## 1. Introduzione alla Sicurezza del BIOS sui Pannelli B&R PC HMI 3100

La sicurezza del firmware, in particolare del Basic Input/Output System (BIOS) o della sua evoluzione Unified Extensible Firmware Interface (UEFI), riveste un'importanza cruciale negli ambienti industriali. Il BIOS è il primo strato di software che viene eseguito all'avvio di un sistema e una sua compromissione può minare la sicurezza dell'intero Human-Machine Interface (HMI), con potenziali ripercussioni sulla continuità operativa, sulla sicurezza degli operatori e sulla protezione della proprietà intellettuale. Gli HMI, essendo spesso punti di accesso nevralgici ai sistemi di controllo industriale (ICS), sono bersagli appetibili per attacchi mirati. Comprendere e configurare correttamente le funzionalità di sicurezza offerte dal BIOS è quindi un passo fondamentale per la protezione di questi dispositivi critici.

I pannelli B&R PC HMI 3100 sono equipaggiati con un firmware UEFI BIOS fornito da Insyde Software, noto come InsydeH2O.1 Questo tipo di BIOS è ampiamente diffuso e offre funzionalità di sicurezza moderne, tra cui il Secure Boot e il supporto per il Trusted Platform Module (TPM) 2.0, come confermato per i Panel PC 3100.1 Il BIOS InsydeH2O è progettato con un approccio modulare e per supportare le più recenti tecnologie e specifiche di sicurezza, consentendo ai produttori di Original Equipment Manufacturer (OEM) come B&R di implementare un solido strato di sicurezza a livello firmware.2

L'obiettivo di questo report è fornire una guida esaustiva e pratica per la configurazione ottimale delle opzioni di sicurezza disponibili nel BIOS InsydeH2O dei pannelli B&R PC HMI 3100. Data la difficoltà, segnalata dall'utente, nel reperire un manuale specifico del BIOS B&R focalizzato esclusivamente sulle impostazioni di sicurezza, questo documento si propone di consolidare le informazioni disponibili specifiche per i prodotti B&R (estratte da manuali utente generali e note tecniche) con le direttive e le funzionalità generali del BIOS InsydeH2O (come le linee guida sulla sicurezza UEFI).

È importante sottolineare una potenziale carenza documentale: l'assenza di un manuale B&R dedicato specificamente alla configurazione di sicurezza del BIOS InsydeH2O per i Panel PC 3100 implica che gli utenti debbano spesso estrapolare informazioni da manuali di prodotto più generici. Questi manuali, come il "Panel PC 3100 panel mount device User's manual" 3 o discussioni in forum della comunità B&R 5, toccano solo marginalmente alcune impostazioni del BIOS, come l'abilitazione del TPM o la configurazione delle porte COM. Di conseguenza, gli utenti potrebbero dover combinare queste informazioni frammentarie con la documentazione generale di InsydeH2O o con le best practice del settore, come le linee guida della National Security Agency (NSA) statunitense per la sicurezza UEFI.6 Questo approccio frammentato può portare a configurazioni di sicurezza subottimali o alla mancata implementazione di funzionalità cruciali se l'utente non è particolarmente proattivo e meticoloso nella ricerca e nell'applicazione di tali informazioni. Questo report si prefigge di colmare questa lacuna, offrendo un quadro più strutturato e completo delle opzioni di sicurezza del BIOS per i dispositivi in questione.

## 2. Accesso e Navigazione nell'Utility di Configurazione del BIOS InsydeH2O

Per poter configurare le impostazioni di sicurezza, è innanzitutto necessario accedere all'utility di configurazione del BIOS, spesso denominata Setup Utility (SCU) o BIOS Setup.

Procedure standard per accedere al BIOS Setup Utility (SCU) all'avvio del sistema:

L'accesso al BIOS InsydeH2O avviene tipicamente durante le primissime fasi di avvio del pannello HMI, prima che il sistema operativo inizi il suo caricamento. La procedura standard prevede la pressione ripetuta di un tasto specifico subito dopo l'accensione del dispositivo. Per i sistemi con BIOS InsydeH2O, i tasti più comuni sono Delete (Canc) o F2.7 In alcuni casi, potrebbe essere utilizzato il tasto F12 per accedere a un menu di avvio, dal quale poi selezionare l'ingresso nel setup del BIOS, o altri tasti specifici a seconda della configurazione OEM.8 È consigliabile premere il tasto designato più volte consecutivamente per assicurarsi che l'input venga registrato dal sistema prima che la finestra temporale per l'accesso al BIOS si chiuda. Ad esempio, alcune guide per dispositivi IGEL con InsydeH2O indicano di tenere premuto il tasto o [F2] fino alla comparsa del menu.7

Descrizione della struttura tipica dei menu del BIOS InsydeH2O per familiarizzare l'utente:

Una volta entrati nell'utility di configurazione del BIOS InsydeH2O, ci si troverà di fronte a un'interfaccia testuale navigabile tramite tastiera (solitamente i tasti freccia per muoversi, Invio per selezionare, Esc per tornare indietro o uscire, e F10 per salvare le modifiche ed uscire 7). La struttura dei menu è generalmente organizzata in schede (tab) principali, sebbene la loro esatta denominazione e il contenuto possano subire leggere variazioni a seconda delle personalizzazioni apportate dall'OEM (B&R in questo caso).

Una struttura tipica include:

- **Main:** Questa scheda visualizza informazioni generali sul sistema, come la versione del BIOS, il tipo di processore, la quantità di memoria RAM installata, la data e l'ora del sistema.8 Solitamente, le opzioni in questa scheda sono puramente informative e non contengono impostazioni di sicurezza configurabili.
- **Advanced:** Qui si trovano le configurazioni avanzate relative ai componenti hardware del sistema, come le impostazioni della CPU (ad esempio, per tecnologie di virtualizzazione), del chipset, delle periferiche integrate (SATA, USB), e altre funzionalità specifiche della piattaforma. Il manuale utente del Panel PC 3100 menziona, ad esempio, il sottomenu "Advanced - Chipset configuration" per la gestione del Platform Trust Technology (PTT) in relazione al TPM.3 Un altro esempio, proveniente da una discussione della comunità B&R, indica il percorso "Advanced → OEM Features → Super IO" per la configurazione delle porte COM.5
- **Security:** Questa è la scheda cruciale per tutte le impostazioni direttamente correlate alla sicurezza. Qui si trovano le opzioni per impostare e gestire le password del BIOS (Supervisore e Utente), configurare il Trusted Platform Module (TPM) e, in alcune implementazioni, gestire aspetti del Secure Boot.3
- **Boot:** Questa scheda contiene tutte le opzioni relative al processo di avvio del sistema. Include la configurazione della sequenza di avvio (boot order), la selezione della modalità di avvio (UEFI o Legacy/CSM), e le impostazioni per abilitare e gestire il Secure Boot.7
- **Exit:** Da questa scheda è possibile uscire dall'utility del BIOS, scegliendo se salvare le modifiche apportate ("Exit Saving Changes" o "Save Changes and Exit"), scartare le modifiche ("Exit Discarding Changes" o "Discard Changes and Exit"), o caricare le impostazioni predefinite del BIOS ("Load Setup Defaults" o "Load Optimized Defaults"). Il tasto F10 è frequentemente associato all'opzione "Save and Exit".7

È importante notare che, sebbene la struttura generale dei menu di InsydeH2O (Main, Advanced, Security, Boot, Exit) sia abbastanza standardizzata, la posizione esatta di alcune sotto-opzioni o la loro effettiva disponibilità possono essere influenzate dalle personalizzazioni specifiche implementate da B&R. Ad esempio, il percorso menzionato per la configurazione delle porte COM (`Advanced → OEM Features → Super IO → COM A`) 5 è verosimilmente una personalizzazione di B&R all'interno della struttura più ampia di InsydeH2O. Pertanto, mentre le funzionalità di sicurezza principali come le password e il Secure Boot si troveranno con alta probabilità nelle schede "Security" e "Boot" rispettivamente, alcune configurazioni specifiche di periferiche potrebbero risiedere in sottomenu personalizzati da B&R. L'utente dovrà quindi navigare attentamente all'interno dei menu per localizzare tutte le opzioni rilevanti per la sicurezza.

