MAGGIO 2017

FIELDBUS & NETWORKS

12

Industrial security e accesso remoto

Soprattutto a causa della crescente messa in rete di connessioni

Ethernet fino al livello di campo, occorre considerare alcuni problemi

di sicurezza. Se una comunicazione ‘aperta’ permette di semplificare

l’interconnessione dei sistemi di produzione e, quindi, apre nuove in-

teressanti opportunità, d’altro canto altrettanto grossi sono i rischi che

devono essere identificati per aggirare i potenziali danni. L’era dei si-

stemi di automazione ‘chiusi’, basati su protocolli proprietari inaccessi-

bili dall’esterno, è ormai alle nostre spalle, mentre la connessione dei

sistemi di automazione via Internet o alle reti IT già esistenti è ormai

attualità. Una differenza significativa da considerare risiede nella valu-

tazione dei rischi relativi ai diversi sistemi.

Se infatti un attacco all’infrastruttura IT colpisce l’integrità dei dati

e, nel peggiore dei casi, si traduce in una perdita di dati aziendali, un

attacco hacker ai processi e all’ambiente di automazione può met-

tere in pericolo le persone, danneggiare le capacità di produzione e

l’ambiente. E non è sufficiente implementare un sistema di accesso

semplicemente protetto da password, dal momento che gli attacchi

dall’esterno possono avvenire a diversi livelli. Per una protezione com-

pleta degli impianti industriali Siemens ha sviluppato un concetto di

‘Defense in depth’.

Con la strategia di ‘Defense in depth’ Siemens offre un concetto mul-

tistrato per gli utilizzatori industriali che protegge contro gli attacchi

sia dall’esterno sia dall’interno a livello degli impianti industriali. Il

concetto si basa su componenti di sicurezza degli impianti, sicurezza

delle reti e integrità del sistema secondo le norme ISA 99 e IEC 62443,

che rappresentano gli standard più importanti per la sicurezza per il

settore dell’automazione industriale. La tradizionale protezione di un

impianto garantisce l’inacessibilità fisica, ma la protezione della rete e

dell’integrità del sistema vanno oltre, prevenendo attacchi informatici

e l’accesso da parte di operatori non autorizzati. In questo modo, un

potenziale hacker dovrebbe superare molteplici meccanismi di sicurezza

a vari livelli. I requisiti di sicurezza dei singoli strati devono quindi essere

presi in considerazione a livello di impianto.

Sicurezza di rete significa anche protezione delle reti di automazione

contro gli accessi non autorizzati, dall’esterno così come dall’interno.

Questo include il monitoraggio di tutte le interfacce, come quella

tra ufficio e reti d’impianto, o il controllo degli accessi impiegati

per la tele-assistenza attraverso Internet, che può essere effettuato

mediante firewall e DMZ (zona demilitarizzata). La segmentazione

diventa rilevante per la sicurezza della rete dell’impianto in celle

di automazione protette singolarmente, riducendo al minimo il ri-

schio di attacco e aumentando la sicurezza. I prodotti della famiglia

‘Integrated Security’ di Siemens, come i moduli di sicurezza Scalance

S o CP per controllori Simatic, permettono di implementare con faci-

lità i concetti di protezione delle celle e garantiscono una comunica-

zione protetta.

L’accesso remoto alle celle, invece, è stabilito esclusivamente attra-

verso una connessione VPN criptata, quindi protetta da eventuale

manipolazione/spionaggio dei dati. Con Sinema Remote Connect,

Siemens fornisce una piattaforma per la tele-assistenza che per-

mette di gestire in maniera centralizzata diverse connessioni VPN

terminanti su dispositivi collocati nelle posizioni più disparate. Tali

connessioni possono essere gestite in maniera differenziata garan-

tendo la massima sicurezza sia all’OEM sia al cliente finale. I dispo-

sitivi della famiglia Scalance S e M sono poi in grado di autenticarsi

automaticamente alla piattaforma, senza la necessità di complicate

configurazioni e della gestione di certificati digitali.

OPC UA: un’architettura unificata

L’integrazione di diversi sistemi in un’infrastruttura IT o di automazione

è spesso complicata perché ci si trova a lavorare con interfacce e pro-

tocolli non standardizzati. Dunque: che tipo di architettura di comuni-

cazione è necessaria per il networking, tenendo presente le diverse

tipologie di dispositivi di una fabbrica digitale? Le soluzioni attuali di

solito seguono una tipica automazione a ‘piramide’, ovvero i singoli

strati, dal sensore al controllore e al livello HMI, MES ed ERP, vengono

costruiti gerarchicamente.

La famiglia di Ethernet

switch e router Scalance X di Siemens

garantisce alte prestazioni insieme

a una facile integrazione tra le reti

À

Fieldbus & Networks