Se il problema è la security

Dalla rivista:
Fieldbus & Networks

 
Pubblicato il 8 febbraio 2024

Evitare fermi alle linee e mantenere in funzione la produzione è fondamentale per ottenere risparmi sui costi anche nel settore del Pharma

Una delle maggiori aziende europee attiva nell’ambito life science sviluppa nuovi progetti, testa materie prime, produce, ispeziona, confeziona e spedisce preparazioni e dispositivi medici in tutto il mondo da un grande stabilimento in Irlanda. La sua mission è quella di essere punto di riferimento a livello globale nell’innovazione e nella produzione di questo tipo di prodotti. In linea con questa visione, ha recentemente risolto un collo di bottiglia sulla linea di produzione utilizzando il software Cogent DataHub di Skkynet, distribuito e supportato in Italia da ServiTecno di Milano.

Problemi di security con OPC DA e Microsoft Dcom

A causa di una modifica nella security di alcune funzioni di Microsoft Windows, piccole interruzioni nel sistema di controllo che prima richiedevano pochi secondi per essere risolte, avevano iniziato a causare il fermo di intere linee di produzione, che potevano durare anche 5 ore. “I costi di questi fermi erano diventati elevati e non più giustificabili” afferma Stephen Doody, responsabile del team di automazione dell’impianto. La security rappresenta un problema ed è tipicamente una sfida continua nel settore dell’automazione quella di mantenere i sistemi stabili e funzionanti in un ambiente con hardware e software in continua evoluzione. È questo il caso del sistema di ispezione visiva qui in gioco, installato oltre 15 anni fa dall’azienda, con un significativo investimento: il cambiamento è stato necessario per l’iniziativa di Microsoft che ha inteso aumentare gli standard di security per la rete di dati nel software Windows. Nello stabilimento, i sistemi IT sono profondamente integrati con il processo produttivo e con gli apparati OT. I sistemi di ispezione visiva, per esempio, hanno una connessione diretta e in tempo reale con il sistema di controllo principale tramite OPC DA, il protocollo industriale standard basato su tecnologia COM/Dcom di Windows. Utilizzando in rete OPC DA si richiede che Dcom sia attivo e le impostazioni di security possono a volte essere complicate da configurare. Per gestire il sistema in modo efficiente e rendere le comunicazioni più veloci, il team di automazione dell’impianto ha sempre usato al minimo la security Dcom. Ora, con l’applicazione obbligatoria della patch di security Windows di Microsoft sono stati attivati solo i due livelli più alti di autorizzazione di Dcom; la configurazione e l’attivazione di queste impostazioni più elevate ha creato problemi. L’impianto aveva inoltre anche altri requisiti di security che rendevano il ripristino da qualsiasi interruzione da parte di OPC estremamente difficile e dispendioso in termini di tempo, causando ritardi nella produzione di diverse ore.

Un nuovo approccio: il tunneling

Ciò di cui l’automation manager Doody aveva bisogno era un modo diverso per connettere i client OPC sui PC che eseguono i sistemi di controllo visivo al server OPC sul sistema di controllo principale. Si è esplorata la strada di fare un aggiornamento da OPC DA a OPC UA, la ‘nuova’ versione di OPC, per evitare di continuare a utilizzare Dcom: purtroppo questa operazione non è stata possibile per ragioni sia tecniche (non era ancora disponibile OPC UA per tutti i dispositivi e gli applicativi utilizzati), sia economiche (impegno di costo per l’aggiornamento dei dispositivi, oltre alla necessità di riconvalida dei sistemi in uso). Una ricerca sul web su come bypassare il collo di bottiglia di Dcom ha portato alla conoscenza del concetto di tunneling OPC e al software Cogent DataHub. Per effettuare una prova, su una linea di produzione è stata configurata una connessione tunnel tra il PC del controller principale e 4 PC del sistema di visione. Originariamente la security, sia per i PC del sistema di visione, sia per quello del controller principale, era configurata sulla LAN dell’impianto e tutti gli accessi erano eseguiti tramite il controller di dominio di Active Directory, e dovevano essere identici. Con il tunnel, l’istanza DataHub sul controller principale si connette al server OPC utilizzando le normali credenziali di accesso. L’istanza DataHub su ciascun PC del sistema di visione effettua una connessione in tunneling all’istanza DataHub sul controller principale e riceve i dati; ognuna di queste istanze DataHub è configurata come server OPC DA, consentendo al sistema di visione di connettersi come client OPC. Ora, poiché il client OPC su ciascun sistema di controllo del sistema di visione si connette a un’istanza DataHub locale, il team di automazione è stato in grado di rimuovere quei PC dalla LAN dell’impianto. Non ha più bisogno di imporre gli accessi degli utenti al controller di dominio; ogni utente accede indipendentemente dall’accesso del controllo principale. Qualsiasi irregolarità o interruzione della connessione non richiede più la risincronizzazione degli accessi di sicurezza su più macchine. Dopo una settimana di test del primo sistema, Doody si è sentito sicuro di poter implementare la soluzione su tutte le restanti tre linee e ora tutte le connessioni utilizzano il tunneling DataHub con evidenti vantaggi.

Uno sguardo alla convalida

Oltre alla facilità di implementazione, che ha richiesto poco sforzo da parte del personale interno, anche la parte di qualifica/convalida è stata effettuata in modo agevole. Cogent DataHub è un layer software assolutamente standard, utilizzato in un numero considerevole di installazioni in tutto il mondo. Gli sviluppatori utilizzano metodi e tool di sviluppo secondo i massimi criteri di sicurezza e compliance a norme e standard internazionali e di mercato. Una volta documentato e qualificato sull’infrastruttura sulla quale viene installato, Cogent DataHub diviene assolutamente trasparente e supporta tutte le funzionalità delle applicazioni senza introdurre variazioni sulle stesse. Cogent DataHub viene fornito con una consolle di monitoraggio e controllo, detta DataHub Data Browser, che consente di valutare performance ed eventuali anomalie, nonché di effettuare la verifica dell’integrità del dato nella comunicazione in rete.