## 3. Gestione Avanzata delle Password del BIOS

Le password del BIOS rappresentano la prima e fondamentale linea di difesa contro accessi non autorizzati alla configurazione del firmware e, in alcuni casi, all'avvio stesso del sistema. Il BIOS InsydeH2O tipicamente offre due livelli principali di password: la Password di Supervisore e la Password Utente.11

Password di Supervisore (Administrator/Supervisor Password):

Questa password è la più critica per la sicurezza del BIOS.

- **Guida all'impostazione, modifica e rimozione sicura:**
    - L'opzione per impostare, modificare o rimuovere la Password di Supervisore si trova generalmente nella scheda "Security" dell'utility di configurazione del BIOS.8
    - **Per impostare:** Selezionare l'opzione "Set Supervisor Password" (o dicitura simile). Verrà richiesto di inserire la nuova password e di confermarla digitandola una seconda volta.
    - **Per modificare:** Se una Password di Supervisore è già impostata, per modificarla sarà necessario prima inserire la password corrente. Successivamente, si potranno inserire la nuova password e la sua conferma.13
    - **Per rimuovere (disabilitare):** Selezionare l'opzione per impostare/modificare la Password di Supervisore. Inserire la password corrente quando richiesto. Quando viene chiesto di inserire la nuova password, lasciare il campo vuoto e premere Invio. Confermare lasciando vuoto anche il campo di conferma della nuova password e premere nuovamente Invio.13 Questo procedimento dovrebbe disabilitare la password.
- **Implicazioni e privilegi associati:** La Password di Supervisore protegge l'accesso e la modifica di _tutte_ le impostazioni del BIOS. Ciò include la capacità di cambiare la sequenza di avvio, abilitare o disabilitare Secure Boot, configurare il TPM, abilitare o disabilitare periferiche hardware integrate (come porte USB o seriali), e modificare o rimuovere la Password Utente.11 È quindi essenziale per prevenire qualsiasi modifica non autorizzata alle configurazioni di sicurezza del sistema. In molti BIOS InsydeH2O, diverse operazioni sensibili, come la disabilitazione di Secure Boot o la modifica delle sue chiavi, richiedono che una Password di Supervisore sia stata precedentemente impostata e venga inserita per autorizzare tali modifiche.7

Password Utente (User Password):

Questa password offre un livello di protezione diverso, focalizzato sull'avvio del sistema.

- **Procedura per l'impostazione, modifica e rimozione:** Le opzioni per la Password Utente ("Set User Password" o simile) si trovano anch'esse tipicamente nella scheda "Security". Le procedure per impostarla, modificarla o rimuoverla sono analoghe a quelle della Password di Supervisore.
- **Funzionalità e livello di protezione:** Se impostata, la Password Utente viene richiesta ad ogni avvio del sistema, prima del caricamento del sistema operativo.11 Se la password corretta non viene fornita, il processo di avvio si interrompe. È importante notare che la Password Utente, da sola, non impedisce l'accesso all'utility di configurazione del BIOS se non è impostata anche una Password di Supervisore (o se si conosce la Password di Supervisore). In molte implementazioni, se la Password di Supervisore viene rimossa o disabilitata, anche la Password Utente viene automaticamente disabilitata.13

Interdipendenza delle Password e Implicazioni sulla Sicurezza:

La Password di Supervisore assume un ruolo gerarchicamente superiore e spesso funge da prerequisito per la configurazione efficace di altre importanti funzionalità di sicurezza. Ad esempio, documenti relativi alla configurazione di Secure Boot su sistemi con BIOS InsydeH2O sottolineano che è "cruciale impostare una password del BIOS (supervisore) per impedire agli utenti di disabilitare Secure Boot".7 Altre fonti confermano che per disabilitare Secure Boot è necessario prima impostare una Password di Supervisore.8 Questo crea una dipendenza fondamentale: senza una Password di Supervisore robusta e gestita in modo sicuro, la protezione offerta da funzionalità avanzate come Secure Boot può essere facilmente aggirata da chiunque abbia accesso fisico al pannello HMI. Un utente malintenzionato con accesso fisico a un pannello HMI il cui BIOS non è protetto da una Password di Supervisore (o se la password è debole, predefinita o facilmente indovinabile) potrebbe entrare nel BIOS, disabilitare Secure Boot, modificare l'ordine di avvio per caricare un sistema operativo compromesso da un dispositivo USB, e bypassare così molte delle misure di sicurezza implementate a livello di sistema operativo. La Password di Supervisore è quindi il custode dell'integrità della configurazione del BIOS stesso.

Impostare solamente una Password Utente, senza una Password di Supervisore, offre un livello di protezione significativamente limitato. Sebbene impedisca l'avvio del sistema operativo a un utente non autorizzato, non protegge le impostazioni del BIOS. Un utente non autorizzato potrebbe non essere in grado di avviare il sistema operativo, ma se non è presente una Password di Supervisore, potrebbe comunque riuscire ad accedere all'utility di configurazione del BIOS (se il tasto di accesso è noto) e visualizzare (anche se non modificare) le configurazioni. Questa visualizzazione potrebbe fornire informazioni utili per pianificare un attacco successivo. La Password Utente blocca l'avvio del sistema, mentre la Password di Supervisore blocca le modifiche al BIOS.11 Se l'obiettivo primario è impedire l'uso non autorizzato della macchina, la Password Utente può essere sufficiente. Tuttavia, se l'obiettivo è proteggere l'integrità della configurazione di sicurezza della macchina – come le impostazioni di Secure Boot, TPM, e il controllo delle porte I/O – allora la Password di Supervisore è indispensabile. Il fatto che la disabilitazione della Password di Supervisore spesso comporti la disabilitazione automatica anche della Password Utente 13 ne sottolinea ulteriormente la sua superiorità gerarchica e la sua importanza fondamentale.

Linee guida per la creazione di password robuste e best practice per la loro gestione:

La robustezza delle password del BIOS è essenziale. InsydeH2O supporta le best practice del settore per la creazione e la manutenzione delle password di amministratore (supervisore).6 Si raccomanda di:

- Utilizzare password che combinino lettere maiuscole e minuscole, numeri e, se il BIOS lo permette, caratteri speciali.
- Scegliere password di lunghezza adeguata (ad esempio, almeno 8-12 caratteri, se supportato).
- Evitare password banali, sequenze di tastiera, date di nascita, nomi comuni o informazioni facilmente associabili all'azienda o al dispositivo.
- Cambiare le password del BIOS periodicamente, specialmente in ambienti industriali dove il personale può cambiare o dove il rischio di compromissione è più elevato.
- Conservare le password del BIOS in un luogo estremamente sicuro (ad esempio, un password manager crittografato o una cassaforte fisica), accessibile solo a personale strettamente autorizzato. La perdita della Password di Supervisore può rendere molto difficile o impossibile la riconfigurazione del BIOS senza procedure di recupero complesse o l'intervento del produttore.

**Tabella 1: Riepilogo delle Tipologie di Password del BIOS InsydeH2O**

|   |   |   |   |   |
|---|---|---|---|---|
|**Tipo di Password**|**Scopo Principale**|**Azioni Controllate/Impedite**|**Menu Tipico di Configurazione**|**Note/Raccomandazioni**|
|**Password di Supervisore** (Administrator/Supervisor)|Proteggere l'accesso e la modifica delle impostazioni del BIOS.|Modifica di tutte le impostazioni del BIOS, inclusa la configurazione di Secure Boot, TPM, password utente, sequenza di avvio, abilitazione/disabilitazione periferiche.|"Security"|Essenziale per la sicurezza del firmware. Deve essere robusta e gestita con cura. Spesso richiesta per modificare impostazioni di sicurezza critiche.|
|**Password Utente** (User/Power-On)|Impedire l'avvio del sistema operativo a utenti non autorizzati.|Avvio del sistema operativo.|"Security"|Utile per controllare l'accesso al sistema operativo. Da sola, non protegge le impostazioni del BIOS. Spesso disabilitata se la Password di Supervisore viene rimossa.|

Questa tabella fornisce un riferimento rapido per comprendere le differenze funzionali tra i due tipi di password e l'importanza di implementarle correttamente in base al livello di sicurezza desiderato.

## 4. Implementazione e Configurazione Dettagliata di Secure Boot

UEFI Secure Boot è una caratteristica di sicurezza fondamentale progettata per prevenire l'esecuzione di software non autorizzato o malevolo durante il processo di avvio del sistema.

