Articolo
L'importanza della sicurezza delle reti nella comunicazione industriale
Industry 4.0 ha dato origine ad un incremento di architetture Ethernet distribuite che prevedono l'interconnessione tra reti IT e reti OT, oltre alla connessione con fornitori e clienti.
Esempi
- Dai dispositivi al cloud;
- SCADA, MES;
- Dati di qualità, manutenzione predittiva;
- Asset management.
Necessità di prendere alcuni accorgimenti dal punto di vista della sicurezza delle reti nella comunicazione industriale visto che prima le reti OT erano fisicamente scollegate da quelle IT. Integrità
Garanzia che i dati non siano modificati da utenti non autorizzati
Confidenzialità
Garanzia che i dati non siano accessibili a utenti non autorizzati
Autenticazione
Abilità di dimostrare la propria identità
Autorizzazione
Un utente autenticato deve svolgere solo le azioni di sua competenza
Non-ripudio
Abilità di dimostrare che un azione è stata compiuta da un determinato utente
Disponibilità
Garanzia che il sistema sia disponibile per un periodo di tempo definito a priori
Diverse priorità per la sicurezza OT - IT
IT
- Confidenzialità;
- Integrità;
- Disponibilità.
OT
- Safety;
- Integrità;
- Disponibilità;
- Confidenzialità.
Antivirus
Sistema aziendale(IT)
Ampiamente utilizzato ed aggiornato costantemente
Sistema di controllo(OT)
Complicato e a volte impossibile da implementare
Ciclo di vita
Sistema aziendale(IT)
3-5 anni
Sistema di controllo(OT)
5-20 anni
Consapevolezza della sicurezza delle reti informatiche
Sistema aziendale(IT)
Buona
Sistema di controllo(OT)
Scarsa
Gestione degli aggiornamenti
Sistema aziendale(IT)
Spesso
Sistema di controllo(OT)
Rara
Valutazione dei file di log
Sistema aziendale(IT)
Procedura ben definita
Sistema di controllo(OT)
Solitamente non viene fatta
Importanza del tempo
Sistema aziendale(IT)
Ammessi ritardi
Sistema di controllo(OT)
Critico
Test di sicurezza
Sistema aziendale(IT)
Frequenti
Sistema di controllo(OT)
Rari e problematici
Ambiente di testing
Sistema aziendale(IT)
Disponibile
Sistema di controllo(OT)
Raramente disponibili
Le normative di riferimento per la sicurezza delle reti
- ISO 27001;
- IEC 62443;
- IEC 61508/61511.
STRUTTURA IEC 62443
- 4 livelli:
. Generale
. Policies e procedure;
. Sistema;
. Componente.
- 3 ruoli:
. Proprietario dell'impianto;
. Costruttore di dispositvi;
. System integration.
- 14 pubblicazioni:
. 8 standard;
. 6 technical report;
. Sono già state pubblicate.
DEFENSE IN DEPTH
- Policies & awareness: è importante definire policies e procedure che devono essere seguite dagli operatori, che devono essere adeguatamente istruiti sul tema della sicurezza delle reti informatiche;
- Physical: vengono utilizzati dispositivi fisici di protezione (recinzioni, CCTV, dispositivi tamper- proof,...) che devono impedire l'accesso in aree riservate e la manomissione fisica dei dispositivi;
- Network:
. Reti progettate adeguatamente;
. Separazione tra le reti IT e quelle OT;
. Segmentazioni della reti OT;
. Protezione del perimetro;
. Monitoraggio continuo delle reti.
- Device:
. Antivirus, application whitelistening;
. Gestione adeguata delle configurazioni, dei backup e degli aggiornamenti;
. Analisi dei log;
. Disattivazione di porte e servizi inutilizzati.
- Dati: bisogna garantire l'integrità, l'autenticità e la confidenzialità dei dai.
Livelli di Sicurezza (SL)
Livello 0
Non sono necessari né specifici requisiti né protezioni di sicurezza
Livello 1
Necessaria protezione contro errori accidentali (errori degli impiegati)
Livello 2
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi comuni, poche risorse, skills generiche riguardo i sistemi di controllo e bassa motivazione (hacker amatoriali)
Livello 3
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi sofisticati, risorse moderate, skill specifiche riguardo i sistemi di controllo e moderata motivazione (hacker professionisti, hacktivisti)
Livello 4
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi sofisticati, risorse estese, skill specifiche, riguardo i sistemi di controllo e alta motivazione (nazioni e terroristi)
7 requisiti fondamentali:
Identification and authentication control(IAC)
Capacità di identificare ed autenticare in maniera affidabile tutti gli utenti (umani, dispositivi e processi software)
Use control(UC)
Capacità di assegnare privilegii/autorizzazioni ad un utente precedentemente autenticato
System integrity(SI)
Garanzia che il sistema non venga manipolato
Data confidentiality (DC)
Garanzia delle confidenzialità
Restricted data flow(RDF)
Capacità di segmentare le reti dividendole in zone e condotte per limitare il traffico di reti e ridurre la superficie di attacco
Timely response to events(TRE)
Capacità di rispondere ad eventuali attacchi
Resource availability(RA)
Garantire la disponibilità del sistema
Obiettivi di sicurezza delle reti nella comunicazione industriale
Integrità:
- Le operazioni decise dagli operatori non possono essere modificate;
- Le comunicazioni tra un IO supervisor e i componenti non possono essere modificate (lettura e scrittura dei dati, configurazioni dei device);
- Deve essere garantita l'integrità del clock;
- Integrità del file GSD.
