L’ aumento dello scambio e della condivisione di informazioni negli impianti produttivi (Industry 4.0 e Internet of Things) ha portato alla necessità di una strategia per la Security delle reti per la protezione dell’integrità dei dati e della disponibilità degli impianti.
Nell’intervista a Davide Crispino, Product Specialist Cyber Security, facciamo il punto su esigenze e proposte di Phoenix Contact per proteggere i sistemi informatici industriali.
Ing. Crispino, quali sono i rischi legati all’assenza di Security nelle reti industriali?
L’integrazione tra rete aziendale e rete di produzione all’interno delle aziende sta subendo un incremento sempre maggiore, spinta dalla possibilità di sfruttare i vantaggi dell’Information Technology anche all’interno delle reti di automazione industriale. Questa sempre più rapida rivoluzione digitale deve però fare i conti con sempre maggiori esigenze di sicurezza: i vantaggi tecnologici introdotti potrebbero essere del tutto annullati da una politica non efficace di protezione contro gli accessi non autorizzati all’infrastruttura di rete. Un malware può diffondersi rapidamente all’interno delle reti industriali e gli insider threats, che possono nascondersi anche in una semplice penna USB, sono in grado di provocare seri danni alla produzione.
Il monitoraggio con antivirus montati su PC industriali non è quasi mai una strada percorribile, a causa di rallentamenti ed incompatibilità, il che rende le attuali protezioni (poste sulla sola infrastruttura aziendale e quindi a monte della rete di produzione) un approccio non più sufficiente per garantire la protezione di un’industria.
I concetti di sicurezza tipici dell’IT per ufficio non sono implementabili efficacemente nei sistemi industriali. Solo misure specifiche per l’industria sono in grado di garantire la sicurezza senza penalizzare la produttività
Perdita di dati, perdita di know-how, fermi produzione, fino ad arrivare a danni di reputazione sono solo la punta dell’iceberg di ciò che può succedere a seguito di approcci sbagliati al problema della Cyber Security.
Oggi la vera questione per chi deve garantire la security non è più “se” ma “quando” si subirà un attacco e quali saranno le conseguenze.
Quali soluzioni propone Phoenix Contact per la protezione del sistema informatico?
Phoenix Contact sviluppa proposte in grado di proteggere il sistema informatico di qualsiasi impresa, salvaguardando il know-how e tutti quei dati sensibili che costituiscono il patrimonio dell’azienda e dell’intero processo produttivo.
Il nostro approccio è quello di rendere inaccessibili le vulnerabilità di un impianto, senza alterare il loro normale funzionamento, integrandoci con le soluzioni già applicate in ambito IT dai nostri clienti.
Le nostre soluzioni prevedono la segmentazione della rete di produzione in isole e la creazione di percorsi di comunicazione criptati e garantiti.
Per attuare questo approccio siamo in grado di fornire dei Router/Firewall industriali dalle caratteristiche molto avanzate (mGuard), capaci di proteggere a 360 gradi gli impianti e, al contempo, di verificare l’integrità dei PC industriali non dotati di software antivirus.
Gli stessi oggetti sono in grado di garantire una comunicazione criptata tra soli partecipanti certificati, il che li rende la soluzione ottimale anche per le comunicazioni globali che attraversano Internet, ad esempio per le applicazioni di teleassistenza e telecontrollo.
Quali sono le caratteristiche delle soluzioni di teleassistenza mGuard Secure Cloud e InHouse?
La connessione sicura da remoto a una o più macchine, attraverso un PC da ufficio o Mobile PC/tablet, può essere realizzata con differenti soluzioni tecnologiche.
La piattaforma mGuard Secure Cloud offre la possibilità a tutti i costruttori di macchina di creare e usufruire di servizi di teleassistenza remota sfruttando tecnologie web-based ed appoggiandosi alla rete Internet del loro cliente finale.
L’apertura del canale di comunicazione è sempre in uscita, quindi l’area IT del cliente non deve necessariamente essere coinvolta nell’installazione.
Per mezzo di un web browser standard il personale di servizio può connettersi all’area riservata del sito Secure Cloud e raggiungere la macchina o le installazioni via web senza particolari conoscenze in ambito IT.
La soluzione InHouse usa invece componentistica hardware che opera da infrastruttura centralizzata di comunicazione, permettendo ai clienti di ricreare una infrastruttura Cloud direttamente in casa.
I nuovi trend industriali portano ad un notevole sviluppo del networking industriale.
Accanto al miglioramento dell’efficienza, questo comporta però anche maggiori rischi per la Cyber Security delle industrie
Il punto di raccolta delle varie connessioni remote è realizzabile tramite dispositivo mGuard centerport2, che integra in un solo apparecchio le funzionalità di firewall e VPN gateway.
Si tratta di un vero e proprio high-performance gateway in formato da 19 pollici per la gestione di tunnel VPN, che permette la connessione ad un elevato numero di sistemi, macchine o tecnici: possono essere attivati fino a 3.000 tunnel VPN in contemporanea.