Spiegazione approfondita dei principi di UEFI Secure Boot e del suo meccanismo di verifica della catena di fiducia:

Secure Boot è uno standard UEFI che garantisce che ogni componente software caricato durante la sequenza di avvio – inclusi il firmware della piattaforma, i driver UEFI, le applicazioni UEFI e il bootloader del sistema operativo – sia firmato digitalmente. La firma di ciascun componente viene convalidata rispetto a un database di firme (o certificati) attendibili memorizzato in modo sicuro nel firmware stesso.6 Se un componente non è firmato, o se la sua firma non corrisponde a una firma attendibile o corrisponde a una firma presente in un database di firme revocate (dbx), il BIOS impedirà il caricamento di tale componente. Questo meccanismo crea una "catena di fiducia" che parte dal firmware e si estende fino al sistema operativo, proteggendo il sistema da malware come i rootkit a livello di boot o bootloader non autorizzati che potrebbero compromettere la sicurezza del sistema prima ancora che il sistema operativo principale sia caricato.11

Procedura passo-passo per l'abilitazione di UEFI Boot e successivamente di Secure Boot:

Per implementare Secure Boot, è necessario seguire una sequenza specifica:

1. **Abilitare la Modalità di Avvio UEFI:** Secure Boot è una funzionalità esclusiva della modalità UEFI. Pertanto, il primo passo è assicurarsi che il sistema sia configurato per avviarsi in modalità UEFI nativa, e non in modalità Legacy BIOS (a volte chiamata CSM - Compatibility Support Module). Questa impostazione si trova tipicamente nella scheda "Boot" dell'utility di configurazione del BIOS, dove si può selezionare un'opzione come "UEFI Boot Type" o "Boot Mode" impostandola su "UEFI".7 La National Security Agency (NSA) degli Stati Uniti raccomanda di abilitare l'avvio UEFI come primo passo fondamentale per migliorare la sicurezza del firmware, poiché la modalità Legacy è intrinsecamente meno sicura.6
2. **Abilitare Secure Boot:** Una volta che il sistema è configurato per l'avvio UEFI, l'opzione per abilitare Secure Boot diventa disponibile. Questa opzione si trova solitamente nella scheda "Boot" o, in alcune implementazioni, nella scheda "Security".7 Potrebbe essere necessario navigare in un sottomenu specifico, come "Secure Boot Option" 7 o "Secure Boot Configuration".15 L'opzione tipica è un semplice toggle "Enable/Disable".
3. **Importanza della Password di Supervisore:** Come discusso in precedenza, la modifica delle impostazioni di Secure Boot è un'operazione critica per la sicurezza. Pertanto, è fortemente raccomandato, e spesso richiesto dal BIOS stesso, impostare una Password di Supervisore prima di tentare di abilitare o disabilitare Secure Boot o di gestirne le chiavi.7 Questo impedisce a utenti non autorizzati di manomettere questa fondamentale funzionalità di sicurezza.

Gestione Esperta delle Chiavi di Secure Boot (PK, KEK, db, dbx):

Il funzionamento di Secure Boot si basa su diversi database di chiavi crittografiche memorizzati nel firmware:

- **PK (Platform Key):** È la chiave radice della fiducia per Secure Boot. Solitamente, l'OEM (B&R, in questo caso, o il produttore della scheda madre) installa la propria PK o una PK standard. Il proprietario della PK (o chi ne ha il controllo) ha l'autorità di aggiornare il database KEK.6 La gestione della PK è estremamente critica; la sua compromissione minerebbe l'intera catena di fiducia di Secure Boot.
- **KEK (Key Exchange Keys):** È un database di chiavi che sono autorizzate a modificare i database delle firme (db e dbx).6 Tipicamente, questo database contiene le chiavi dei fornitori di sistemi operativi (come Microsoft) e potenzialmente altre chiavi dell'OEM, permettendo loro di fornire aggiornamenti sicuri alle firme dei bootloader e dei driver.
- **db (Authorized Signature Database):** Questo database contiene le firme digitali (o gli hash dei file binari) dei bootloader UEFI, delle applicazioni UEFI e dei driver del sistema operativo che sono considerati attendibili e quindi autorizzati ad essere caricati ed eseguiti durante il processo di avvio.6
- **dbx (Forbidden Signature Database / Revocation Database):** Questo database contiene le firme digitali (o gli hash) di componenti software noti per essere malevoli, vulnerabili o non più attendibili. Ai componenti le cui firme o hash corrispondono a una voce in dbx viene impedita l'esecuzione, anche se fossero firmati da una chiave presente nel db.6 Questo database viene aggiornato per bloccare malware noti o certificati compromessi.

Le utility di configurazione del BIOS InsydeH2O, a seconda dell'implementazione dell'OEM, possono offrire le seguenti opzioni avanzate per la gestione di queste chiavi (spesso sotto un menu "Administer Secure Boot" o "Secure Boot Custom Policy" 6):

- **Visualizzazione delle Chiavi (View Secure Boot Keys):** Permette di ispezionare il contenuto attuale della PK, delle KEK, del db e del dbx.15
- **Ripristino ai Valori di Fabbrica (Factory Policy / Restore Secure Boot to Factory Settings / Reset All Keys to Default):** Questa opzione cancella tutte le chiavi personalizzate e ripristina la PK, le KEK, il db e il dbx ai valori predefiniti dal produttore.6 È un'opzione utile se la configurazione personalizzata causa problemi di avvio o se si sospetta una compromissione delle chiavi personalizzate.
- **Eliminazione delle Chiavi (Delete PK / Delete All Keys / Erase all Secure Boot Settings):** Queste opzioni rimuovono la PK e/o le altre chiavi, portando il sistema in "Setup Mode".6 In Setup Mode, Secure Boot è effettivamente disabilitato e il sistema permette l'installazione di nuove chiavi (ad esempio, una nuova PK). L'eliminazione della PK è un'operazione particolarmente critica e deve essere eseguita con estrema cautela, poiché rende il sistema vulnerabile fino a quando una nuova PK valida non viene installata e Secure Boot non viene riattivato in "User Mode".
- **Modalità Setup vs. Utente (Setup Mode / User Mode):** Quando Secure Boot è in "Setup Mode", le policy di sicurezza non vengono applicate e le chiavi possono essere gestite liberamente. Quando è in "User Mode" e Secure Boot è abilitato, il sistema esegue la verifica crittografica di tutti i componenti di avvio rispetto ai database db e dbx.15 Il passaggio da Setup Mode a User Mode avviene tipicamente dopo l'installazione della PK.

Personalizzazione di Secure Boot (Custom Policy) e Registrazione di Certificati Personalizzati:

In alcuni scenari, potrebbe essere necessario personalizzare la configurazione di Secure Boot, ad esempio per utilizzare sistemi operativi non firmati da Microsoft (alcune distribuzioni Linux), bootloader personalizzati, o driver UEFI specifici che non sono firmati da un'autorità di certificazione (CA) le cui chiavi sono presenti di default nel db.

- Le linee guida NSA suggeriscono che la personalizzazione di Secure Boot può rafforzare ulteriormente la sicurezza, ad esempio registrando nel db solo il certificato specifico che firma il bootloader del sistema operativo effettivamente in uso, piuttosto che fare affidamento su un certificato CA più generico che potrebbe firmare molti altri bootloader.6
- Il BIOS InsydeH2O può offrire opzioni sotto "Custom Policy" o simili per registrare (enroll) manualmente certificati o firme nel db o nuove KEK.6 Questo processo richiede tipicamente di avere il file del certificato (spesso in formato `.cer`, `.der`, o `.auth`) o il file della firma su un supporto accessibile dal BIOS (come una chiavetta USB) e di seguire una procedura guidata per selezionare e installare la chiave/firma nel database appropriato.
- È fondamentale comprendere che la personalizzazione di Secure Boot è un'operazione avanzata e potenzialmente rischiosa. Un errore nella gestione delle chiavi o nella registrazione di certificati non validi può facilmente rendere il sistema non avviabile ("bricked"). Per i pannelli HMI in ambienti industriali, la stabilità e l'affidabilità sono prioritarie. Pertanto, qualsiasi personalizzazione di Secure Boot dovrebbe essere eseguita solo dopo un'attenta valutazione, con una profonda comprensione della Public Key Infrastructure (PKI) e delle procedure coinvolte, e dopo test approfonditi in un ambiente non di produzione. La documentazione B&R disponibile non fornisce guide specifiche su come eseguire la personalizzazione di Secure Boot sui Panel PC 3100.

