OTTOBRE 2014
AUTOMAZIONE OGGI 376
34
AO
PANORAMA
attraverso cui applicare gli attacchi. È una
tendenza sempre più diffusa nel mondo
industriale quella di estendere la pervasività
delle reti informatiche a tutti i livelli aziendali,
da quello di produzione a quello strategico,
assicurandounaccesso immediatoper il per-
sonale alle informazioni e alle applicazioni
essenziali, oltre che il collegamento tra i si-
stemi e il controllo integrato dei processi. Le
reti industriali e i loro sistemi sono progettati
tipicamente per fornire gestibilità e controllo
con la massima affidabilità, tuttavia non
sempre sono pronti per un’efficace gestione
delle minacce provenienti da reti esterne o
interne. L’integrazione dei sistemi basati su
IP con quelli industriali tradizionali richiede
l’installazione di soluzioni di sicurezza di rete
ad hoc, per rispondere alle esigenze di am-
bienti che spesso sono caratterizzati da con-
dizioni non compatibili con i tipici strumenti
di salvaguardia della sicurezza impiegati in
ambito IT. L’estensione dell’ICT all’area in-
dustriale apporta vantaggi irrinunciabili, ma
tale processo dovrebbe essere affrontato
con la dovuta attenzione. Sorvolando pure
sulle questioni di carattere infrastrutturale,
che devono tenere in considerazione la spe-
cifica architettura dei sistemi, la vera sfidaper
le organizzazioni sta nella determinazione di
un livello di affidabilità degli apparati pari al
100% ottenendo al contempo la protezione
completa dalle minacce e mantenendo un
adeguato compromesso tra gestibilità, costi
ed efficacia. Il mantenimento dei livelli di
affidabilità target non è sempre un’impresa
semplice a causa di numerosi fattori, come
l’uso di protocolli di comunicazione aperti,
la permanente esposizione degli apparati
a causa della gestione realtime attraverso
WAN, l’obsolescenza dei dispositivi non più
compatibili con i più evoluti software di sicu-
rezza, l’utilizzo di sistemi e apparecchiature
industriali non progettati per la gestione
della sicurezza di rete e il controllo da re-
moto. Alcune tendenze, inoltre, rendono
ancora più difficile il mantenimento del ne-
cessario livello di sicurezza, per esempio la
veloce evoluzione delle minace e dei target
da parte degli hacker, che negli ultimi anni
hanno dimostrato di poter aggredire anche
ambienti apparentemente impenetrabili,
così come l’inarrestabile esposizione a In-
ternet, facilitata dalla diffusione di soluzioni
mobili che aumentano i potenziali veicoli di
accesso e il numero stesso degli accessi.
Trade off
La scelta della soluzione ottimale dal punto
di vista dei costi dovrebbe considerare alcuni
aspetti, inprimo luogo il fattoche il personale
delle organizzazioni deve essere in grado di
effettuare il deployment dei sistemi attra-
verso dispositivi semplici da installare e ap-
parati preconfigurati. La gestione dovrebbe
poi poter essere eseguita completamente
da remoto per più dispositivi contempo-
raneamente, semplificando le operazioni
per le organizzazioni distribuite su più siti.
Una gestione centralizzata costituisce un
fattore cruciale per ridurre i costi, offrendo
numerosi vantaggi, come la coerenza di
configurazione, la riduzione degli errori in-
trodotti da attività eseguite manualmente e
la riduzione dei tempi di set up per far fronte
a nuove minacce. Il controllo remoto riduce
inoltre i periodi di vulnerabilità, favorendo
la conformità alle practice e alle normative
di sicurezza, la gestione degli eventi coordi-
nati, l’analisi e il reporting consolidato. Infine,
è preferibile scegliere una soluzione di sicu-
rezza ‘all in one’ che includa più funzioni di
sicurezza per tutti i dispositivi installati.
Requisiti funzionali di base
Quali sono dunque i requisiti funzionali di
base che un’implementazione dovrebbe
rispettare per assicurare gli standard di sicu-
rezza? Innanzitutto, l’affidabilità deve essere
senza compromessi. Data la natura degli am-
bienti industriali è essenziale per i dispositivi
di sicurezza rispettare una progettazione
robusta e capace di adattarsi alle condizioni
di operatività tipiche dell’ambito manifattu-
riero, ossia in presenza di polveri, tempera-
ture estreme, umidità, vibrazioni. I dispositivi
devono essere durevoli, quindi avere indici
di Mtbf (Mean Time Between Failure) estre-
mamente elevati, e le parti in movimento,
come ventole e hard disk, dovrebbero es-
sere limitate. Da una prospettiva di rete, poi,
l’affidabilità è fondamentale. Pertanto i di-
spositivi di sicurezza dovrebbero presentare
caratteristiche di alta disponibilità e ridon-
danza, come failover attivo-attivo o attivo-
passivo a un secondodel dispositivo, routing
dinamico, dial-up di backup e interfacce
WAN ridondanti per stabilire percorsi alter-
nativi. La pervasività delleminacce, la natura
business critical della produzione o le reti
mission critical distribuite dovrebberodeter-
minare scelte che includano funzionalità di
sicurezza integrata. Pertanto, alcuni aspetti
riguardanti la sicurezza sono da considerare
essenziali, come: firewall multilayer, in grado
di effettuare un controllo degli accessi su
tutta la rete; filtraggio attraverso ‘white list’,
che assicurino la verifica e la prevenzione
delle intrusioni; interruzioni del servizio per
accessi non consentiti; gateway antivirus,
anti malware e anti spyware per impianti
con accesso diretto alla rete Internet; VPN
(Virtual Private Network) con standard di
criptografia e opzioni di identificazione. Un
altro capitolo relativo alle funzionalità di
base riguarda l’efficienza ed efficacia della
gestione dei sistemi. Una buona gestione in-
tegrata dovrebbe comprendere l’impiego di
interfacce intuitive e semplici da usare, mo-
nitoring realtime e troubleshoting, logging e
reporting globale, interfacce di gestione re-
mota, omogeneità dei dispositivi e upgrade
automatici. La compatibilità costituisce, in-
fine, un aspetto da non trascurare durante
tutto il ciclo di vita dei sistemi. avendo effetti
diretti da una prospettiva sia sistemica, sia
economica. Soluzioni di sicurezza industriali
dovrebbero infatti poter essere installate in
qualsiasi configurazione di rete senza richie-
dere modifiche sostanziali alle infrastrutture
esistenti.
Schneider Electric -
Mitsubishi Electric -
it3a.mitsubishielectric.com/fa/it