Disponibilità
- Deve essere garantita la disponibilità della comunicazione tra Controllore e dispositivo di campo;
- Disponibilità delle funzione di ridondanza.
Autenticità;
- L'identità di un IO device deve essere garantita ( nome, indirizzo IP);
- Un IO device deve essere controllato solo dal IO controller previsto.
Inoltre bisogna garantire:
- Il determinismo della comunicazione;
- Possibilità di effettuare aggiornamenti;
- Coesistenza tra componenti che presentano misure di sicurezza delle reti e quelli che non le hanno;
- Possibilità di sostituire un componente senza l'utilizzo di un engineering tool;
- I vari profili, come ad esempio i profili di safety, devono essere sempre utilizzabili;
- La scalabilità delle soluzione adottata.
Esempi
- Dai dispositivi al cloud;
- SCADA, MES;
- Dati di qualità, manutenzione predittiva;
- Asset management.
Necessità di prendere alcuni accorgimenti dal punto di vista della sicurezza delle reti nella comunicazione industriale visto che prima le reti OT erano fisicamente scollegate da quelle IT. Integrità
Garanzia che i dati non siano modificati da utenti non autorizzati
Confidenzialità
Garanzia che i dati non siano accessibili a utenti non autorizzati
Autenticazione
Abilità di dimostrare la propria identità
Autorizzazione
Un utente autenticato deve svolgere solo le azioni di sua competenza
Non-ripudio
Abilità di dimostrare che un azione è stata compiuta da un determinato utente
Disponibilità
Garanzia che il sistema sia disponibile per un periodo di tempo definito a priori
Diverse priorità per la sicurezza OT - IT
IT
- Confidenzialità;
- Integrità;
- Disponibilità.
OT
- Safety;
- Integrità;
- Disponibilità;
- Confidenzialità.
Antivirus
Sistema aziendale(IT)
Ampiamente utilizzato ed aggiornato costantemente
Sistema di controllo(OT)
Complicato e a volte impossibile da implementare
Ciclo di vita
Sistema aziendale(IT)
3-5 anni
Sistema di controllo(OT)
5-20 anni
Consapevolezza della sicurezza delle reti informatiche
Sistema aziendale(IT)
Buona
Sistema di controllo(OT)
Scarsa
Gestione degli aggiornamenti
Sistema aziendale(IT)
Spesso
Sistema di controllo(OT)
Rara
Valutazione dei file di log
Sistema aziendale(IT)
Procedura ben definita
Sistema di controllo(OT)
Solitamente non viene fatta
Importanza del tempo
Sistema aziendale(IT)
Ammessi ritardi
Sistema di controllo(OT)
Critico
Test di sicurezza
Sistema aziendale(IT)
Frequenti
Sistema di controllo(OT)
Rari e problematici
Ambiente di testing
Sistema aziendale(IT)
Disponibile
Sistema di controllo(OT)
Raramente disponibili
Le normative di riferimento per la sicurezza delle reti
- ISO 27001;
- IEC 62443;
- IEC 61508/61511.
STRUTTURA IEC 62443
- 4 livelli:
. Generale
. Policies e procedure;
. Sistema;
. Componente.
- 3 ruoli:
. Proprietario dell'impianto;
. Costruttore di dispositvi;
. System integration.
- 14 pubblicazioni:
. 8 standard;
. 6 technical report;
. Sono già state pubblicate.
DEFENSE IN DEPTH
- Policies & awareness: è importante definire policies e procedure che devono essere seguite dagli operatori, che devono essere adeguatamente istruiti sul tema della sicurezza delle reti informatiche;
- Physical: vengono utilizzati dispositivi fisici di protezione (recinzioni, CCTV, dispositivi tamper- proof,...) che devono impedire l'accesso in aree riservate e la manomissione fisica dei dispositivi;
- Network:
. Reti progettate adeguatamente;
. Separazione tra le reti IT e quelle OT;
. Segmentazioni della reti OT;
. Protezione del perimetro;
. Monitoraggio continuo delle reti.
- Device:
. Antivirus, application whitelistening;
. Gestione adeguata delle configurazioni, dei backup e degli aggiornamenti;
. Analisi dei log;
. Disattivazione di porte e servizi inutilizzati.
- Dati: bisogna garantire l'integrità, l'autenticità e la confidenzialità dei dai.