**Metodi per la verifica dello stato di attivazione e funzionamento di Secure Boot:**

- **All'interno del BIOS:** L'utility di configurazione del BIOS stessa dovrebbe indicare chiaramente lo stato corrente di Secure Boot (ad esempio, "Secure Boot Status: Enabled" o "Disabled").15
- **Dal Sistema Operativo:** Molti sistemi operativi forniscono strumenti per verificare lo stato di Secure Boot. Ad esempio, in Windows, è possibile utilizzare l'utility `msinfo32.exe` (System Information), che mostrerà lo "Stato Avvio Protetto", oppure eseguire comandi PowerShell come `Confirm-SecureBootUEFI`. Anche diverse distribuzioni Linux offrono comandi per interrogare lo stato di Secure Boot.

Le impostazioni predefinite di Secure Boot (Factory Policy) sono progettate per garantire la compatibilità con i sistemi operativi più diffusi (come Windows) e con il software fornito dall'OEM. Questo approccio, sebbene comodo, potrebbe creare una sorta di "vendor lock-in" o limitare la flessibilità se si desidera utilizzare sistemi operativi alternativi o versioni meno recenti che non supportano pienamente Secure Boot o non sono firmati con chiavi pre-caricate. In tali casi, l'utente potrebbe essere costretto a disabilitare Secure Boot (compromettendo la sicurezza) o ad affrontare il complesso processo di personalizzazione delle chiavi. L'opzione "Restore Secure Boot to Factory Settings" 7 rappresenta una via di ritorno sicura a una configurazione nota e funzionante, ma potrebbe non essere adatta a tutti gli scenari d'uso. Per un HMI industriale, la priorità è spesso la stabilità e la sicurezza; quindi, attenersi alle policy di fabbrica o a personalizzazioni estremamente ben testate, documentate e giustificate è generalmente la scelta più prudente.

**Tabella 2: Gestione delle Chiavi di Secure Boot nel BIOS InsydeH2O**

|   |   |   |   |
|---|---|---|---|
|**Tipo di Chiave/Database**|**Descrizione Funzionale**|**Opzioni Comuni di Gestione nel BIOS**|**Implicazioni della Modifica**|
|**PK** (Platform Key)|Chiave radice che stabilisce la fiducia nella piattaforma. Controlla gli aggiornamenti alla KEK.|Visualizza, Elimina (mette in Setup Mode), Installa/Aggiorna (in Setup Mode).|L'eliminazione disabilita Secure Boot. Una PK compromessa o errata invalida la catena di fiducia.|
|**KEK** (Key Exchange Keys)|Database di chiavi autorizzate a modificare i database db e dbx.|Visualizza, Aggiungi, Elimina, Ripristina Default.|L'eliminazione di KEK necessarie può impedire aggiornamenti a db/dbx da parte di OS vendor. L'aggiunta di KEK non attendibili è un rischio.|
|**db** (Authorized Signature Database)|Database di firme/hash di software di avvio attendibile.|Visualizza, Aggiungi Firma/Certificato, Elimina Firma/Certificato, Ripristina Default.|L'aggiunta di firme non valide può bloccare l'avvio. L'eliminazione di firme necessarie può impedire l'avvio di OS/componenti legittimi.|
|**dbx** (Forbidden Signature Database)|Database di firme/hash di software di avvio revocato o malevolo.|Visualizza, Aggiungi Firma/Certificato, Elimina Firma/Certificato, Ripristina Default.|L'eliminazione di voci da dbx può permettere l'esecuzione di malware noto. L'aggiunta errata potrebbe bloccare componenti legittimi.|

Questa tabella riassuntiva è intesa ad aiutare l'utente a comprendere il ruolo di ciascun componente nella gestione di Secure Boot e le potenziali conseguenze delle modifiche apportate, specialmente considerando la limitata documentazione specifica di B&R su queste configurazioni avanzate.

## 5. Sfruttamento del Trusted Platform Module (TPM 2.0)

Il Trusted Platform Module (TPM) è un componente hardware dedicato che fornisce funzionalità crittografiche essenziali per rafforzare la sicurezza della piattaforma.

Descrizione del TPM 2.0, la sua presenza sui Panel PC 3100 e il suo contributo fondamentale alla sicurezza hardware:

Il TPM è un microchip sicuro, conforme alle specifiche del Trusted Computing Group (TCG), progettato per fornire funzionalità di sicurezza basate su hardware. Queste includono la generazione sicura e la memorizzazione di chiavi crittografiche, la creazione di misurazioni dell'integrità dei componenti di sistema durante l'avvio (registrate nei Platform Configuration Registers - PCRs), e la capacità di attestare lo stato della piattaforma a entità remote.6 I pannelli B&R PC HMI 3100 sono dotati di un TPM 2.0 1, che rappresenta la versione più recente e sicura dello standard. Il BIOS InsydeH2O utilizzato su questi pannelli supporta pienamente il TPM 2.0.2

Guida all'Abilitazione del TPM nel BIOS dei B&R Panel PC 3100:

Il manuale utente del Panel PC 3100 di B&R fornisce istruzioni specifiche per l'abilitazione del TPM, che risulta disabilitato per impostazione predefinita 3:

1. Accedere all'utility di configurazione del BIOS.
2. Navigare fino al menu **"Security"**.
3. Trovare l'opzione relativa al TPM (potrebbe essere etichettata come "TPM Device", "TPM Support", o simile) e impostarla su **"Enabled"** (o l'equivalente opzione di abilitazione).
4. Successivamente, è necessario navigare nel menu **"Advanced"**, poi nel sottomenu **"Chipset configuration"**.
5. All'interno di "Chipset configuration", individuare il parametro **"Platform Trust Technology (PTT)"** (o Intel PTT) e impostarlo su **"Disabled"**.

Questo secondo passaggio è cruciale: Platform Trust Technology è una soluzione TPM basata su firmware fornita da Intel e integrata in alcuni chipset. Se sia il TPM discreto (il chip fisico) sia il PTT basato su firmware sono disponibili, è necessario specificare al BIOS quale utilizzare. Disabilitando PTT, si indica al sistema di utilizzare il TPM discreto hardware. Senza questo passaggio, anche se il TPM è abilitato nel menu "Security", potrebbe non funzionare come previsto perché il PTT basato su firmware potrebbe avere la precedenza. Questa è un'informazione di configurazione specifica e di grande valore fornita da B&R, che difficilmente si troverebbe in una guida generica sul TPM. È sempre raccomandato seguire le istruzioni specifiche presenti nel BIOS Setup del dispositivo.

Utilizzo del TPM con funzionalità del sistema operativo come BitLocker per la crittografia dell'intero disco:

Una delle applicazioni più comuni e potenti del TPM è il suo utilizzo in congiunzione con software di crittografia dell'intero disco, come Microsoft BitLocker Drive Encryption (in Windows) o soluzioni analoghe in altri sistemi operativi.3

- Il TPM può generare e memorizzare in modo sicuro le chiavi crittografiche utilizzate per cifrare l'intero volume di sistema. Poiché le chiavi sono conservate all'interno del chip TPM, sono protette da attacchi software e anche da tentativi di accesso fisico se l'unità di archiviazione (ad esempio, SSD o CFast card) viene rimossa dal pannello HMI e collegata a un altro sistema.
- Inoltre, il TPM può "sigillare" la chiave di decrittografia del volume in base allo stato della piattaforma, misurato durante l'avvio. Il BIOS e i componenti di avvio iniziali registrano le loro misurazioni (hash) nei PCR del TPM. Se queste misurazioni cambiano rispetto a quelle registrate al momento della cifratura (ad esempio, a causa di una modifica non autorizzata del BIOS, del bootloader, o di un tentativo di avviare un sistema operativo diverso), il TPM non rilascerà automaticamente la chiave di decrittografia, richiedendo un intervento manuale (come l'inserimento di una chiave di ripristino).6 Questo protegge contro tentativi di manomissione offline del sistema.

