AS_06_2020
Automazione e Strumentazione Settembre 2020 CYBER-SECURITY approfondimenti 55 Due mondi in contatto La maggior parte dell’infrastruttura di rete viene di solito gestita e mantenuta direttamente dal reparto IT dell’azienda, che spesso si interfaccia coi colleghi della IT-Security per tutte le esi- genze di protezione. Quasi sempre però la parte ‘più profonda’ della rete, quella di fabbrica , la parte OT, vive di pro- cessi e procedure differenti, e viene gestita da persone differenti. Qui la maggiore preoccupa- zione è seguire la produzione e fare in modo che impianti e macchinari funzionino e producano. Ecco quindi perché nasce la necessità di ‘difendere’ dal rischio informatico in modo semplice ma effi- cace alcuni dei sistemi più importanti presenti in fabbrica: i PLC e gli HMI/Scada che li gestiscono. Ci si potrebbe chiedere se è necessario difendere anche dispositivi che non sono connessi a Inter- net. Attenzione! Molti casi che abbiamo visto in questi ultimi anni ci hanno confermato che spesso la connessione c’è , anche se non è censita/dichia- rata: spesso i PC HMI/Scada e i PLC sono o sulla stessa rete fisica o su una sottorete che poi fa con- fluire dati e informazioni ad altri PC o server che appartengono alla rete enterprise. Aprire le porte (in sicurezza) Sempre più spesso, per consentire a tecnici e manager di visualizzare da remoto i dati di produzione e per abilitare la manutenzione a distanza, vengono stabilite connessioni tra i sistemi di fabbrica e il mondo esterno. Standard industriali, come ad esempio la IEC62443 , predicano la segmentazione della rete di fabbrica in zone, onde permettere even- tuali contenimenti di infezioni e segregazione di asset critici da difendere. Ecco allora perché sono benvenuti (e attesi) dagli addetti ai lavori quei dispositivi e tool che, come detto, siano semplici da installare e configu- rare e al tempo stesso efficaci per una protezione ‘locale’ del pezzo di rete che vogliamo difendere, possibilmente appositamente studiati per lo scopo. Una soluzione pronta all’uso ScadaFuse di Bayshore Network nasce per que- sto: proteggere i PLC in un’applicazione Scada/ PLC in rete. Si tratta di un dispositivo facile da installare: basta posizionarlo a valle o a monte dello switch al quale è o sono collegati i PLC. Ma è anche facile da configurare: conosce i pro- tocolli utilizzati dai PLC, apprende da solo le connessioni ed il traffico tra PLC e PLC e tra PLC e PC/HMI/Scada. Una volta ‘auto-istruito’ inizia a segnalare se c’è qualcosa di sospetto da bloccare, evitando malfunzionamenti dovuti a incidenti informatici. ScadaFuse per iFix è una versione di Scada- Fuse pensata per uno dei più importanti sistemi Scada/HMI del mercato. In modo analogo alla sua variante general purpose, permette di pro- teggere le comunicazioni tra i diversi nodi Scada in rete, ma è pensato appositamente per HMI/ Scada Proficy iFix di GE Digital : riconosce automaticamente i sei protocolli utilizzati da iFix per le comunicazioni tra nodi Scada e nodi View e, come il prodotto per le comunicazioni tra PLC e HMI/Scada, protegge la rete dei nodi Scada da traffico malevolo che potrebbe portare ad inter- ruzioni operative. Nella υ figura 3 , si vede uno schema di rete con protezione perimetrale e protezione ‘in depth’ con ScadaFuse. Il sistema ScadaFuse è una soluzione ottimale per system integrator e costruttori di impianti/ macchine (OEM) che si trovino nella condizione di dover fornire un sistema basato su PLC/Scada laddove venga chiesto dall’utente finale di con- nettere il sistema ad una rete di fabbrica o rete aziendale preesistente : si controlla infatti il traf- fico tra i PC nodi HMI/Scada basati su iFix e tutto il traffico tra PLC e tra PLC e nodi HMI/Scada, lasciando fuori da questa ‘sottorete’ tutto il traf- fico non di pertinenza del sistema fornito. In questo modo è possibile continuare a garan- tire l’integrità delle comunicazioni in rete e la protezione da rischi e intrusioni di questa porzione di rete. Figura 3 - ScadaFuse, che è distribuita in Italia da Servitecno, è una soluzione che analizza i collegamenti e apprende in modo automatico la topologia delle connessioni, consentendo di monitorare e proteggere le reti industriali. ScadaFuse per iFix è la versione appositamente pensata per HMI/Scada Proficy iFix di GE Digital
Made with FlippingBook
RkJQdWJsaXNoZXIy MTg0NzE=