SETTEMBRE 2015
Fieldbus & Networks
52
Fieldbus & Networks
considerato una ‘best practice’, perché
fornisce un meccanismo in base al quale
l’infrastruttura di rete autorizza il traffico
multicast solo ai dispositivi terminali che
richiedono l’informazione, ovvero i dispo-
sitivi terminali ricevono solo i pacchetti
multicast autorizzati. Questa rappresenta
la soluzione ideale nel caso di sistemi
Ethernet/IP, poiché la maggior parte dei
dati critici viene trasferita tra controllori
e I/O con messaggi in multicast.
Sistemi di controllo
integrati e interconnessi
a livello aziendale
Collegando rete industriale e rete azien-
dale si realizza un sistema di controllo
integrato e interconnesso a livello azien-
dale (si veda Figura 3). Questo tipo di
connettività offre diversi vantaggi, tra
cui l’accesso in tempo reale a servizi e
dati (aziendali e industriali) e l’accesso
da remoto del personale, che consente
di ridurre i costi di trasferta e aumenta
la disponibilità degli esperti in grado
di intervenire tempestivamente su un
problema. Presenta però almeno le
stesse vulnerabilità e rischi delle due
reti precedenti: quando si collega la rete
industriale all’infrastruttura aziendale
aumentano gli accessi a Internet e con
essi la probabilità di attacchi di virus,
worn e trojan provenienti da posta elet-
tronica o siti Internet. Inoltre, aumenta
la possibilità che altri tipi di traffico
malevoli o indesiderati attraversino la
connessione della rete industriale e in-
terferiscano con le operazioni di produ-
zione e controllo.
Un incidente a livello della rete indu-
striale, poi, può propagarsi alla rete
aziendale e viceversa. Si raccomanda
per questo di realizzare un’infrastruttura
che presenti una netta segmentazione
fra rete aziendale e industriale, e la
costituzione di una zona demilitarizzata
(DMZ), separata dalla rete industriale o
aziendale, in cui sia possibile condividere
dati e servizi e tale per cui sia consentito
il traffico tra rete aziendale e zona DMZ
e tra Internet e zona DMZ, ma non diret-
tamente tra azienda e Internet. Inoltre, è
utile sviluppare tecniche e servizi per fa-
vorire l’accesso remoto; la duplicazione o
la collocazione di servizi critici nelle reti
industriali (active directory server, Dhcp
ecc.); una buona gestione degli accessi
per salvaguardare la riservatezza dei dati
aziendali e proteggere la proprietà intel-
lettuale e i dati sensibili.
Un sistema di controllo integrato e in-
terconnesso a livello aziendale è anche
soggetto a continue modifiche, per cui
si raccomandano controlli periodici, per
escludere la possibilità che le modifiche
introdotte riducano il livello di sicurezza.
I sistemi di rilevamento delle intrusioni
permettono di rilevare minacce alla ri-
servatezza, all’integrità o alla disponibi-
lità della rete, o di una risorsa, tramite
l’analisi dei file di registro o del flusso
dei pacchetti di rete, per identificare
pattern di traffico o dati applicativi so-
spetti, oppure confrontare il traffico con
la normale attività rilevando le anoma-
lie. Si raccomanda anche l’uso di Vlan di
segmentazione per limitare l’accesso da
remoto ai dispositivi collegati in rete; il
controllo del software utilizzato; il con-
trollo o la limitazione delle autorizzazioni
e la verifica delle attività del personale
in remoto. Nel caso di punti di accesso
wireless (wi-fi) si raccomanda l’utilizzo
del sistema WPA2 (802.11i). Lo standard
IEEE 802.1X per il controllo degli accessi
alla rete fornisce un meccanismo di au-
tenticazione per i dispositivi che vogliono
collegarsi alla rete LAN e determina una
connessione, o la blocca in base all’esito
dell’autenticazione. Altre best practice
includono l’autenticazione e la cripta-
zione/codifica dei dati; il rilevamento dei
dispositivi e dei punti di accesso ‘rogue’
(non autorizzati), che possono causare
danni irreversibili, con conseguenze sulla
divulgazione della proprietà intellettuale;
la disabilitazione delle trasmissioni Ssid,
per impedire che i punti di accesso wi-
reless trasmettano automaticamente il
proprio identificativo di rete.
La soluzione sta nel
mezzo…
Le tecnologie di sicurezza sono in conti-
nua evoluzione per tenere il passo con lo
sviluppo di computer e reti, ma soprat-
tutto con l’evoluzione delle minacce alla
sicurezza: le soluzioni emergenti per la
sicurezza delle reti di controllo si basano
sull’utilizzo di sistemi operativi avanzati
come SELinux, di tecniche di biometria
per l’autenticazione basata sulle carat-
teristiche fisiche individuali (scansione
della retina o delle impronte digitali o
riconoscimento vocale), di tecnologie di
controllo e protezione degli accessi alla
rete (NAC e NAP).
Riservatezza, autenticazione e integrità
sono i fondamenti della sicurezza per
tutti i sistemi di controllo e automazione
industriale e non esiste un’unica solu-
zione adatta a tutti, né è sufficiente ricor-
rere alla tecnologia più all’avanguardia o
più costosa. Si tratta piuttosto di valutare
rischi e costi, perché oggi progettare la
sicurezza significa minimizzare le mi-
nacce traendo il massimo vantaggio.
Odva -
www.odva.orgFigura 3 - Sistemi di controllo integrati e interconnessi a livello aziendale (
fonte Odva
)