Avvertenze cruciali sulla gestione delle chiavi di crittografia e sul rischio di perdita di dati:

L'utilizzo del TPM per la crittografia del disco introduce considerazioni importanti sulla gestione delle chiavi. Il manuale B&R 3 sottolinea un aspetto critico:

- **Se la password o la chiave di ripristino di BitLocker (o di un'altra soluzione di crittografia) viene persa, diventa impossibile decrittografare i dati.** Questo può accadere, ad esempio, dopo un aggiornamento del BIOS o del firmware del TPM, poiché tali aggiornamenti possono alterare le misurazioni della piattaforma a cui la chiave di BitLocker è legata. In tali casi, l'accesso all'unità crittografata è irrimediabilmente perso.
- È quindi **assolutamente imperativo** che le password e, soprattutto, le chiavi di ripristino di BitLocker siano conservate con la massima cura, in un luogo sicuro e protetto da accessi non autorizzati, ma recuperabile dal personale autorizzato in caso di necessità.

Considerazioni normative locali relative all'uso del TPM:

Il manuale B&R 3 consiglia anche di verificare, prima di abilitare il TPM, l'esistenza di eventuali restrizioni d'uso o normative specifiche del paese relative all'impiego di tecnologie crittografiche. Alcune giurisdizioni potrebbero avere regolamentazioni sull'importazione, l'esportazione o l'uso di dispositivi con crittografia forte.

Importanza critica degli aggiornamenti firmware del BIOS e del TPM:

Un avviso di sicurezza emesso nel marzo 2020 (e riportato da fonti governative nel maggio 2020) ha evidenziato una vulnerabilità di divulgazione di informazioni relativa al TPM nelle versioni BIOS 1.18 per i sistemi B&R APC3100 e PPC3100.17 Sebbene questa specifica vulnerabilità sia stata presumibilmente risolta con aggiornamenti successivi, essa serve come un importante promemoria della necessità di mantenere aggiornato il firmware del BIOS e, se applicabile e disponibile, anche il firmware del TPM stesso.

L'avvertimento sulla potenziale perdita di accesso ai dati crittografati dopo un aggiornamento del BIOS o del firmware TPM 3, unito alla realtà delle vulnerabilità del firmware 17, crea una sfida operativa per gli amministratori di sistema. Da un lato, gli aggiornamenti sono essenziali per la sicurezza e per correggere bug. Dall'altro, ogni aggiornamento su un sistema con crittografia del disco legata al TPM comporta un rischio per l'accessibilità dei dati se le procedure di gestione delle chiavi (come il backup sicuro e la verifica della chiave di ripristino di BitLocker, e la sospensione di BitLocker prima dell'aggiornamento) non sono eseguite in modo impeccabile. Questo sottolinea la necessità di procedure operative rigorose e ben testate per la manutenzione del firmware su sistemi critici che utilizzano la crittografia del disco basata su TPM.

## 6. Controllo Granulare e Sicurezza delle Porte I/O e delle Periferiche Integrate

Un aspetto fondamentale dell'hardening di un sistema HMI industriale è la riduzione della sua superficie di attacco attraverso la disabilitazione selettiva delle porte di Input/Output (I/O) e delle periferiche integrate che non sono strettamente necessarie per l'applicazione specifica. Ogni porta o dispositivo abilitato rappresenta un potenziale vettore per attacchi, introduzione di malware, o estrazione non autorizzata di dati. Le linee guida della NSA per la sicurezza dei BIOS UEFI, come InsydeH2O, raccomandano esplicitamente di disabilitare la possibilità di avviare il sistema da porte USB esterne e da porte eSATA, se non necessarie.6

**Disabilitazione/Controllo Porte USB:**

- **Disabilitare l'avvio da USB (USB Boot):** Questa è un'opzione di sicurezza molto comune e importante, solitamente presente nei menu "Boot" o "Security" del BIOS. Disabilitandola, si impedisce che il sistema possa essere avviato da un sistema operativo presente su una chiavetta USB o un altro dispositivo di archiviazione USB. Ciò previene l'avvio di sistemi operativi non autorizzati o potenzialmente malevoli che potrebbero bypassare le misure di sicurezza del sistema operativo installato.6
- **Disabilitazione completa delle porte USB o del trasferimento dati USB:** La documentazione fornita non conferma esplicitamente la presenza di opzioni granulari nel BIOS dei B&R Panel PC 3100 per disabilitare _singole_ porte USB o per disabilitare solo il trasferimento dati (mantenendo, ad esempio, l'alimentazione per dispositivi come tastiere o mouse che non necessitano di trasferimento file).
    - In generale, i BIOS InsydeH2O potrebbero offrire tali opzioni all'interno di menu come "Advanced" -> "USB Configuration" (come mostrato in un esempio relativo a un sistema IBM 18) o sotto "Onboard Devices Configuration" / "Integrated Peripherals" (un video tutorial menziona la possibilità di disabilitare "USB Mass Storage support" 19).
    - Tuttavia, l'accesso a questi menu avanzati o a opzioni così granulari potrebbe essere limitato o nascosto dall'OEM (B&R). Alcune fonti descrivono metodi non documentati (combinazioni di tasti speciali) per sbloccare menu avanzati nei BIOS InsydeH2O su alcuni laptop.20 L'applicazione di tali metodi non documentati sui Panel PC 3100 di B&R è fortemente sconsigliata in ambienti industriali critici, a causa dei rischi di instabilità o di rendere il sistema non avviabile.
    - È stato menzionato che un supervisore potrebbe, in linea di principio, disabilitare le interfacce USB tramite BIOS 11, il che implica che tale capacità esiste in alcune implementazioni BIOS, ma non è garantita per tutti i sistemi o per tutte le porte.

Disabilitazione/Controllo Porte Seriali (COM):

Per i sistemi B&R APC3100/PPC3100, esiste una documentazione (proveniente da una discussione della comunità B&R, quindi da considerare con la dovuta cautela ma indicativa) che suggerisce la possibilità di abilitare o disabilitare porte COM specifiche.5 Questo è particolarmente rilevante perché alcune configurazioni, come i touchscreen single-touch che utilizzano l'interfaccia SDL4, possono trasmettere i dati del tocco tramite una porta COM (ad esempio, COM A o COM E, a seconda della configurazione del trasmettitore SDL4). Il percorso indicato per questa configurazione è: Setup Utility → Advanced → OEM Features → Super IO → COM A (o COM E).5

In un contesto più generale di BIOS InsydeH2O, un utente su un forum tecnico ha descritto la disabilitazione delle porte seriali tramite un percorso come CONFIGURATION → ONBOARD DEVICES → DISABLE serial port 1 / DISABLE serial port 2.22 Sebbene questo percorso possa non corrispondere esattamente all'implementazione specifica di B&R, illustra la logica generale di trovare tali controlli sotto menu relativi alla configurazione delle periferiche integrate.

Disabilitazione/Controllo Porte SATA:

Analogamente alle porte USB, è buona norma disabilitare la possibilità di avviare il sistema da dispositivi eSATA (External SATA), se presenti e non utilizzati.6 In alcuni BIOS, potrebbero esistere opzioni per disabilitare completamente porte SATA interne o interi controller SATA se non sono in uso (ad esempio, se il sistema si avvia esclusivamente da supporti CFast e non sono presenti dischi rigidi o SSD SATA). Un documento sulle linee guida NSA menziona anche una funzionalità interessante chiamata "SATA ports Connected only. Disables SATA ports when no device is connected" 6, che, se disponibile, offrirebbe una forma di sicurezza dinamica.

Controllo di Altre Periferiche Integrate (Audio, LAN):

Le opzioni per abilitare o disabilitare altre periferiche integrate, come il controller audio o il controller di rete LAN onboard, si trovano solitamente nei menu "Advanced" o in sottomenu dedicati come "Peripheral Configuration" o "Onboard Devices Configuration".19

- **Audio:** Se l'applicazione HMI non richiede funzionalità audio, disabilitare il controller audio integrato può ridurre minimamente la superficie di attacco e liberare risorse di sistema.
- **LAN:** Se il pannello HMI non necessita di connettività di rete diretta tramite la porta LAN integrata (ad esempio, perché utilizza un'interfaccia di rete dedicata su una scheda di espansione o perché la comunicazione avviene tramite bus di campo specifici), è una buona pratica di sicurezza disabilitare il controller LAN onboard per prevenire accessi di rete non autorizzati.

