Usiamo i cookie per migliorare la tua esperienza di fruizione

Cliccando su qualsiasi link in questa pagina fornisci il tuo consenso all'uso dei cookie

Italian Chinese (Simplified) English French German Japanese Spanish
Venerdì, 02 Dicembre 2022
Sicurezza delle funivie e sicurezza cibernetica: il perché di un approccio integrato - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

Sicurezza delle funivie e sicurezza cibernetica: il perché di un approccio integrato - AIIC (Associazione Italiana esperti in Infrastrutture critiche)

MAGGIO 2022

Il trasporto a fune è oggetto di una trasformazione che utilizza le tecnologie per migliorare la gestione, la manutenzione e l’”esperienza” sia degli utenti che degli addetti ai lavori, per l’assistenza remota e la gestione dei comprensori sciistici. Ma il trasporto a fune, che è anche una modalità di trasporto urbano, tende ad essere anche automatizzato ed impresidiato.
Le interfacce uomo macchina ed i sistemi di controllo caratterizzano i prodotti dei costruttori di sottosistemi tecnologici che sono caratterizzati da “memes” quali “smart ropeways” o “connected ropeways e fanno riferimento all’uso di apps, realtà aumentata e sensoristica ampiamente distribuita. In sostanza anche per i sistemi di trasporto a fune si intende trarre i benefici della Internet of Things.
Tali benefici, tuttavia, hanno degli aspetti da valutare ulteriormente e da dominare in quanto introducono nuove vulnerabilità, soprattutto a fronte di tecniche di attacco “cyber” che possono essere, soprattutto quelle mirate, anche molto sofisticate.
In altre parole, anche un sistema che tradizionalmente viene pensato come puramente strutturale meccanico, come un sistema di trasporto a fune, è caratterizzato da una propria superficie di attacco generata dalla propria componente di supervisione, controllo, informazione ed automazione.
Una funivia non è un sistema informatico, ma un sistema “cyber-fisico” in cui componenti elettronici programmabili sono incorporati nella parte strutturale, elettrica e meccanica. E’ un sistema complesso che genera notevoli interazioni, dirette o indirette, con gli operatori e soprattutto con le persone trasportate, attraverso proprie componenti fondamentali quali l’azionamento, i sistemi di frenatura, i sistemi meccanici di linea, i veicoli.
Ed in quanto sistema cyber-fisico, le vulnerabilità delle componenti “embedded” possono essere utilizzate per compromettere l’incolumità delle persone, evidenziando la necessità dello stretto legame che si deve stabilire tra la “security” e la “safety”, e le rispettive tecniche di analisi. D’altra parte, la cronaca ha già offerto esempi di cyber-attacchi rivolti a sistemi tecnologici di funivie.
In una funivia la componente di automazione, controllo, supervisione ed informazione è realizzata mediante prodotti e tecnologie che vengono ampiamente attinti dall’ambito dei sistemi di controllo industriali, in particolare PLC, ed uno sviluppo che deve essere sempre attento alla protezione rispetto alle vulnerabilità di tipo “informatico”, che sono numerose come risulta dai dati disponibili.
Esistono tecniche di attacco mirate specifiche per tali sistemi di uso industriale e per gli standard di comunicazione in essi utilizzati. La cosa desta particolare attenzione nel caso in cui alle componenti software ed agli standard di comunicazioni siano affidate funzioni di “safety” e quindi la loro compromissione può avere conseguenze sull’incolumità degli utenti.
Guardando alle conseguenze che questi attacchi possono avere, il concetto di “cybersecurity” si estende da quello tipicamente inteso relativamente all’information technology fino a toccare l’affidabilità, la manutenibilità e la safety dei sistemi cyber-fisici. Discende da qui l’importanza dell’ampliamento dei requisiti di sicurezza funzionale con quelli relativi alla protezione cibernetica, che devono essere oggetto di un’analisi integrata che può essere svolta con specifiche tecniche.

Giorgio Pizzi

(Newletter AIIC n. 3 (2022))