SETTEMBRE 2015
Fieldbus & Networks
51
Nello specifico, la categoria più semplice
di reti industriali è la rete di controllo
isolata con un unico controllore (si veda
Figura 1): si tratta di un sistema di ridotte
dimensioni e isolato dalla rete aziendale,
quindi i rischi a esso associati sono limi-
tati. In ogni caso, le conseguenze degli
eventuali incidenti si limitano all’am-
bito della rete industriale. Solo chi è a
contatto diretto con la rete può rappre-
sentare una minaccia e tipicamente le
maggiori fonti di rischio, in questo caso,
sono laptop, chiavette USB o altri dispo-
sitivi infetti, collegati alla rete o a un
PC sulla rete. Si raccomanda perciò agli
utenti di eseguire la scansione di tutti i
dispositivi prima di collegarli al sistema.
Un’altra possibile minaccia è rappresen-
tata dalla manipolazione del codice del
controllore, con possibili ricadute sulla
salute, sulla sicurezza o sull’ambiente.
Per questo si suggerisce agli utenti di
eseguire il back up delle configurazioni
contenute nel codice.
Una valida soluzione per migliorare la
sicurezza della rete è fornita dall’uti-
lizzo di switch gestiti che, sebbene non
indispensabili per questo tipo di rete,
possono essere configurati per limitare
il traffico su ogni porta. Si suggerisce di
disabilitare le porte dello switch che non
vengono utilizzate regolarmente, per im-
pedire connessioni indesiderate alla rete
industriale. Per quanto concerne la ma-
nutenzione, se essa avviene localmente,
si considera ancora la rete come isolata;
al contrario, se la manutenzione avviene
da remoto, la rete è da considerarsi con-
nessa, quindi è necessario rispettare le
misure di protezione descritte per l’ac-
cesso remoto nei sistemi di controllo
integrati e interconnessi a livello azien-
dale. Nel progettare la sicurezza bisogna
tenere conto anche delle potenziali mi-
nacce derivanti dai dispositivi terminali:
se la rete industriale include dispositivi
che utilizzano un sistema operativo stan-
dard, come Windows, questi saranno
soggetti a tutte le potenziali minacce che
riguardano un PC. Si raccomanda quindi
di installare gli antivirus, prevederne
l’aggiornamento nelle fasi di manuten-
zione e limitare l’accesso a Internet o
alla rete dei dispositivi terminali dell’am-
biente produttivo. Fortunatamente, molti
sistemi embedded, quali PLC/PAC o I/O
remoti, come per esempio quelli Ether-
net/IP, utilizzano altri sistemi operativi,
perciò presentano meno rischi.
Il monitoraggio della rete e la gestione
delle applicazioni svolgono un ruolo
chiave nella strategia di sicurezza dei si-
stemi di automazione e controllo, perché
permettono di riconoscere e affrontare
gli attacchi o le violazioni. È importante
impostare delle soglie nei dispositivi ter-
minali e nei controllori per avvisare gli
operatori in presenza di un numero ec-
cessivo di errori nei pacchetti, o di ano-
malie che possono essere il sintomo di
attività sospette. Un’altra ‘best practice’,
ereditata dal mondo IT, è quella di utiliz-
zare un accesso criptato all’infrastruttura
di rete (protocolli Snmp v3, SSH e https),
abbinato a misure di autenticazione e
autorizzazione all’accesso.
Il caso di una rete isolata
con più controllori
Le reti industriali isolate dalla rete
aziendale con più di un controllore sono
configurate tipicamente secondo un’ar-
chitettura multistrato, che utilizza switch
gestiti e reti Vlan (si veda Figura 2). La
tecnologia Vlan consente di creare reti
logicamente indipendenti, interconnesse
tramite switch facilmente configurabili
via software. All’interno di una stessa
rete industriale è possibile associare i
diversi controllori a reti Vlan distinte, per
migliorare le prestazioni e la disponibilità
del sistema e separare il traffico tra i di-
spositivi riducendo gli effetti di attacchi,
virus e minacce grazie alla segmenta-
zione. Questo tipo di rete industriale ha
in comune con la precedente tipologia
il tipo di minacce possibili (rischi dovuti
a PC infetti e manipolazione del codice
del controllore), ma gli effetti in questo
caso interessano ben più della sola area
locale, perché è possibile che un inci-
dente si propaghi anche a dispositivi su
reti Vlan diverse. Si raccomanda come
‘best practice’ di attivare la funzionalità
QoS (Qualità del Servizio), con la quale,
assegnando una priorità ai pacchetti, si
assicura che il traffico di pacchetti ad
alta priorità avvenga correttamente. Si
raccomanda inoltre l’implementazione
di soluzioni in grado di garantire la resi-
lienza delle reti Ethernet/IP, che devono
essere altamente affidabili e continuare
a funzionare anche in condizioni ambien-
tali estreme e in presenza di guasti, per
esempio utilizzando la ridondanza. Que-
sto significa che, quando un percorso di
rete non è più disponibile, si passa a uti-
lizzare un percorso di back up sulla base
di protocolli standard aperti Ieee 802.1D
(STP, Spanning Tree Protocol) o Ieee
802.1W (RTP, Rapid STP).
Le applicazioni industriali richiedono so-
litamente tempi rapidi di ripristino della
comunicazione, per cui molti costruttori
di switch Ethernet industriali hanno svi-
luppato protocolli, quali l’anello a livello
di dispositivi (DLR o Device Level Ring),
in grado di fornire tempi di ripristino
della rete dell’ordine dei millisecondi,
nel caso di reti con oltre 100 dispositivi.
Anche l’impiego del protocollo Igmp (In-
ternet group management protocol) è
Figura 1 - Rete isolata con un unico
controllore (
fonte Odva
)
Figura 2 - Rete isolata con più controllori (
fonte Odva
)