OTTOBRE 2014
AUTOMAZIONE OGGI 376
74
AO
Tavola rotonda
fornitori delle stesse, le distanze si riducono enormemente sino
a quasi annullarsi. Anche la possibilità di acquisire una buona
competenza tecnica è poco diversa: imponente è stato infatti lo
sforzo di diffusione dei concetti della security industriale svolto
negli ultimi anni da parte di aziende fornitrici, di consorzi, enti e
associazioni con innumerevoli interventi in convegni, seminari
e workshop che andavano a rispondere alla ‘sete di conoscenza’
presente sul mercato. Da questo punto di vista, forse, negli ultimi
anni, anche a livello di riviste tecniche si è probabilmente disqui-
sito più di security che di safety.
Carlucci:
La sicurezza per l’automazione e la cybersecurity non
sonoaffatto separatedaunabisso: sono semprepiùdue elementi
che si integrano a vicenda anche se ognuna di esse conserva ca-
ratteristiche specifiche. In un contesto in cui sempre più elementi
dei processi industriali - uno per tutti, il PLC - comunicano con lo
standard IP scambiando dati
con una rete industriale o con
la rete aziendale, è necessario
affrontare in modo olistico la
sicurezza fisica e logica.
Candian:
Nello stabilire i con-
cetti di sicurezza, la situazione
nell’ambiente di automazione
sembramolto diversa da quella
in ufficio. Le reti di protezione
nell’automazione presentano
un’enorme sfida, perché si
entra in conflitto con altri requi-
siti importanti come la capacità
di performance, la disponibilità e facilità d’impiego. Inoltre, ga-
rantire una rete o sistema sicuro richiede una costante attenzione
ai dettagli e possibili adattamenti, il lavoro non termina con una
semplice installazione, come nel caso di un normale sistema di
automazione. Anche dopo il collaudo, le minacce devono essere
valutate e le risposte fornite con adattamenti e aggiornamenti, se
necessario, per garantire che il sistema rimanga sicuro.
A.O.: Analizzando i dati relativi a incidenti su reti e sistemi di
fabbrica si è notato che i due terzi degli incidenti viene gene-
rato dall’esterno. A tal proposito gli americani avevano pub-
blicato un documento ‘21 step to improve cyber security of
Scada networks’. Cosa ne pensate?
Villa:
Lo ritengo un documento interessante, più che per i conte-
nuti tecnici, a mio avviso pochi, per la volontà di sensibilizzare il
mondo dell’automazione sul tema suggerendo le domande alle
quali bisogna trovare risposta per realizzare un sistema sicuro.
Esposito:
Il fatto che i due terzi degli incidenti sia dovuto ad ac-
cessi da esterno/remoto non sorprende se si pensa alla quantità
di persone che può potenzialmente accedere a una rete da una
porta locale non adeguatamente protetta (i soli operatori che
hanno accesso fisico al luogo) e alla quantità di persone che pos-
sono invece potenzialmente accedere alla rete da remoto per
magari un collegamentoa Internet nonadeguatamenteprotetto.
Il documento citato si riferisce in particolare a reti che includono
dispositivi Scada (le cosiddette ‘ScadaNetwork’) utilizzatenell’am-
bito della gestione delle infrastrutture di servizi essenziali (distri-
buzione energetica, distribuzione e depurazione delle acque,
automazione di mezzi di trasporto….) e ha quindi una visione
precisa e che non sempre collima con le specificità di una solu-
zione di automazione industriale più puramente produttiva. No-
nostante questo aspetto, l’approccio suddiviso in aspetti tecnici
legati specificatamente al prodotto (in questo caso lo Scada) e in
aspetti gestionali/organizzativi maggiormente incentrati su una
politica globale di management della security può costituire una
valida guida per applicazioni più generali.
A.O.: In poche parole quindi qual è l’elemento che ogni
azienda deve considerare al fine di non essere ‘vulnerabile’ e
quale la stima del rischio?
Esposito:
L’aspetto chiave
è quello di non fornire punti
di accesso al network non
adeguatamente protetti in
funzione delle modalità di
strutturazione e configura-
zione di rete. Quando esiste
solo un possibile accesso da
locale bisognerebbe prestare
attenzione a porte libere in
quanto magari in esubero
rispetto alle necessità specifi-
che dell’applicazione su com-
ponentistica utilizzata. Anche
la settorializzazione delle zone di accesso con un’adeguata poli-
tica di User Account può limitare gli accessi indesiderati alle aree
a maggior rischio. Negli accessi da remoto (teleassistenza, tele-
controllo, cloud) è fondamentale definire adeguate politiche di
accesso e proteggere i dati scambiati qualora gli stessi debbano
attraversare delle reti esterne delle quali non si ha certezza circa
un adeguato livello di security. Qualora infine siano presenti in-
frastrutture di rete anche per comunicazioni di tipo wireless, si
dovranno prendere opportune precauzioni al fine di impedire
accoppiamenti di dispositivi esterni alla rete o di acquisizione
fraudolenta dei dati scambiati.
A.O.: Quale la competenza che deve essere fornita per far
fronte ad attacchi?
Esposito:
Fondamentale la conoscenza dettagliata delle po-
tenzialità tecniche dei dispositivi, dei protocolli e delle soluzioni
utilizzate al fine di poter valutare appieno le modalità di scam-
bio dati e di accesso ai dispositivi o alla rete nella propria inte-
rezza. Solo in questomodo è possibile identificare eventuali falle
nel sistema attraverso le quali vi è il pericolo di subire accessi
fraudolenti potenzialmente rischiosi o dannosi per la propria
applicazione. Altrettando fondamentale è ovviamente la com-
petenza necessaria per utilizzare quelle soluzioni tecnologiche
disponibili sul mercato che consentono di rispondere in modo
adeguato ai rischi presenti.
Foto tratte da http://pixabay.com/
