sicurezza e la protezione delle persone, delle macchine e dell’ambiente all’interno dei sistemi di automazione industriale.
I profili di comunicazione safety specificati dalla IEC 61784-3 stabiliscono i requisiti e i protocolli di comunicazione per consentire lo scambio affidabile di dati safety tra dispositivi e sistemi all’interno di una rete industriale. Questi profili sono progettati per soddisfare i requisiti di sicurezza e consentire la diagnosi e la gestione degli eventi di sicurezza in tempo reale.
Questi profili di sicurezza specificano le caratteristiche e i requisiti per la comunicazione sicura all’interno di un sistema di automazione industriale. Di seguito sono elencati alcuni dei profili di sicurezza standard definiti dalla IEC 61784-3:
- PROFIsafe: Questo profilo di sicurezza è basato sulla tecnologia di comunicazione Profinet e viene utilizzato per garantire la sicurezza dei dispositivi di automazione industriale. Definisce le specifiche per la comunicazione sicura e affidabile tra i dispositivi di sicurezza e il sistema di controllo.
- CIP Safety: Questo profilo di sicurezza è utilizzato con la tecnologia di comunicazione EtherNet/IP. Definisce le specifiche per la comunicazione sicura tra i dispositivi di sicurezza e il sistema di controllo, consentendo la condivisione di informazioni critiche per la sicurezza in tempo reale.
- SafetyNET p: Questo profilo di sicurezza è basato sulla tecnologia di comunicazione SafetyNET p e viene utilizzato per la comunicazione sicura tra dispositivi di sicurezza e sistemi di controllo. Fornisce un’architettura flessibile e scalabile per garantire la sicurezza in diversi ambienti industriali.
- EtherCAT Safety: Questo profilo di sicurezza è progettato per la comunicazione sicura all’interno di reti EtherCAT. Definisce le specifiche per la trasmissione sicura dei dati di sicurezza tra dispositivi di automazione e dispositivi di sicurezza.
- SERCOS Safety: Questo profilo di sicurezza è basato sulla tecnologia di comunicazione SERCOS e viene utilizzato per garantire la sicurezza dei sistemi di automazione. Definisce le specifiche per la comunicazione sicura e affidabile tra i dispositivi di sicurezza e il sistema di controllo.
È importante notare che questi sono solo alcuni esempi di profili di sicurezza standard definiti dalla IEC 61784-3. Esistono anche altri standard e profili specifici per reti di comunicazione industriali. La scelta del profilo di sicurezza dipenderà dal sistema di automazione specifico e dai requisiti di sicurezza dell’applicazione.
I profili di sicurezza implementano una serie di accortezze per poter identificare quelli che possono essere i possibili errori della comunicazione, e pertanto i meccanismi che vengono implementati sono:
- Sequence number: ogni pacchetto viene identificato con un numero univoco e sequenziale, che consente di identificare l’eventuale perdita o ripetizione di un dato trasmesso
- CRC: controllo dell’integrità dei dati trasmessi
- Watchdog: è un tempo limite oltre il quale è attesa una risposta da un device o un’interrogazione da parte di un controllore/PLC. Se questo tempo viene superato senza che vi sia stata una comunicazione, allora i dispositivi si mettono in file safe perché la trasmissione dei dati non è assicurata
- Identificativo univoco: tutti i partecipanti al dominio di sicurezza e che devono parlare tra di loro sono identificati con un ulteriore indirizzo univoco che si riferisce agli elementi di sicurezza e che devono parlare tra di loro.
La comunicazione tra i dispositivi facenti parte del dominio di safety avviene in modo ciclico, in quanto è necessario che ogni dispositivo dia un segnale di esistenza in vita in modo continuativo, quindi la comunicazione avviene con una richiesta da parte del PLC di sicurezza, denominato F-Host, che richiede dati da ciascuno dei dispositivi di sicurezza configurati nella sua configurazione hardware. A valle di ogni richiesta da parte del PLC vi è una risposta da parte dei dispositivi di campo che deve avvenire entro il tempo di watch dog.