Ssi_438

AUTOMAZIONE OGGI 438 SOLUZIONI SOFTWARE PER L’INDUSTRIA 109 S SI In copertina rete d’impianto. In questo modo è possibile garantire un flusso di dati sicuro e unidirezionale dall’OT all’IT. È inoltre possibile deci- dere quali dati d’impianto rendere disponibili in remoto. Come suggerisce il nome, DataHub è una vera e propria centrale a supporto del dato e si caratterizza come uno strato middleware il cui scopo è quello di creare uno scambio dati efficiente senza impatti sulle policy di sicurezza dettate dall’IT e senza stravolgere l’architettura di rete esistente. Il sistema inoltre abilita lo scambio di dati in tempo reale al microsecondo, senza alcun impatto sulla latenza di rete grazie alla tecnologia store&forward. Una fabbrica connessa, ma anche sicura La comunicazione e l’interconnessione sono elementi centrali delle fabbriche moderne. Tuttavia, considerato il crescente nu- mero di attacchi e incidenti informatici, è bene valutare soluzioni software e hardware che permettano (a fronte di una fase proget- tuale adeguata) di proteggere i sistemi da interferenze interne ed esterne. Per migliorare la cyber security il primo step è raccogliere le informazioni esistenti: conoscere cioè che cosa è collegato (PC, PLC, switch, morsettiere di I/O, sensori ecc.), quali sono le comu- nicazioni attive e quali i protocolli su cui viaggiano i dati. Un’o- perazione di scouting sicuramente non semplice, che però oggi è possibile fare in modo automatico con Guardian, una tecnolo- gia sviluppata da Nozomi Networks che permette di ricostruire lo schema della rete definendo le relazioni tra i vari device, i volumi di traffico e lo schema funzionale. Monitorando la rete, Guardian scopre le anomalie, migliora la resilienza dei sistemi Scada e for- nisce visibilità operativa in tempo reale: aiuterà nella definizione delle White List e nella rilevazione di minacce, variazioni e cambia- menti nei processi produttivi e non solo. Un’altra proposta selezionata da ServiTecno è invece pensata per aiutare le aziende a segregare macchine o porzioni d’impianto per evitare che l’impatto di un singolo attacco o incidente informatico possono causare problemi ad altre zone e anche a tutta la rete. OTfuse, ad esempio, è un dispositivo di Bayshore Networks, brand recentemente passato sotto il cappello di Opswat, che va collo- cato a livello di cabinet di fronte agli endpoint critici e può avere diverse porte alle quali far riferire i diversi rami della rete. Il device apprende e applica le regole di comunicazione in fabbrica ed eli- mina in maniera attiva e in tempo reale le minacce cyber alle ri- sorse OT. Inoltre protegge la rete OT da modifiche non autorizzate come cambi di configurazione, reset dei dispositivi PLC, estrazioni dati e letture inusuali dal dispositivo PLC, aggiornamenti della lo- gica, dei setpoint e dei valori dei messaggi. Un’altra interessante tecnologia proposta da Bayshore è quella dei diodi: nelle odierne reti convergenti OT/IT è fondamentale creare un segmento di rete sicuro per proteggere e isolare le zone più cri- tiche, reti sensibili e dati da attacchi informatici e uso improprio. I dati devono cioè poter essere trasferiti da reti OT attendibili (cioè dall’impianto) senza esporre le macchine Scada-PLC verso la rete IT. La funzionalità Diodo-Dati unidirezionale consente ai dati di uscire dalla rete attendibile, ma non di entrarvi, tagliando così un importante vettore di attacco. L’importanza del ‘piano B’ Qualsiasi investimento in sicurezza informatica deve mirare a ri- durre il rischio di incidenti, ma non può azzerarlo. Per questo è fon- damentale mettere a punto (e aggiornare continuamente) dei piani di disaster recovery e ripartenza rapida che consentano di ridurre al minimo l’impatto di un downtime non programmato ripristinando l’operatività degli impianti a garanzia della continuità del business. Nel mettere a punto questo ‘piano B’ occorre tenere conto che in una fabbrica c’è ormai un’enormità di dispositivi e applicativi che si sono stratificati nel corso degli anni, spesso da decenni. Grazie alla recente partnership tra MDT e Versiondog è oggi dispo- nibile una soluzione completa e affidabile per fare Change Mana- gement e soprattutto Version Control su applicazioni industriali con estrema precisione e capillarità: la fusione delle due tecno- logie ha di fatto permesso di ampliare il numero di connettori e conseguentemente di poter gestire gli applicativi praticamente di tutti i brand dell’automazione mondiale. ServiTecno - www.servitecno.it Anomaly Detection e Vulnerability Control per un impianto sicuro con le soluzioni Nozomi Networks