Industrial Network Security: come proteggere le infrastrutture 4.0?
Si è svolto lo scorso 21 giugno, a Bologna, l'evento organizzato da LAPP, leader nello sviluppo e produzione di soluzioni integrate nella tecnologia di connessione e cablaggio, dedicato a "Industrial Network Security: come proteggere le infrastrutture 4.0?".
Grazie a un panel di relatori di spicco, tra cui esperti in materia di Industrial Cyber Security dell'Università di Genova e referenti di Alleantia e Bureau Veritas Nexta, i partecipanti hanno avuto modo di approfondire i potenziali rischi di sicurezza delle reti in ambito OT, ancora oggi troppo spesso sottovalutati e le opportune misure di prevenzione da adottare nelle Smart Factory.
Roberto Pomari, AD di LAPP Italia, ha aperto la giornata di lavori e ha specificato come l'Italia sia il secondo Paese in Europa, dopo la Germania, per quanto riguarda il mercato degli OEM.
"Essere riconosciuti come unico Partner per ogni esigenza di cablaggio e networking di fabbrica è il nostro obiettivo, che perseguiamo attraverso un'offerta qualificata e diversificata di soluzioni, anche personalizzate e servizi dall'elevato valore aggiunto.
Il networking è nel nostro DNA, per connettere reti e persone. Per questo siamo felici di poter nuovamente organizzare eventi in presenza e continuare così a diffondere conoscenza su aspetti oggigiorno fondamentali, come quello dell'Industrial cyber security".
Il moderatore Rodolfo Zunino, Professore ordinario del Dipartimento di Ingegneria navale, elettrica, elettronica e delle telecomunicazioni presso l'Università di Genova, ha poi introdotto i concetti di Safety e Security.
"Quest'ultima - spiega Zunino - è stata introdotta in un secondo tempo e tutt'ora è spesso trascurata nell'iter progettuale di alcuni sistemi industriali. Per fare Industria 4.0 e cogliere appieno le opportunità derivanti dalla digitalizzazione, occorre un cambio di paradigma, ovvero superare la classica distinzione tra le due sfere della sicurezza, che oggi sono diventate una cosa sola".
Continua "Sono tre i pilastri della cyber security: la tecnologia, la governance e, forse il più rilevante, la formazione. Queste tre componenti, in realtà, sono rilevanti in egual misura. Ciò implica la necessità di un approccio integrato orientato alla sicurezza e volto, oltre all'adozione di tecnologie efficaci, anche alla loro gestione e alla formazione del personale, da cui deve emergere una maggiore consapevolezza. È anche per questo motivo che sono nate le certificazioni di Cyber Security in ambito OT".
Il Prof. Lorenzo Ivaldi, Dipartimento di ingegneria navale, elettrica, elettronica e delle telecomunicazioni dell'Università di Genova, ha esplorato il concetto di sicurezza informatica degli IACS (Industrial Automation & Control System), le cui linee guida sono definite dalla serie di standard ISO/IEC 62443.
"Al fine di predisporre un corretto piano di cyber security industriale, la norma richiede prima di tutto la mappatura di tutti gli impianti, con l'obiettivo di definirne l'attuale livello di sicurezza.
Molto spesso, infatti, negli stabilimenti non si tiene traccia degli interventi di sostituzione, riparazione o modifica. Le zone e i flussi di dati devono quindi essere certi per procedere con l'analisi di business continuity, volta ad identificare il grado di protezione che si desidera raggiungere, in funzione delle vulnerabilità rilevate" spiega Ivaldi.
Il relatore è poi entrato nel merito della IEC 62443-3-1, relativa alla sicurezza delle reti e dei sistemi, specificando l'importanza del controllo degli accessi, sia impostando livelli di autenticazione e autorizzazione, che attraverso la segmentazione delle reti, per consentire al solo traffico ammesso di transitare da un'area all'altra.
Un aspetto ancor più rilevante nelle aree produttive automatizzate dove sono presenti sistemi di gestione in real-time. La presentazione è stata completata da un'overview sulla IEC 62443-4-2, che si occupa delle caratteristiche dei componenti che vengono inseriti in un sistema industriale.
L'intervento di Marco Artoli, Project Manager Industrial Communication di LAPP, ha ulteriormente analizzato la segmentazione e segregazione delle reti. "Come evidenziato anche dagli speech precedenti, la trasformazione digitale espone le Aziende a maggiori possibilità di attacchi informatici, sia di tipo volontario, che involontario" spiega Artoli, che continua "Il livello base della norma 62443, infatti, riguarda la limitazione dei rischi legati a manomissioni e danni accidentali, causati da quelle che possiamo definire operazioni "maldreste" e che, nella realtà dei fatti, hanno probabilità più elevate di verificarsi rispetto all'attacco cyber.
Come LAPP, ci siamo concentrati sull'aspetto fondamentale che riguarda la delimitazione di specifiche zone, con punti di accesso ben precisi, da cui possono transitare solo le informazioni necessarie e una serie di filtri su chi può accedervi". Tutto questo si è tradotto nello sviluppo di un dispositivo, lo switch ETHERLINE ACCESS NAT/Firewall, in grado sia di creare tali filtri che di effettuare la traduzione degli indirizzi IP delle macchine alla rete di fabbrica (WAN), senza dover adattare i singoli nodi della rete.
