AO_407
I dispositivi che realizzano le reti più vicine al campo, anche quando si appoggiano alle tecnologie informatiche main- stream per la loro connettività, rimangono oggetti ‘opachi’, per i quali è difficile reperire infor- mazioni relative alle vulnerabi- lità e ai rimedi da applicare. Chi gestisce la sicurezza di un im- pianto industriale deve spesso consultare manualmente una molteplicità di fonti (i bollettini di sicurezza del produttore del sistema operativo, le pagine re- lative alla sicurezza dei produt- tori dei dispositivi, le notifiche di ICS-Cert e degli istituti nazio- nali che tengono traccia delle vulnerabilità critiche ecc.), per identificare potenziali problemi e possibili rimedi e comunicarli ai tecnici sul campo per la veri- fica e l’eventuale applicazione di contromisure. Non tutte le aziende dispongono di personale dedicato a questo tipo di compiti, con la conseguenza che molti impianti continuano a esporre nodi con vulnerabilità note e non sanate per molto tempo dopo che sono state rese pubbliche. Un approccio coordinato Per limitare rischi di questo tipo è necessario creare un processo automatizzato che tenga traccia delle vulnerabilità di tutti i com- ponenti del sistema di controllo, in particolare di quelli apparte- nenti ai livelli più bassi, così che sia sempre possibile sapere se una data vulnerabilità sia stata eliminata o mitigata o, in caso contrario, come procedere e quanto tempo occorra per mettere in sicurezza un determinato dispositivo o la porzione di rete di cui fa parte. Considerando i potenziali effetti deleteri di un incidente indu- striale, il concetto di cyber-security applicato a un ICS è tipica- mente più esteso di quello di un sistema informatico tradizionale, e si articola su livelli multipli che vanno ben oltre la gestione degli asset e delle patch. Al fine di garantire una protezione onnicom- prensiva che attraversi tutte le aree di rischio, vengono inclusi GIUGNO-LUGLIO 2018 AUTOMAZIONE OGGI 407 119 Le diverse parti dello standard IEC 62443 Illustrazione di quattro dei sei passi della realizzazione di una ‘difesa in profondità’: 2) Separazione delle reti; 3) Protezione del perimetro; 4) Segmentazione di rete; 5) Blindatura dei dispositivi Foto tratta da Schneider Electric
Made with FlippingBook
RkJQdWJsaXNoZXIy MTg0NzE=