MAGGIO 2014
FIELDBUS & NETWORKS
55
di automazione’, così definite, avranno
accesso regolamentato da firewall le cui
regole saranno opportunamente orga-
nizzate (IP filtering, MAC filtering, NAT
ecc.). L’OEM che si collega dall’esterno
non dovrà più essere libero di girovagare
per la rete di stabilimento, ma dovrà
essere identificato e indirizzato univo-
camente alla propria cella di automa-
zione di pertinenza, secondo un percorso
guidato e sicuro. Un’architettura sicura
dovrebbe quindi essere segmentata in
tre ‘macro zone’: ‘trusted’, ‘untrusted’ e
DMZ (DeMilitarizzata).
Siemens Industry vanta soluzioni ad hoc
nel proprio product portfolio già da parec-
chio tempo: la serie di componenti di rete
Scalance-S è stata la prima ad avere ot-
tenuto la certificazione Achilles Livello 2
ed è la punta di diamante di Siemens per
quanto riguarda il tema della sicurezza IT
industriale. E per quanto riguarda il tema
antivirus? È impensabile che i prodotti
office, così come sono stati concepiti,
possano essere utilizzati in stabilimento:
vi immaginate una scansione su un PC
che controlla un processo critico sche-
dulata alla tal ora del tal giorno? Cosa
succederebbe alle prestazioni di quel PC?
E l’aggiornamento del database delle de-
finizioni: via Internet? Le più importanti
aziende che operano nel settore lo hanno
capito e stanno sviluppando software
antivirus ‘fabbrica compatibili’.
Molto efficaci e d’impatto irrisorio sulle
prestazioni PC sono i classici software
che lavorano sul concetto ‘whitelisting’,
che di fatto è il concetto contrario al
classico antivirus: offrono protezione da
quello che non deve essere eseguito,
semplicemente consentendo l’esecu-
zione del solo codice autorizzato. A PC
pronto per essere messo in servizio, il
software di whitelisting esegue una
scansione del sistema e ne ‘certifica’ il
codice eseguibile (.dll, .exe ecc.) rica-
vandosi una ‘fingerprint’ della scansione
stessa. Da quel momento in poi tutto il
codice installato a posteriori sarà inibito
dall’essere eseguito e per ogni tentativo
di esecuzione effettuato, ne resterà evi-
denza nel registro degli eventi.
Ultimo aspetto da non sottovalutare sono
gli aggiornamenti del sistema operativo
fini alla sicurezza e che, normalmente,
prevedono operazione di reboot della
macchina e che, anche in questo caso,
poco vanno d’accordo con il concetto di
realtà produttiva. E qui gioca un attento
e preciso inventario delle versioni soft-
ware installate in stabilimento, sia dei
software di automazione industriale,
sia dei sistemi operativi sui quali girano,
spesso difficile da mappare per la grande
eterogeneità degli OEM di riferimento.
Vita difficile, dunque, per l’IT manager
che, una volta chiara la situazione di
questo o quell’impianto, dovrà pianifi-
care con il responsabile di produzione
un fermo macchina o approfittare di uno
previsto per la manutenzione preventiva.
Fuori dal mondo Windows
Il mondo automazione, infine, non tutto è
Windows based. Siemens Industry ne è
consapevole, così a livello
HMI vanta un sistema
Scada appositamente con-
cepito per la supervisione
di architetture fortemente
distribuite, quali utility,
gestione acqua, trasporto
energia ecc.; WinCC OA
(dove OA sta per Open
Architecture) è uno Scada
Multiplatform: non solo
Windows, ma anche Linux
e Sun Solaris. Un efficace
ed efficiente sistema di disaster reco-
very, la comunicazione tra client/server
con protocollo criptato ‘Secured by Ke-
beros’ e la certificazione SIL3 ne fanno
lo Scada ideale per l’utilizzo in infrastrut-
ture critiche.
Ne sanno qualcosa in Svizzera, visto che
WinCC OA è stato scelto come sistema
di supervisione del Base Tunnel del San
Gottardo, che con i suoi 56,8 km colle-
gherà le città di Erstfeld e Bodio e sarà
aperto al traffico ferroviario nel 2017.
Siemens -
Tipica topologia di un’infrastruttura di rete aziendale
L’approccio ‘Defense in Depth’ prevede la predisposizione di architetture di rete a
compartimenti stagni, con ‘celle di automazione’ separate dal resto della rete
Fonte: www.volico.com