ETHERLINE ACCESS NAT/Firewall di LAPP è stato altresì il protagonista dell'esempio pratico di attacco, sia involontario che volontario, eseguito da Ulisse Quartucci, del Genoa Fieldbus Competence Centre (GFCC).
Nel primo caso, i partecipanti hanno avuto modo di osservare come la semplice interconnessione plug and play di due macchine tramite switch, possa causare il malfuzionamento della rete, in quanto gli indirizzi IP o i nomi dei dispositivi potrebbero essere duplicati.
Il problema è stato risolto attraverso la funzionalità NAT (Network Address Translation) per la segregazione logica delle reti. Per quanto riguarda l'intervento volontario, Ulisse Quartucci ha simulato un attacco al PLC di una macchina connessa in rete, utilizzando un exploit facilmente accessibile da searchsploit.
Come risultato, è stata dimostrata l'efficacia di uno stretto controllo dell'accesso alle reti per proteggere l'impianto, mediante un firewall con regole dedicate, possibilmente attivabili su richiesta. In tal senso, il firewall ETHERLINE ACCESS N/F supporta la funzionalità di attivazione regole tramite input esterno: in questo modo, l'accesso può essere consentito solo attraverso il contatto con serratura a pannello.
Antonio Conati Barbaro, Chief Operating Officer di Alleantia - Azienda specializzata nell'Industrial Internet of Things - ha dapprima preso in considerazione i c.d. "Cyberincubi in Fabbrica", come il mancato utilizzo delle password, i sistemi operativi obsoleti che non possono essere aggiornati, il fatto che ogni costruttore fornisca una sua VPN e, ancora, la carenza sul mercato di esperti in sicurezza.
L'intervento è proseguito con la descrizione dell'Industrial IoT come "Security Wrapper", ovvero come layer di protezione di macchine, dati e applicazioni IT e delle diverse possibilità di rinforzare tali strati IIoT con funzionalità integrate proprie di piattaforme di cyber security. Inoltre, l'Ing. Conati Barbaro ha illustrato la partnership con LAPP volta all'evoluzione del "cavo as a service" grazie a ETHERLINE GUARD.
Un dispositivo in grado di monitorare, in tempo reale, lo stato di efficienza del cavo di rete collegato a un robot o in una catena portacavi. Informazioni che, oltre a concorrere alla definizione della Overall Equipment Effectiveness (OEE), sono utili per l'invio di alert di controllo o sostituzione e per l'eventuale integrazione con marketplace, per la richiesta automatica di un nuovo cavo LAPP.
In ultimo, ma non per importanza, Paolo Lama, Industry Engineering & Consulting Business Developer di Bureau Veritas Nexta, si è soffermato sui r
"Essere riconosciuti come unico Partner per ogni esigenza di cablaggio e networking di fabbrica è il nostro obiettivo, che perseguiamo attraverso un'offerta qualificata e diversificata di soluzioni, anche personalizzate e servizi dall'elevato valore aggiunto.
Il networking è nel nostro DNA, per connettere reti e persone. Per questo siamo felici di poter nuovamente organizzare eventi in presenza e continuare così a diffondere conoscenza su aspetti oggigiorno fondamentali, come quello dell'Industrial cyber security".
Il moderatore Rodolfo Zunino, Professore ordinario del Dipartimento di Ingegneria navale, elettrica, elettronica e delle telecomunicazioni presso l'Università di Genova, ha poi introdotto i concetti di Safety e Security.
"Quest'ultima - spiega Zunino - è stata introdotta in un secondo tempo e tutt'ora è spesso trascurata nell'iter progettuale di alcuni sistemi industriali. Per fare Industria 4.0 e cogliere appieno le opportunità derivanti dalla digitalizzazione, occorre un cambio di paradigma, ovvero superare la classica distinzione tra le due sfere della sicurezza, che oggi sono diventate una cosa sola".
Continua "Sono tre i pilastri della cyber security: la tecnologia, la governance e, forse il più rilevante, la formazione. Queste tre componenti, in realtà, sono rilevanti in egual misura. Ciò implica la necessità di un approccio integrato orientato alla sicurezza e volto, oltre all'adozione di tecnologie efficaci, anche alla loro gestione e alla formazione del personale, da cui deve emergere una maggiore consapevolezza. È anche per questo motivo che sono nate le certificazioni di Cyber Security in ambito OT".
Il Prof. Lorenzo Ivaldi, Dipartimento di ingegneria navale, elettrica, elettronica e delle telecomunicazioni dell'Università di Genova, ha esplorato il concetto di sicurezza informatica degli IACS (Industrial Automation & Control System), le cui linee guida sono definite dalla serie di standard ISO/IEC 62443.
"Al fine di predisporre un corretto piano di cyber security industriale, la norma richiede prima di tutto la mappatura di tutti gli impianti, con l'obiettivo di definirne l'attuale livello di sicurezza.