Il tutto integrando uno statefull inspection firewall anche a livello di tunnel VPN in modo da garantire l’adeguato livello di security per ogni singola connessione.
Cos’è e quali vantaggi offre invece la tecnologia CIM?
La tecnologia CIM (CIFS Integrity Monitoring) nasce per colmare il gap di sicurezza che affligge i PC industriali.
Tali PC nascono per avere una lunga vita sull’impianto (si parla di 20 anni e più), ma durante tutti questi anni non ricevono mai aggiornamenti del sistema operativo, lasciando quindi la possibilità di sfruttare le varie vulnerabilità che di volta in volta vengono corrette.
Inoltre non sono quasi mai dotati di software antivirus a bordo, in quanto ciò andrebbe ad impattare il funzionamento real time dei programmi che lavorano su di esso (di norma HMI o SCADA) e richiederebbe di frequente interventi da parte di operatori in caso di segnalazioni sospette.
La tecnologia CIM consente un controllo continuo dell‘integrità di sistema senza installare a bordo dei PC industriali alcun software anti-virus, garantendo una protezione istantanea persino dalle vulnerabilità 0-days.
Grazie alla tecnologia CIM tutti i file system dei PC industriali sono monitorati, così che ogni modifica (aggiunta di programmi, DLL o altri file eseguibili) venga riconosciuta. Nel caso di minaccia rilevata, rende inoltre possibile la scansione antivirus tramite PC aziendale.
La protezione non resta limitata alle minacce provenienti dalla rete (firewalling), ma si allarga anche ad intercettare minacce provenienti da supporti rimovibili, sempre senza la necessità di alcuna connessione ad Internet per l’aggiornamento del database delle minacce.
Quali sono le soluzioni ottimali per le reti ad alta disponibilità?
Particolare attenzione è posta per le applicazioni di Cyber Security che richiedono alta disponibilità.
La famiglia mGuard permette altissimi livelli di ridondanza; è sempre possibile ridondare fisicamente gli oggetti sia nel loro funzionamento di firewall sia quando utilizzati come endpoint di un collegamento VPN criptato. In configurazioni di questo tipo viene sempre garantito uno switchover senza interruzioni nel funzionamento, fattore fondamentale in applicazioni di processo dove non sono permessi tempi di fermo.
È possibile prevedere anche ridondanze di percorso, grazie ai modelli mGuard dotati di multiple schede di rete già a bordo e in grado di gestire protocolli di ridondanza tipici delle reti IT. La gestione di sistemi ad alta complessità è inoltre semplificata attraverso l’uso opzionale di software centralizzato per la configurazione, diagnostica ed upgrade dei singoli prodotti.
Le soluzioni di teleassistenza sicura Phoenix Contact permettono di gestire in totale sicurezza gli interventi di assistenza remota via Internet, senza richiedere complicate configurazioni
Quali applicazioni più significative sono state sviluppate per il processo industriale e il settore manifatturiero?
Tra i nostri clienti annoveriamo primarie società manifatturiere di tutti i settori di produzione, dall’automotive al settore farmaceutico, con un parco installato che supera le 200.000 unità a livello mondiale.
Ad esempio, presso uno stabilimento produttivo di uno dei più grandi gruppi operanti nel settore automotive. Qui sono stati installati i firewall router industriali della famiglia mGuard di Phoenix Contact per separare la rete completa in 15 sottoreti. Ogni singola sottorete è stata progettata con rigide regole di firewall per garantire una maggiore protezione dagli accessi non autorizzati.
Attraverso il software Device Manager è stato possibile comandare i vari router/firewall all’interno del sistema produttivo, evitando così di programmare ogni singolo dispositivo e trasferendo informazioni attraverso un’unica postazione di assistenza. Ciò ha consentito di garantire una maggiore sicurezza della trasmissione dei dati nella rete e una drastica riduzione degli errori da parte dei tecnici d’assistenza.
Quali sono i servizi post-vendita forniti da Phoenix Contact?
Vista la grande attenzione che Phoenix Contact presta alla questione della Cyber Security, l’azienda ha strutturato al suo interno un Team dedicato solo a questa tematica.
Questo Team è in grado di seguire il cliente fin dall’analisi e valutazione della rete esistente, per garantire una consulenza nell’individuazione delle tecnologie più adatte alla protezione del sistema.
In questa fase siamo in grado di effettuare test funzionali per individuare una corretta soluzione di Security e Networking.
Siamo inoltre in grado di realizzare, su richiesta, dei corsi istruttivi sui temi di Networking e Cyber Security sia presso la nostra sede che direttamente nella sede dei nostri clienti.
Una volta definita la scelta della tecnologia e dell’infrastruttura (anche ridondante) più adeguata, restiamo sempre disponibili al supporto verso il cliente tramite numero verde gratuito e/o contatto email specifici del Team Cyber Security.