È importante notare la differenza di dettaglio informativo disponibile: mentre per le porte COM sui sistemi B&R esiste un'indicazione specifica (sebbene non da un manuale ufficiale) su come configurarle 5, per un controllo granulare delle porte USB (oltre alla disabilitazione dell'avvio) non emergono prove dirette dai materiali forniti che B&R esponga tali opzioni in modo facilmente accessibile sui Panel PC 3100. Ciò potrebbe suggerire che B&R abbia personalizzato l'accesso alle configurazioni del chip Super I/O (per le porte COM, data la loro importanza per alcune periferiche come i touchscreen) ma potrebbe aver lasciato le configurazioni USB più standard o limitate a quelle offerte di base da InsydeH2O, che potrebbero non includere la disabilitazione di singole porte dati. In assenza di opzioni BIOS chiare e documentate per un controllo USB più fine, gli utenti potrebbero dover fare affidamento sulla disabilitazione del boot da USB e su misure di sicurezza implementate a livello di sistema operativo (come policy di gruppo per la gestione dei dispositivi USB in Windows).

Infine, è fondamentale ricordare che anche con tutte le opzioni di disabilitazione offerte dal BIOS, la sicurezza fisica del pannello HMI rimane un complemento cruciale. Se un utente malintenzionato ha accesso fisico prolungato e indisturbato al dispositivo, potrebbe tentare di bypassare le impostazioni del BIOS (ad esempio, tramite un reset del CMOS, sebbene questa operazione sia spesso resa più difficile o protetta sui PC industriali) o di sfruttare porte che non possono essere completamente disabilitate via BIOS (come le porte di alimentazione o di display per attacchi specifici). Le linee guida generali sulla cybersecurity fornite da B&R includono esplicitamente la raccomandazione di "Proteggere i sistemi di controllo dall'accesso fisico da parte di personale non autorizzato".23 Il controllo delle porte I/O nel BIOS è uno strato di sicurezza importante, ma deve essere integrato in una strategia di difesa in profondità che comprenda anche la sicurezza fisica.

## 7. Ulteriori Misure di Rafforzamento della Sicurezza del BIOS (Hardening)

Oltre alla gestione delle password, alla configurazione di Secure Boot, all'utilizzo del TPM e al controllo delle porte I/O, esistono ulteriori misure che possono contribuire a rafforzare la sicurezza del BIOS (hardening) sui pannelli B&R PC HMI 3100.

Aggiornamenti Regolari del BIOS:

Mantenere il firmware del BIOS aggiornato è una delle pratiche di sicurezza più importanti e fondamentali. Gli aggiornamenti del BIOS forniti dal produttore (B&R, in questo caso) possono:

- Correggere vulnerabilità di sicurezza note scoperte nel firmware. Un esempio è la vulnerabilità relativa al TPM menzionata in precedenza, che affliggeva specifiche versioni del BIOS dei sistemi APC3100/PPC3100 e che richiedeva un aggiornamento per la mitigazione.17
- Migliorare la stabilità generale del sistema e la compatibilità con l'hardware.
- Introdurre il supporto per nuovo hardware o nuove funzionalità di sicurezza.6

**Procedura e Precauzioni per l'Aggiornamento del BIOS:**

- **Fonte Affidabile:** Ottenere i file di aggiornamento del BIOS esclusivamente dal sito web ufficiale di B&R Industrial Automation. La pagina del prodotto per il Panel PC 3100 modello 5PPC3100.KBU2-000, ad esempio, fornisce link per il download di "BIOS Upgrade Kabylake-U (APC3100/PPC3100)".1
- **Seguire le Istruzioni:** È cruciale seguire attentamente le istruzioni di aggiornamento fornite da B&R. Documenti relativi all'aggiornamento del BIOS per altri sistemi B&R (come Panel PC 300 e Power Panel, ma la logica è applicabile) contengono avvertenze molto importanti 24:
    - **Annotare le Impostazioni Correnti:** "Scrivere le impostazioni del BIOS prima dell'aggiornamento!" Questo perché, dopo un aggiornamento, le impostazioni del BIOS vengono spesso ripristinate ai valori predefiniti e dovranno essere riconfigurate manualmente.
    - **Non Interrompere il Processo:** "Non interrompere un aggiornamento del BIOS!" Un'interruzione durante il processo di flashing (ad esempio, a causa di un'interruzione di corrente o di un riavvio accidentale) può corrompere il firmware del BIOS, rendendo il dispositivo non avviabile. In tal caso, il pannello potrebbe dover essere inviato a B&R per la riparazione.
    - **Salvataggio del BIOS Esistente:** Alcune procedure di aggiornamento potrebbero offrire l'opzione di salvare una copia del BIOS corrente prima di procedere con l'aggiornamento.24 Se disponibile, questa è una buona pratica.
- **Riconfigurazione Post-Aggiornamento:** Dopo un aggiornamento del BIOS riuscito, è necessario rientrare nell'utility di configurazione del BIOS e verificare tutte le impostazioni, ripristinando quelle personalizzate (specialmente quelle relative alla sicurezza) che potrebbero essere state resettate ai valori predefiniti.24

L'aggiornamento del BIOS, sebbene essenziale, comporta sempre un piccolo rischio intrinseco (interruzione di corrente, file di aggiornamento corrotto, incompatibilità imprevista). Per gli HMI industriali, un aggiornamento fallito può tradursi in un costoso fermo macchina. Questo rischio operativo deve essere attentamente bilanciato con il rischio di sicurezza derivante dal non aggiornare e rimanere esposti a vulnerabilità note. Le aziende dovrebbero implementare procedure rigorose per la gestione degli aggiornamenti del firmware, che potrebbero includere test su sistemi non di produzione (se disponibili), backup completi dei sistemi e piani di ripristino.

Protezione da Modifiche non Autorizzate al BIOS ("BIOS Lock" / "Flash Protection"):

Alcune implementazioni del BIOS InsydeH2O offrono funzionalità specifiche per proteggere il firmware del BIOS da modifiche non autorizzate, anche da parte di software in esecuzione con privilegi elevati all'interno del sistema operativo. Queste funzionalità sono a volte denominate "BIOS Lock", "Flash Protection Range Registers (FPRR)", o simili.20 Se abilitate, impediscono la scrittura (flashing) della memoria flash che contiene il BIOS, a meno che non venga seguita una procedura di sblocco specifica (spesso richiedente l'accesso fisico o una password di supervisore).

- La disponibilità e la configurabilità di tali opzioni sui Panel PC 3100 di B&R non sono esplicitamente confermate dai materiali di ricerca forniti.26 Se presenti, si troverebbero tipicamente nel menu "Security" o in un sottomenu "Advanced" e la loro modifica richiederebbe l'inserimento della Password di Supervisore.
- Queste funzionalità, se disponibili e correttamente configurate, offrono un ulteriore strato di protezione contro tipi di malware persistenti (come i rootkit del firmware) che tentano di infettare o modificare il BIOS per ottenere un controllo duraturo e nascosto del sistema. La mancanza di conferma esplicita sulla presenza e configurabilità di una funzione come "BIOS Lock" sui sistemi B&R Panel PC 3100 merita attenzione. Se tale funzionalità non è implementata o non è esposta all'utente per la configurazione, la protezione contro la modifica non autorizzata del BIOS da parte di malware a livello di sistema operativo si affida principalmente alla sicurezza del sistema operativo stesso e ai controlli degli accessi. Un malware che riuscisse a ottenere privilegi di root o di amministratore sul sistema operativo potrebbe, in assenza di una protezione hardware/firmware specifica, tentare di flashare un BIOS malevolo.