Molto spesso, infatti, negli stabilimenti non si tiene traccia degli interventi di sostituzione, riparazione o modifica. Le zone e i flussi di dati devono quindi essere certi per procedere con l'analisi di business continuity, volta ad identificare il grado di protezione che si desidera raggiungere, in funzione delle vulnerabilità rilevate" spiega Ivaldi.
Il relatore è poi entrato nel merito della IEC 62443-3-1, relativa alla sicurezza delle reti e dei sistemi, specificando l'importanza del controllo degli accessi, sia impostando livelli di autenticazione e autorizzazione, che attraverso la segmentazione delle reti, per consentire al solo traffico ammesso di transitare da un'area all'altra.
Un aspetto ancor più rilevante nelle aree produttive automatizzate dove sono presenti sistemi di gestione in real-time. La presentazione è stata completata da un'overview sulla IEC 62443-4-2, che si occupa delle caratteristiche dei componenti che vengono inseriti in un sistema industriale.
L'intervento di Marco Artoli, Project Manager Industrial Communication di LAPP, ha ulteriormente analizzato la segmentazione e segregazione delle reti. "Come evidenziato anche dagli speech precedenti, la trasformazione digitale espone le Aziende a maggiori possibilità di attacchi informatici, sia di tipo volontario, che involontario" spiega Artoli, che continua "Il livello base della norma 62443, infatti, riguarda la limitazione dei rischi legati a manomissioni e danni accidentali, causati da quelle che possiamo definire operazioni "maldreste" e che, nella realtà dei fatti, hanno probabilità più elevate di verificarsi rispetto all'attacco cyber.
Come LAPP, ci siamo concentrati sull'aspetto fondamentale che riguarda la delimitazione di specifiche zone, con punti di accesso ben precisi, da cui possono transitare solo le informazioni necessarie e una serie di filtri su chi può accedervi". Tutto questo si è tradotto nello sviluppo di un dispositivo, lo switch ETHERLINE ACCESS NAT/Firewall, in grado sia di creare tali filtri che di effettuare la traduzione degli indirizzi IP delle macchine alla rete di fabbrica (WAN), senza dover adattare i singoli nodi della rete.
ETHERLINE ACCESS NAT/Firewall di LAPP è stato altresì il protagonista dell'esempio pratico di attacco, sia involontario che volontario, eseguito da Ulisse Quartucci, del Genoa Fieldbus Competence Centre (GFCC).
Nel primo caso, i partecipanti hanno avuto modo di osservare come la semplice interconnessione plug and play di due macchine tramite switch, possa causare il malfuzionamento della rete, in quanto gli indirizzi IP o i nomi dei dispositivi potrebbero essere duplicati.
Il problema è stato risolto attraverso la funzionalità NAT (Network Address Translation) per la segregazione logica delle reti. Per quanto riguarda l'intervento volontario, Ulisse Quartucci ha simulato un attacco al PLC di una macchina connessa in rete, utilizzando un exploit facilmente accessibile da searchsploit.
Come risultato, è stata dimostrata l'efficacia di uno stretto controllo dell'accesso alle reti per proteggere l'impianto, mediante un firewall con regole dedicate, possibilmente attivabili su richiesta. In tal senso, il firewall ETHERLINE ACCESS N/F supporta la funzionalità di attivazione regole tramite input esterno: in questo modo, l'accesso può essere consentito solo attraverso il contatto con serratura a pannello.
Antonio Conati Barbaro, Chief Operating Officer di Alleantia - Azienda specializzata nell'Industrial Internet of Things - ha dapprima preso in considerazione i c.d. "Cyberincubi in Fabbrica", come il mancato utilizzo delle password, i sistemi operativi obsoleti che non possono essere aggiornati, il fatto che ogni costruttore fornisca una sua VPN e, ancora, la carenza sul mercato di esperti in sicurezza.
L'intervento è proseguito con la descrizione dell'Industrial IoT come "Security Wrapper", ovvero come layer di protezione di macchine, dati e applicazioni IT e delle diverse possibilità di rinforzare tali strati IIoT con funzionalità integrate proprie di piattaforme di cyber security. Inoltre, l'Ing. Conati Barbaro ha illustrato la partnership con LAPP volta all'evoluzione del "cavo as a service" grazie a ETHERLINE GUARD.
Un dispositivo in grado di monitorare, in tempo reale, lo stato di efficienza del cavo di rete collegato a un robot o in una catena portacavi. Informazioni che, oltre a concorrere alla definizione della Overall Equipment Effectiveness (OEE), sono utili per l'invio di alert di controllo o sostituzione e per l'eventuale integrazione con marketplace, per la richiesta automatica di un nuovo cavo LAPP.
In ultimo, ma non per importanza, Paolo Lama, Industry Engineering & Consulting Business Developer di Bureau Veritas Nexta, si è soffermato sui r
Settori: Automazione industriale, Cyber Security, Efficienza Industria, Industria 4.0, Reti di comunicazione, Sicurezza industriale, Smart manufacturing
Mercati: Sicurezza industriale
- Beckhoff Automation
- Pilz Italia
- SDProget Industrial Software