KNX Secure

La soluzione più sicura per l’automazione degli edifici

Global. Secure. Connected

Protezione ottimale contro l’accesso di terzi

La KNX Association mira a rendere KNX la soluzione più sicura sul mercato dell’automazione intelligente di case ed edifici.

Ecco perché la tecnologia KNX soddisfa i più rigorosi requisiti di sicurezza secondo lo standard di crittografia AES128 (a norma ISO 18033-3, ad esempio con crittografia AES 128 CCM). Inoltre, la tecnologia KNX Secure è standardizzata secondo la norma EN 50090-3-4, il che significa che KNX è in grado di bloccare gli eventuali attacchi di hacker all’infrastruttura digitale di edifici interconnessi. Il rischio di intrusioni viene in tal modo ridotto.

Durante lo sviluppo della tecnologia KNX Secure non si è prestata attenzione solo alla copertura delle attuali esigenze di sicurezza informatica nell’automazione degli edifici, bensì anche a quelle future. A tale scopo, il funzionamento di KNX Secure si avvale di due approcci diversi:

Base KNX Secure

KNX IP Secure

La comunicazione KNX tramite IP è protetta. L’impiego di router KNX IP compatibili con KNX Secure rende possibile questa funzione.

  • I telegrammi KNX IP sono crittografati.
  • Requisito minimo dal momento in cui KNX IP viene integrato in un progetto.
  • La configurazione e l’integrazione della cifratura Secure avvengono tramite il progetto ETS.
KNX IP Secure

«Non esiste più alcuna ragione valida per cui gli impianti KNX IP non debbano essere realizzati secondo lo standard KNX Secure. Ora, i progettisti di impianti elettrici devono cambiare il loro modo di pensare e adeguare i loro capitolati d’appalto.»

KNX Data Secure

La comunicazione KNX tramite TP è protetta.

  • I telegrammi KNX che comunicano con dispositivi Secure sono protetti.
  • Tutti i dispositivi KNX da proteggere devono essere dispositivi KNX Secure.
  • La configurazione e l’integrazione della cifratura Secure avvengono tramite il progetto ETS
KNX Data Secure
  • Nella rete possono essere presenti anche singoli dispositivi in grado di comunicare con altri dispositivi non protetti.
  • I dispositivi non protetti non possono comunicare con i dispositivi protetti.

KNX Secure in un progetto

KNX IP Secure e KNX TP

La comunicazione KNX tramite IP è protetta. L’impiego di router KNX IP compatibili con KNX Secure rende possibile questa funzione.

  • Solo i telegrammi KNX IP sono crittografati.
  • La comunicazione KNX TP può avvenire senza crittografia.
KNX IP Secure e KNX TP

Progetto con KNX Data Secure

Naturalmente, con KNX Data Secure è possibile realizzare anche un progetto completo. Ad esempio, nel caso in cui non vengano utilizzati dispositivi KNX basati su IP.

  • I telegrammi KNX che comunicano con dispositivi Secure sono protetti.
  • Tutti i dispositivi KNX da proteggere devono essere dispositivi KNX Secure.
  • La configurazione e l’integrazione della cifratura Secure avvengono tramite il progetto ETS. 
Progetto con KNX Data Secure
  • Anche gli accoppiatori di area e di linea devono essere apparecchi compatibili con KNX Secure.

Progetto con KNX IP Secure & KNX Data Secure

Sia a livello IP sia a livello TP, tutti i telegrammi KNX che comunicano con apparecchi Secure sono adeguatamente crittografati.

  • Possono tuttavia comunicare tra loro anche singoli dispositivi non crittografati.
  • Tutti gli apparecchi da proteggere sono compatibili con lo standard KNX Secure.
  • La configurazione e l’integrazione della cifratura Secure avvengono tramite il progetto ETS.
Progetto con KNX IP Secure e KNX Data Secure

Dispositivi KNX Secure

Accoppiatore di linea KNX Secure

Accoppiatore di linea compatibile con KNX Secure con Secure Code indicato sul lato. Il codice può essere caricato direttamente nell’ETS utilizzando la videocamera del computer portatile.

KNX IP Secure Router von ABB

La targhetta sul dispositivo indica che esso è compatibile con KNX Secure. I dispositivi possono presentare anche una X.

Attuatore di commutazione KNX Secure di Feller

Anche gli attuatori di commutazione KNX sono compatibili con i corrispondenti telegrammi KNX Secure.

Router KNX IP compatibile con KNX Secure

Router KNX IP compatibile con KNX Secure con Secure Code indicato sul lato. Il codice può essere caricato direttamente nell’ETS utilizzando la videocamera del computer portatile.

KNX IP Secure Router von Siemens

Altri fabbricanti utilizzano semplicemente un testo sul dispositivo.

KNX Security Check

Con questo strumento di KNX Association, il proprietario di un impianto KNX può verificare se il sistema KNX della sua abitazione è protetto da accessi non autorizzati da Internet.

Lo strumento verifica in modo rapido e semplice se il vostro router Internet è impostato in modo tale da impedire l'accesso ai vostri dispositivi KNX dall'esterno.
Se lo strumento determina che il vostro impianto KNX non è sufficientemente protetto dall'attuale indirizzo IP, riceverete informazioni su come rendere più sicuro il vostro impianto.

In questo caso, è necessario contattare il proprio integratore di sistema. È lui l'esperto che può aiutarvi a configurare il vostro impianto in modo che sia protetto dagli attacchi provenienti da Internet.