Disabilitazione di funzionalità hardware non utilizzate:

Per ridurre ulteriormente la potenziale superficie di attacco, è consigliabile disabilitare nel BIOS qualsiasi funzionalità hardware che non sia strettamente necessaria per l'applicazione HMI:

- **Intel Virtualization Technology (VT-x, VT-d):** I processori utilizzati nei Panel PC 3100 (come l'Intel Core i5-7300U) supportano le tecnologie di virtualizzazione Intel VT-x (per la virtualizzazione della CPU) e Intel VT-d (per la virtualizzazione dell'I/O diretto).1 Se sull'HMI non vengono utilizzate macchine virtuali o funzionalità che dipendono specificamente da VT-d (come il passthrough di dispositivi PCI a una VM), queste opzioni possono essere disabilitate. Si trovano solitamente nel menu "Advanced", sotto sottomenu come "CPU Configuration" o "Chipset Configuration".
- **Altre funzionalità specifiche:** Valutare la disabilitazione di altre funzionalità del chipset o della CPU che non sono richieste dall'applicazione HMI specifica (ad esempio, alcune interfacce di gestione remota se non utilizzate, o funzionalità di overclocking che sono irrilevanti e potenzialmente destabilizzanti per un HMI).

Best practice: revisione sistematica delle impostazioni del BIOS:

È una buona pratica di sicurezza effettuare una revisione sistematica e periodica di tutte le impostazioni del BIOS, specialmente dopo ogni aggiornamento del firmware, modifica hardware significativa, o se si sospetta un incidente di sicurezza. Questa revisione dovrebbe verificare che tutte le configurazioni di sicurezza desiderate (password, Secure Boot, TPM, controllo porte I/O, ecc.) siano ancora attive e correttamente impostate secondo le policy aziendali.

## 8. Conclusioni e Strategie Riepilogative per la Sicurezza dei Pannelli B&R

La messa in sicurezza dei pannelli B&R PC HMI 3100, dotati di BIOS InsydeH2O, richiede un approccio metodico e una comprensione approfondita delle funzionalità di sicurezza offerte a livello firmware. Sebbene la documentazione specifica di B&R sulle configurazioni di sicurezza avanzate del BIOS possa non essere centralizzata o esaustiva come un manuale dedicato, è possibile, combinando le informazioni disponibili con le best practice generali per i BIOS UEFI InsydeH2O, implementare un solido livello di protezione.

Sintesi delle principali configurazioni di sicurezza del BIOS raccomandate:

Per migliorare la sicurezza dei pannelli B&R PC HMI 3100, si raccomanda di implementare le seguenti configurazioni a livello BIOS:

1. **Gestione delle Password:** Impostare una **Password di Supervisore** robusta e unica per proteggere l'accesso e la modifica delle impostazioni del BIOS. Considerare l'uso di una Password Utente se è necessario impedire l'avvio del sistema operativo a personale non autorizzato.
2. **Secure Boot:** Abilitare la modalità di avvio **UEFI** e successivamente abilitare **Secure Boot**. Utilizzare le policy di fabbrica (chiavi predefinite) a meno che non vi sia una necessità stringente e ben compresa di personalizzare le chiavi (PK, KEK, db, dbx), procedendo in tal caso con estrema cautela.
3. **Trusted Platform Module (TPM 2.0):** Abilitare il **TPM 2.0** seguendo le specifiche indicazioni di B&R (inclusa la disabilitazione di Intel PTT, se necessario).3 Considerare l'utilizzo del TPM in congiunzione con la crittografia dell'intero disco (ad esempio, BitLocker), assicurandosi di gestire in modo impeccabile e sicuro le chiavi di ripristino.
4. **Controllo dell'Avvio e delle Porte I/O:**
    - Disabilitare la possibilità di **avviare il sistema da supporti esterni** non strettamente necessari (come dispositivi USB o eSATA).
    - Configurare o **disabilitare selettivamente le porte I/O** (come porte COM, porte USB dati, controller LAN integrato, controller audio) in base alle effettive necessità dell'applicazione HMI, per ridurre la superficie di attacco.
5. **Aggiornamenti del Firmware:** Mantenere il **firmware del BIOS costantemente aggiornato** all'ultima versione stabile fornita da B&R, seguendo scrupolosamente le procedure di aggiornamento e prendendo le dovute precauzioni per evitare interruzioni durante il processo.
6. **Hardening Aggiuntivo:** Disabilitare funzionalità hardware non utilizzate (come Intel VT-x/VT-d se non richieste) e rivedere periodicamente tutte le impostazioni del BIOS.

Importanza di un approccio olistico e multi-livello alla sicurezza:

È fondamentale comprendere che la sicurezza del BIOS, per quanto critica, è solo uno degli strati di una strategia di difesa in profondità. Per una protezione efficace degli HMI industriali, le misure a livello firmware devono essere integrate e supportate da:

- **Sicurezza del Sistema Operativo:** Hardening del sistema operativo (rimozione di software e servizi non necessari), patching regolare delle vulnerabilità, utilizzo di software antimalware (se appropriato per l'ambiente industriale e il sistema operativo), e configurazione di account utente con privilegi minimi.
- **Sicurezza della Rete:** Segmentazione della rete per isolare i sistemi di controllo industriale (ICS) dalle reti aziendali e da Internet, utilizzo di firewall per controllare il traffico di rete in entrata e in uscita, e implementazione di sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS).23 Le linee guida sulla cybersecurity di B&R per i sistemi di controllo enfatizzano questi aspetti.23
- **Sicurezza Fisica:** Controllo rigoroso dell'accesso fisico ai pannelli HMI e ai quadri di controllo per prevenire manomissioni hardware o accessi non autorizzati al BIOS o alle porte fisiche.23
- **Consapevolezza e Procedure:** Formazione del personale sulle policy di sicurezza e sulle procedure operative sicure. Documenti B&R menzionano la necessità di un "Concetto di sicurezza" e forniscono "Disclaimer sulla cybersecurity", indicando una consapevolezza del rischio che deve essere condivisa con gli utenti.26

La sicurezza degli HMI industriali è una responsabilità condivisa. I fornitori come B&R e Insyde Software hanno la responsabilità di fornire prodotti con funzionalità di sicurezza robuste e di rilasciare aggiornamenti tempestivi per correggere le vulnerabilità. L'utente finale o l'integratore di sistema ha la responsabilità di comprendere, configurare correttamente e mantenere queste funzionalità di sicurezza, nonché di implementare le misure di protezione aggiuntive necessarie a livello di sistema, rete e procedure operative. Le linee guida di B&R 23 incoraggiano esplicitamente gli integratori di sistema e i proprietari degli asset a implementare le misure che ritengono appropriate per il loro specifico ambiente di controllo.

Raccomandazioni Finali:

Si raccomanda vivamente di consultare sempre la documentazione tecnica più recente e gli avvisi di sicurezza forniti da B&R Industrial Automation e da Insyde Software, poiché le funzionalità del BIOS, le vulnerabilità note e le best practice di sicurezza possono evolvere nel tempo. Il panorama delle minacce alla cybersecurity, anche per i sistemi industriali e il firmware, è in continua evoluzione. La vulnerabilità del TPM del 2020 17 e le linee guida NSA del 2021 6 sono esempi di come le conoscenze e le minacce cambino. Pertanto, un approccio "imposta e dimentica" alla sicurezza del BIOS non è sufficiente. È necessaria una vigilanza continua e un adattamento proattivo delle strategie di sicurezza per affrontare le nuove sfide.

Infine, si ricorda che nessuna singola misura o combinazione di misure può garantire una sicurezza assoluta. L'efficacia delle configurazioni del BIOS e delle altre misure di sicurezza dipende dalla loro corretta implementazione e manutenzione continua, nonché dalla postura di sicurezza complessiva dell'organizzazione e dalla consapevolezza dei rischi da parte di tutto il personale coinvolto.



