SETTEMBRE 2015

Fieldbus & Networks

52

Fieldbus & Networks

considerato una ‘best practice’, perché

fornisce un meccanismo in base al quale

l’infrastruttura di rete autorizza il traffico

multicast solo ai dispositivi terminali che

richiedono l’informazione, ovvero i dispo-

sitivi terminali ricevono solo i pacchetti

multicast autorizzati. Questa rappresenta

la soluzione ideale nel caso di sistemi

Ethernet/IP, poiché la maggior parte dei

dati critici viene trasferita tra controllori

e I/O con messaggi in multicast.

Sistemi di controllo

integrati e interconnessi

a livello aziendale

Collegando rete industriale e rete azien-

dale si realizza un sistema di controllo

integrato e interconnesso a livello azien-

dale (si veda Figura 3). Questo tipo di

connettività offre diversi vantaggi, tra

cui l’accesso in tempo reale a servizi e

dati (aziendali e industriali) e l’accesso

da remoto del personale, che consente

di ridurre i costi di trasferta e aumenta

la disponibilità degli esperti in grado

di intervenire tempestivamente su un

problema. Presenta però almeno le

stesse vulnerabilità e rischi delle due

reti precedenti: quando si collega la rete

industriale all’infrastruttura aziendale

aumentano gli accessi a Internet e con

essi la probabilità di attacchi di virus,

worn e trojan provenienti da posta elet-

tronica o siti Internet. Inoltre, aumenta

la possibilità che altri tipi di traffico

malevoli o indesiderati attraversino la

connessione della rete industriale e in-

terferiscano con le operazioni di produ-

zione e controllo.

Un incidente a livello della rete indu-

striale, poi, può propagarsi alla rete

aziendale e viceversa. Si raccomanda

per questo di realizzare un’infrastruttura

che presenti una netta segmentazione

fra rete aziendale e industriale, e la

costituzione di una zona demilitarizzata

(DMZ), separata dalla rete industriale o

aziendale, in cui sia possibile condividere

dati e servizi e tale per cui sia consentito

il traffico tra rete aziendale e zona DMZ

e tra Internet e zona DMZ, ma non diret-

tamente tra azienda e Internet. Inoltre, è

utile sviluppare tecniche e servizi per fa-

vorire l’accesso remoto; la duplicazione o

la collocazione di servizi critici nelle reti

industriali (active directory server, Dhcp

ecc.); una buona gestione degli accessi

per salvaguardare la riservatezza dei dati

aziendali e proteggere la proprietà intel-

lettuale e i dati sensibili.

Un sistema di controllo integrato e in-

terconnesso a livello aziendale è anche

soggetto a continue modifiche, per cui

si raccomandano controlli periodici, per

escludere la possibilità che le modifiche

introdotte riducano il livello di sicurezza.

I sistemi di rilevamento delle intrusioni

permettono di rilevare minacce alla ri-

servatezza, all’integrità o alla disponibi-

lità della rete, o di una risorsa, tramite

l’analisi dei file di registro o del flusso

dei pacchetti di rete, per identificare

pattern di traffico o dati applicativi so-

spetti, oppure confrontare il traffico con

la normale attività rilevando le anoma-

lie. Si raccomanda anche l’uso di Vlan di

segmentazione per limitare l’accesso da

remoto ai dispositivi collegati in rete; il

controllo del software utilizzato; il con-

trollo o la limitazione delle autorizzazioni

e la verifica delle attività del personale

in remoto. Nel caso di punti di accesso

wireless (wi-fi) si raccomanda l’utilizzo

del sistema WPA2 (802.11i). Lo standard

IEEE 802.1X per il controllo degli accessi

alla rete fornisce un meccanismo di au-

tenticazione per i dispositivi che vogliono

collegarsi alla rete LAN e determina una

connessione, o la blocca in base all’esito

dell’autenticazione. Altre best practice

includono l’autenticazione e la cripta-

zione/codifica dei dati; il rilevamento dei

dispositivi e dei punti di accesso ‘rogue’

(non autorizzati), che possono causare

danni irreversibili, con conseguenze sulla

divulgazione della proprietà intellettuale;

la disabilitazione delle trasmissioni Ssid,

per impedire che i punti di accesso wi-

reless trasmettano automaticamente il

proprio identificativo di rete.

La soluzione sta nel

mezzo…

Le tecnologie di sicurezza sono in conti-

nua evoluzione per tenere il passo con lo

sviluppo di computer e reti, ma soprat-

tutto con l’evoluzione delle minacce alla

sicurezza: le soluzioni emergenti per la

sicurezza delle reti di controllo si basano

sull’utilizzo di sistemi operativi avanzati

come SELinux, di tecniche di biometria

per l’autenticazione basata sulle carat-

teristiche fisiche individuali (scansione

della retina o delle impronte digitali o

riconoscimento vocale), di tecnologie di

controllo e protezione degli accessi alla

rete (NAC e NAP).

Riservatezza, autenticazione e integrità

sono i fondamenti della sicurezza per

tutti i sistemi di controllo e automazione

industriale e non esiste un’unica solu-

zione adatta a tutti, né è sufficiente ricor-

rere alla tecnologia più all’avanguardia o

più costosa. Si tratta piuttosto di valutare

rischi e costi, perché oggi progettare la

sicurezza significa minimizzare le mi-

nacce traendo il massimo vantaggio.

Odva -

www.odva.org

Figura 3 - Sistemi di controllo integrati e interconnessi a livello aziendale (

fonte Odva

)