KNX Secure nella prattica

Per ulteriori informazioni, consultare la guida KNX Swiss alla sicurezza dei sistemi di automazione degli edifici e degli ambienti.

 Progettazione sicura dei sistemi di automazione degli edifici

Non esiste più alcuna ragione valida per cui gli impianti KNX IP non debbano essere realizzati secondo lo standard KNX Secure. Ora, i progettisti di impianti elettrici devono cambiare il loro modo di pensare e adeguare i loro capitolati d’appalto.

«Smart home and building solutions. Global. Secure. Connected.» Ecco lo slogan della tecnologia KNX. Globale, sicura e al contempo interconnessa. Tuttavia, questo connubio di caratteristiche presuppone che vengano considerati alcuni aspetti fondamentali. I progettisti sono dunque chiamati a progettare e appaltare gli impianti di automazione degli edifici in modo tale che essi offrano tutte le caratteristiche oggi possibili in termini di sicurezza informatica.

La pressione dei costi quale fattore di stimolo
Il costante aumento dei costi per la manutenzione di più infrastrutture di rete indipendenti negli edifici spinge sempre più clienti verso l’utilizzo di un’unica rete IP. In tal modo, tutti i servizi necessari funzionano tramite la stessa infrastruttura IP e devono rispettare le prescrizioni della rete in termini di sicurezza informatica. Il reparto IT può così gestire la rete da un’unica fonte curando i certificati di cibersicurezza.

Regole di gioco fondamentali
Affinché i reparti IT autorizzino l’integrazione di dispositivi di automazione degli edifici in una rete IP, è necessario il rispetto di alcune regole fondamentali: i dispositivi devono essere «basati su IP», vale a dire che, ad esempio, ciascun dispositivo deve supportare l’assegnazione dinamica di indirizzi IP (DHCP). È inoltre necessario il supporto della risoluzione dei nomi (DNS) e la comunicazione non può più avvenire tramite broadcast.

Dall’altra parte, il reparto IT si occupa di rendere sicuri gli accessi dall’esterno, in modo da poter garantire gli interventi di manutenzione da remoto. Assicura anche che in tutto l’edificio sia disponibile un numero sufficiente di collegamenti di rete per i dispositivi cablati e una buona copertura con punti di accesso alla WLAN. A tal riguardo è fondamentale che le stesse regole vengano applicate anche per le centrali tecniche.

Se un edificio fa parte della cosiddetta «infrastruttura critica», i requisiti relativi alla sicurezza informatica sono ancora più elevati. Per tali immobili, generalmente il reparto IT impone prescrizioni ancor più rigorose riguardo ai dispositivi. Possono infatti essere richiesti persino controlli individuali o informazioni scritte da parte del fabbricante per determinati meccanismi di cibersicurezza.

Compiti concreti per progettisti di impianti elettrici e integratori
Durante le prime fasi della progettazione, il progettista (della tecnica degli edifici) deve definire insieme alla committenza e al rispettivo reparto IT le condizioni generali. Il piano degli indirizzi IP, le prescrizioni per la scelta di hardware, router e password nonché la loro gestione e molti altri aspetti. A chi vengono assegnati i diritti di accesso, chi li gestisce e quando? La VPN potrebbe essere una possibilità, poiché non vi sarebbero sicuramente più porte aperte! Si dovrà inoltre tenere conto di fasi progettuali quali la realizzazione, l’esercizio e la manutenzione. Va inoltre stabilito che KNX IP Secure sia il nuovo standard per il trasferimento di informazioni KNX su infrastrutture IP.

ETS: un aiuto prezioso
Per gli integratori KNX ciò significa che, da subito, tutta la comunicazione IP di KNX dovrà essere appaltata e realizzata esclusivamente con router IP KNX Secure. Questi router codificano i telegrammi sulla rete IP e proteggono l’impianto dagli attacchi informatici esterni. Grazie al software ETS (Engineering Tool Software) e a una password impostata all’inizio del progetto, l’applicazione di KNX Secure a livello IP è semplicissima. Ovviamente, la password dovrà essere gestita con la massima cura.

KNX tramite IP ma in sicurezza
Ciascun router IP KNX Secure dispone di un certificato applicato dal fabbricante sul dispositivo (amovibile). Questo codice unico al mondo viene inserito nel pool dei certificati del progetto alla voce «Sicurezza» del software ETS. A partire da questo momento, l’ETS si occupa della gestione in background. Se un dispositivo non dispone più del relativo certificato, esso andrebbe impiegato soltanto in impianti non protetti. È dunque necessario prestare attenzione a queste «etichette». Definire una procedura è utile! Se mancano le etichette, nel peggiore dei casi l’hardware va riacquistato.

Se i certificati non presentano problemi, occorre soltanto attivare la modalità sicura per ciascun dispositivo; una volta eseguita l’assegnazione degli indirizzi e il trasferimento dei parametri dei dispositivi, la comunicazione IP è sicura. Il «mazzo di chiavi» può essere esportato in qualunque momento dall’ETS e importato in altri dispositivi non configurabili nell’ETS, ad esempio in visualizzatori.

Su richiesta anche con il cavo verde
In una seconda fase – e laddove i requisiti progettuali lo richiedano – la comunicazione può essere resa ancor più sicura con KNX Data Secure tramite il cavo verde a doppino intrecciato (twisted pair). In un’abitazione unifamiliare, questo aspetto sarà meno cruciale rispetto, ad esempio, a un hotel.

Le linee guida di KNX Swiss forniscono maggiori informazioni su questo argomento nonché utili suggerimenti per i progetti.