[

![](https://t2.gstatic.com/faviconV2?url=https://icdn.tradew.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

icdn.tradew.com

icdn.tradew.com

Se abre en una ventana nueva](https://icdn.tradew.com/file/201606/1569362/pdf/7466441.pdf)[

![](https://t2.gstatic.com/faviconV2?url=https://www.professormesser.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

professormesser.com

BIOS Security - CompTIA A+ 220-1001 - 3.5 - Professor Messer

Se abre en una ventana nueva](https://www.professormesser.com/professor-messer-archives/220-1001/bios-security-2/)[

![](https://t0.gstatic.com/faviconV2?url=https://appstoragepublicprod.s3-us-west-1.amazonaws.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

appstoragepublicprod.s3-us-west-1.amazonaws.com

Panel PC 3100 panel mount device - AWS

Se abre en una ventana nueva](https://appstoragepublicprod.s3-us-west-1.amazonaws.com/PartAttachment%2F2124585%2FPanelPC3100Built-indevicesuser%27smanual.pdf)[

![](https://t3.gstatic.com/faviconV2?url=https://www.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

br-automation.com

5PPC3100.KBU2-000 - B&R Industrial Automation

Se abre en una ventana nueva](https://www.br-automation.com/en-ca/products/industrial-pcs/panel-pc-3100-multi-touch/system-units/5ppc3100kbu2-000/)[

![](https://t1.gstatic.com/faviconV2?url=https://winraid.level1techs.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

winraid.level1techs.com

[Guide] How to Unlock an InsydeH2O BIOS - Win-Raid Forum

Se abre en una ventana nueva](https://winraid.level1techs.com/t/guide-how-to-unlock-an-insydeh2o-bios/40081)[

![](https://t0.gstatic.com/faviconV2?url=https://www.insyde.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

insyde.com

UEFI & OpenBMC Firmware Products - Insyde Software

Se abre en una ventana nueva](https://www.insyde.com/products/)[

![](https://t3.gstatic.com/faviconV2?url=https://713itsupport.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

713itsupport.com

TECH NOTE: How To Remove A Bios Password From an Insyde H2O EFI BIOS [UPDATED]

Se abre en una ventana nueva](https://713itsupport.com/blog/2012/01/how-to-remove-a-bios-password-from-an-insyde-h2o-efi-bios-updated/)[

![](https://t1.gstatic.com/faviconV2?url=https://kb.igel.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

kb.igel.com

Enabling UEFI Secure Boot in UD6-W10 51 - IGEL Knowledge Base

Se abre en una ventana nueva](https://kb.igel.com/security-safety/current/enabling-uefi-secure-boot-in-ud6-w10-51)[

![](https://t0.gstatic.com/faviconV2?url=https://www.youtube.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

youtube.com

How to Set, Reset and Disable BIOS Password (Complete Tutorial ...

Se abre en una ventana nueva](https://www.youtube.com/watch?v=IsRwZbKl5-k&pp=0gcJCdgAo7VqN5tD)[

![](https://t1.gstatic.com/faviconV2?url=https://kb.igel.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

kb.igel.com

Enabling UEFI Secure Boot in UD2-LX 40 - IGEL Knowledge Base

Se abre en una ventana nueva](https://kb.igel.com/security-safety/current/enabling-uefi-secure-boot-in-ud2-lx-40)[

![](https://t0.gstatic.com/faviconV2?url=https://www.insyde.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

insyde.com

InsydeH2O® UEFI BIOS for Intelligent Client PCs - Insyde Software

Se abre en una ventana nueva](https://www.insyde.com/products/insydeh2o/)[

![](https://t0.gstatic.com/faviconV2?url=https://www.insyde.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

insyde.com

Best Practices for NSA's UEFI Secure Boot Guidelines - Insyde Software

Se abre en una ventana nueva](https://www.insyde.com/wp-content/uploads/INSYDE_NSA_UEFISecurity_Guidelines_REV14APR2021.pdf)[

![](https://t3.gstatic.com/faviconV2?url=https://community.acer.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

community.acer.com

Is there a Tutorial or Manual on how to use the Insydeh20 Setup Utility 5.0 for Aspire R 11 Win 10? - Acer Community

Se abre en una ventana nueva](https://community.acer.com/en/discussion/604304/is-there-a-tutorial-or-manual-on-how-to-use-the-insydeh20-setup-utility-5-0-for-aspire-r-11-win-10)[

![](https://t3.gstatic.com/faviconV2?url=https://pubs.lenovo.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

pubs.lenovo.com

Secure Boot Configuration | UEFI_IOT | Lenovo Docs

Se abre en una ventana nueva](https://pubs.lenovo.com/uefi_iot/secure_boot_config)[

![](https://t0.gstatic.com/faviconV2?url=https://www.youtube.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

youtube.com

Disable secure boot in Acer bios | Acer Laptop | Insyde H2O Bios - YouTube

Se abre en una ventana nueva](https://www.youtube.com/watch?v=4Qkr8aoA0wU&pp=0gcJCdgAo7VqN5tD)[

![](https://t3.gstatic.com/faviconV2?url=https://learn.microsoft.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

learn.microsoft.com

Can Windows Updates Add DBX Keys to Secure Boot Key Management? - Learn Microsoft

Se abre en una ventana nueva](https://learn.microsoft.com/en-us/answers/questions/1426670/can-windows-updates-add-dbx-keys-to-secure-boot-ke)[

![](https://t0.gstatic.com/faviconV2?url=https://www.slideshare.net/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

slideshare.net

Module 5 raw | PDF - SlideShare

Se abre en una ventana nueva](https://www.slideshare.net/slideshow/module-5-raw/238622348)[

![](https://t0.gstatic.com/faviconV2?url=https://www.ibm.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

ibm.com

Support Element 2461-SE4 configuration - IBM

Se abre en una ventana nueva](https://www.ibm.com/docs/en/systems-hardware/zsystems/3932-AGZ?topic=configuration-support-element-2461-se4)[

![](https://t3.gstatic.com/faviconV2?url=https://www.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

br-automation.com

BIOS Upgrade - B&R Industrial Automation

Se abre en una ventana nueva](https://www.br-automation.com/fr-ch/downloads/industrial-pcs-and-panels/panel-pc-300/bios-upgrade-1/)[

![](https://t2.gstatic.com/faviconV2?url=https://www.reddit.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

reddit.com

Unlock Advanced Menu Hidden in BIOS : r/laptops - Reddit

Se abre en una ventana nueva](https://www.reddit.com/r/laptops/comments/tibjy1/unlock_advanced_menu_hidden_in_bios/)[

![](https://t0.gstatic.com/faviconV2?url=https://superuser.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

superuser.com

How to avoid having to re-disable serial ports in bios on restart? [closed] - Super User

Se abre en una ventana nueva](https://superuser.com/questions/1430444/how-to-avoid-having-to-re-disable-serial-ports-in-bios-on-restart)[

![](https://t0.gstatic.com/faviconV2?url=https://www.youtube.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

youtube.com

How to enable or disable these devices in BIOS settings - YouTube

Se abre en una ventana nueva](https://www.youtube.com/watch?v=UcU4oVeudFc)[

![](https://t3.gstatic.com/faviconV2?url=https://www.cyber.gc.ca/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

cyber.gc.ca

[Control systems] B&R Industrial Automation security advisory

Se abre en una ventana nueva](https://www.cyber.gc.ca/en/alerts/control-systems-br-industrial-automation-security-advisory-1)[

![](https://t2.gstatic.com/faviconV2?url=https://community.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

community.br-automation.com

PC3100 + Panel SLD4 but no touch work - Ask Questions - B&R Community

Se abre en una ventana nueva](https://community.br-automation.com/t/pc3100-panel-sld4-but-no-touch-work/4335)[

![](https://t3.gstatic.com/faviconV2?url=https://www.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

br-automation.com

BIOS Upgrade | B&R Industrial Automation

Se abre en una ventana nueva](https://www.br-automation.com/fr-ca/telechargements/industrial-pcs-and-panels/power-panel-100200/bios-upgrade/)[

![](https://t3.gstatic.com/faviconV2?url=https://www.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

br-automation.com

www.br-automation.com

Se abre en una ventana nueva](https://www.br-automation.com/downloads_br_productcatalogue/assets/1587069858896-en-original-1.0.pdf)[

![](https://t1.gstatic.com/faviconV2?url=https://no-cdn.br-automation.com/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

no-cdn.br-automation.com

Panel PC 3100 panel mount device - AWS

Se abre en una ventana nueva](https://no-cdn.br-automation.com/fr-ca/telechargements/?tx_brcdn_downloadlist%5Baction%5D=download&tx_brcdn_downloadlist%5Bcontroller%5D=Download&tx_brcdn_downloadlist%5Bid%5D=DWL%40DWL10000506575%4005&tx_brcdn_downloadlist%5Blang%5D=EN&cHash=f14493560995937715e23fd7724a0cad)[

![](https://t3.gstatic.com/faviconV2?url=https://www.remontservo.ru/&client=BARD&type=FAVICON&size=256&fallback_opts=TYPE,SIZE,URL)

remontservo.ru

Automation PC 4100





](https://www.remontservo.ru/pap/pages/publications/article-618/img-article/MAAPC4100_en-V1.00.pdf)