Alcune riflessioni sulla soluzione

“Prima, se una connessione OPC si interrompeva, potevano volerci da 1 a 5 ore per riaccendere i PC che erano fuori dominio, registrarsi, autenticarsi con l’account utente, inizializzare le schede di rete, connettersi alla LAN dell’impianto e ai PC di linea, connettersi a OPC, calibrare l’applicazione e altro ancora” ricorda Doody. “Adesso non ricevo più segnalazioni significative di fermi macchina. La nostra applicazione si connette ancora più velocemente all’istanza locale del server OPC. Il tunneling con DataHub rende molto più semplice il debug del motivo per cui la connessione fallisce. Finora abbiamo avuto solo un caso in cui OPC non è riuscito a connettersi alla nostra applicazione e guardando il DataHub Data Browser abbiamo potuto vedere che ciò era dovuto al fatto che l’applicazione di tunneling non era attiva sul lato server. Prima ciò sarebbe stato molto più difficile da diagnosticare e avrebbe comportato numerosi riavvii del PC in attesa e nella speranza che si potesse ristabilire questa connessione“. Egli quindi prosegue: “Mettere in piedi l’intera soluzione è stato praticamente un gioco da ragazzi per il management e facile da giustificare come investimento, perché consentiva di risparmiare molti soldi, piuttosto che aggiornare le linee con costosi interventi di revamping. Sono stati coinvolti anche i reparti IT e di ingegneria, infatti la soluzione era facile da implementare e davvero facile da mantenere. E poi anche il ‘Try-and-Buy’ ha aiutato: ottenere le licenze di prova così facilmente, leggere le istruzioni per implementarle sui nostri sistemi è stato fantastico, senza soluzione di continuità per il nostro lavoro”.

ServiTecno – www.servitecno.it

Scarica il pdf



Contenuti correlati

  • Palo Alto Networks: il 41% delle aziende italiane subisce attacchi agli ambienti OT

    Un nuovo report di Palo Alto Networks, realizzato in collaborazione con ABI Research, rivela che 2 imprese italiane su 5 (41%) subiscono mensilmente attacchi informatici ai loro ambienti di tecnologia operativa (OT). Ciononostante, solo un quarto considera...

  • Direttiva NIS2 e organizzazioni italiane: le risposte di Sangfor Technologies

    Per preparare meglio gli Stati dell’UE contro le minacce informatiche, la Direttiva NIS2 ha incluso requisiti organizzativi più severi, estesi in 4 aree: la gestione del rischio, la responsabilità aziendale, gli obblighi di rendicontazione e la continuità...

  • Migliorare la distribuzione di energia

    Grazie all’applicazione del sistema di automazione Proficy di GE Digital, il distributore di energia Getec Park.Swiss è stato in grado di modernizzare e migliorare la gestione dei suoi parchi serbatoi Getec Park.Swiss gestisce una vasta rete di...

  • Industria di processo: motore della crescita

    Cambiamenti geopolitici ed economici, scenario competitivo in evoluzione e difficoltà nella catena di approvvigionamento hanno portato verso nuovi modelli di business, integrazione dei principi ESG e adozione di tecnologie come l’intelligenza artificiale e il digital twin Le...

  • Anteprima SPS Italia 2024: intervista a Cinzia Bonomini e Marco Pelizzaro di Pilz Italia

    Siamo qui con Cinzia Bonomini e Marco Pelizzaro di Pilz Italia, in vista della sua partecipazione a SPS Italia 2024 di Parma, il prossimo 28-30 maggio, per capire qualcosa in più della sua filosofia e cosa porterà in...

  • Safety e Security: anticorpi degli impianti

    Gli attacchi informatici sono in continua crescita dato che organizzazioni criminali si introducono nelle reti per rivendere le informazioni illegalmente ottenute o causare disservizi a ben specifici bersagli da danneggiare… Leggi l’articolo

  • Soluzioni di cybersecurity per reti OT

    Prodotti e soluzioni che permettono di proteggere le reti OT (operations technology) industriali della fabbrica, i sistemi Scada e ICS da attacchi malevoli e dai cyber criminali Dalla teoria alla pratica: vediamo quali sono le soluzioni disponibili...

  • Regole per una cybersecurity OT

    Esploriamo le strategie emergenti e le tendenze nel campo della sicurezza delle infrastrutture OT, Scada e ICS, focalizzandoci sull’automazione dei sistemi di monitoraggio e sull’uso dell’intelligenza artificiale Le infrastrutture operative (OT), i sistemi di controllo industriale (ICS)...

  • L’edge computing per la produzione farmaceutica

    Parte del gruppo Italfarmaco, primaria realtà farmaceutica che dispone di numerosi impianti in Italia e nel mondo, Chemi SpA è specializzata nella produzione e commercializzazione di principi attivi farmaceutici e di prodotti farmaceutici etici, che produce anche conto terzi....

  • Addio a Vittorio Tieghi, uno degli ultimi pionieri della termometria e della strumentazione italiana

    Classe 1933, a 90 anni compiuti da poco, è venuto a mancare nelle scorse settimane Vittorio Tieghi, l’ultimo e il più giovane dei tre fratelli Tieghi fondatori della FAS, pionieri della strumentazione di misura e regolazione di...

Scopri le novità scelte per te x