Livelli di Sicurezza (SL)
Livello 0
Non sono necessari né specifici requisiti né protezioni di sicurezza
Livello 1
Necessaria protezione contro errori accidentali (errori degli impiegati)
Livello 2
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi comuni, poche risorse, skills generiche riguardo i sistemi di controllo e bassa motivazione (hacker amatoriali)
Livello 3
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi sofisticati, risorse moderate, skill specifiche riguardo i sistemi di controllo e moderata motivazione (hacker professionisti, hacktivisti)
Livello 4
Necessaria protezione contro azioni volontarie compiute da soggetti con mezzi sofisticati, risorse estese, skill specifiche, riguardo i sistemi di controllo e alta motivazione (nazioni e terroristi)
7 requisiti fondamentali:
Identification and authentication control(IAC)
Capacità di identificare ed autenticare in maniera affidabile tutti gli utenti (umani, dispositivi e processi software)
Use control(UC)
Capacità di assegnare privilegii/autorizzazioni ad un utente precedentemente autenticato
System integrity(SI)
Garanzia che il sistema non venga manipolato
Data confidentiality (DC)
Garanzia delle confidenzialità
Restricted data flow(RDF)
Capacità di segmentare le reti dividendole in zone e condotte per limitare il traffico di reti e ridurre la superficie di attacco
Timely response to events(TRE)
Capacità di rispondere ad eventuali attacchi
Resource availability(RA)
Garantire la disponibilità del sistema
Obiettivi di sicurezza delle reti nella comunicazione industriale
Integrità:
- Le operazioni decise dagli operatori non possono essere modificate;
- Le comunicazioni tra un IO supervisor e i componenti non possono essere modificate (lettura e scrittura dei dati, configurazioni dei device);
- Deve essere garantita l'integrità del clock;
- Integrità del file GSD.
Disponibilità
- Deve essere garantita la disponibilità della comunicazione tra Controllore e dispositivo di campo;
- Disponibilità delle funzione di ridondanza.
Autenticità;
- L'identità di un IO device deve essere garantita ( nome, indirizzo IP);
- Un IO device deve essere controllato solo dal IO controller previsto.
Inoltre bisogna garantire:
- Il determinismo della comunicazione;
- Possibilità di effettuare aggiornamenti;
- Coesistenza tra componenti che presentano misure di sicurezza delle reti e quelli che non le hanno;
- Possibilità di sostituire un componente senza l'utilizzo di un engineering tool;
- I vari profili, come ad esempio i profili di safety, devono essere sempre utilizzabili;
- La scalabilità delle soluzione adottata.
Micaela Caserza Magro - Università Genova
Guarda tutti i contenuti Università Genova sul sito SAVE News
Guarda tutti i contenuti Università Genova sul sito SAVE News
Articoli tecnico scientifici o articoli contenenti case history
PLC Forum Web Edition febbraio 2021 Presente e futuro dei sistemi di controllo e supervisione per l'automazione degli impianti
Ultimi articoli e atti di convegno
Misura e verifica nei risparmi energetici
- Misura e verifica
- IPMVP
- Approcci e tipologia di "risparmi"
- Isolamento, possibili casi
I Certificati Bianchi a sostegno dell'efficienza energetica: risultati e strumenti
- L'evoluzione del meccanismo
- Introduzione al meccanismo dei certificati bianchi, cos'è e come funziona
L'Efficienza Energetica nel contesto della nuova direttiva EED e del nuovo PNIEC
- Nuova Direttiva EED (UE 2023/1791)
L'annoso tema della prova
1.1 Una storia unica
1.2 Rödl & Partner nel mondo
1.3 Rödl & Partner in Italia
1.4 I nostri servizi
1.5 I nostri servizi energy
Panoramica sulle guide operative e sugli strumenti a disposizione.
I progetti standardizzati aggiornati e di nuova pubblicazione. Interventi collegati all'efficienza energetica nel settore idrico
D.M. 21 maggio 2021...
Mercato interno dell'energia
Per armonizzare e liberalizzare il proprio mercato interno dell'energia, l'Unione europea ha adottato misure per creare un mercato competitivo,...
Piccole e Medie Imprese, grandi energie.
Il presente documento sintetizza lo stato dell'arte delle configurazioni per l'autoconsumo diffuso con un focus operativo sulle Comunità Energetiche...
Le comunità energetiche rinnovabili: sviluppo e quadro normativo
- Il cammino normativo
- IL D. Gls 8/9/2021 N. 199 E LA RED III
- Le regole tecniche
- Il decreto MASE
Analisi del nuovo schema incentivante CER
Caratteristiche delle configurazioni e degli impianti ammessi all'incentivo
Modalità di accesso agli incentivi
Caratteristiche dell'incentivo
Caratteristiche termiche dei materiali isolanti sotto la lente
È stato recentemente pubblicato il rapporto tecnico UNI/TR 11936 "Materiali isolanti e finiture per l'edilizia ? Linee guida" per verificare la...
Sistemi di abbattimento fumi/emissioni nocive in accordo con gli standard e le normative locali
Da oltre 50 anni il Gruppo Miretti ha sviluppato specifiche conoscenze e competenze di alto livello nei sistemi di abbattimento e riduzione dei fumi e...