Il tema della sicurezza informatica è attualmente oggetto di grande attenzione. Incidenti di sicurezza come l’attacco alle reti dati dell’amministrazione federale tedesca nel febbraio 2018, il malware WannaCry del maggio 2017 volto a colpire i sistemi informatici delle aziende, nonché il fallimento dei router di telecomunicazione privati a causa del malware Mirai nel novembre 2016, hanno dimostrato in modo impressionante la vulnerabilità dei sistemi IT. Studi come quelli condotti dall’organizzazione tedesca VDMA dimostrano come un numero rilevante di aziende abbia già dovuto affrontare problemi di sicurezza informatica nella produzione.
Tuttavia, solo la metà delle imprese intervistate in un’indagine della ZVEI, l’associazione tedesca dei produttori di componenti elettrici ed elettronici, ha dichiarato di aver effettuato un’analisi dei rischi nella propria area di produzione. Una sfida importante risiede nella valutazione del rischio fondata non su incidenti accertati, bensì sui potenziali attacchi futuri, in quanto non sono disponibili sufficienti informazioni sulle quali le imprese possano basare una valutazione della minaccia effettiva.
Indice degli argomenti
Gli approcci
Per l’introduzione di misure di sicurezza nella produzione possono essere utilizzati gli approcci “top-down” o “bottom-up” provenienti dalle classiche strategie dell’ingegneria:
• Buona prassi (bottom-up) – A prescindere da un’analisi mirata delle minacce vi sono numerose misure in grado di aumentare comunque il livello di sicurezza, ad esempio la segmentazione delle reti e la loro protezione mediante firewall, l’introduzione di una gestione utenti-password nonché la registrazione e l’analisi degli eventi. Grazie a queste attività è possibile raggiungere rapidamente un primo livello di sicurezza. Tuttavia, un ulteriore miglioramento mirato del livello di sicurezza richiede un approccio pianificato. L’ufficio federale tedesco per la sicurezza delle tecnologie dell’informazione (BSI) sostiene la sistematizzazione tramite lo strumento LARS (Light and Right Security).
• Gestione della sicurezza delle informazioni (top-down) – Una metodologia mirata è descritta nelle norme delle serie ISO/IEC 27000 e ISO/IEC 62443 dove la valutazione inizia sempre con la definizione dei requisiti di protezione: che cosa deve essere protetto e da quale minaccia? Sulla base di queste considerazioni sarà possibile determinare le misure organizzative e tecniche.
Misure per ulteriori sviluppi
Mentre in passato i sistemi di automazione erano isolati, oggi sono gestiti in stretta interconnessione con il sistema informatico dell’azienda. Con il progredire dei concetti di digitalizzazione e di Industry 4.0, l’interconnessione assume una sempre maggiore importanza comprendendo anche gli aspetti interaziendali ed i servizi cloud. Anche la sicurezza informatica necessita di conseguente implementazione.
• Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) – Un sistema di gestione per la sicurezza delle informazioni (SGSI) prende in esame tutti gli aspetti della sicurezza informatica. Un livello di sicurezza permanentemente elevato può essere raggiunto solo attraverso l’interazione organizzativa. L’SGSI, descritto nelle sue caratteristiche generali nella serie ISO/IEC 27000, è attualmente in fase di introduzione nell’IT di alcuni grandi imprese. L’automazione, tuttavia, differisce dalla tecnologia dell’informazione per numerosi criteri e richiede, all’interno di un SGSI, di essere presa particolarmente in considerazione, come avviene nella parte 2-1 della norma ISO/IEC 62443.
• Regolamentazione delle responsabilità – Per tener conto delle specificità e dei diversi punti di vista di cui sopra, le responsabilità andranno disciplinate di conseguenza. In questo contesto, una proposta è stata sviluppata all’interno della piattaforma Industry 4.0. Il coordinamento generale delle attività rappresenta una componente importante di questo concetto, poiché il desiderato livello di sicurezza può essere raggiunto solo attraverso un approccio coordinato.
• Identificazione e classificazione dei valori aziendali – Per un’efficace ed efficiente implementazione della sicurezza informatica, le risorse aziendali da proteggere – vale a dire sistemi, impianti e processi – devono essere identificate e classificate in base alla loro criticità così da poter effettuare un’analisi delle minacce. È necessario innanzitutto identificare le potenziali minacce e valutare i rischi connessi. La valutazione del rischio che tiene conto dell’entità del danno e della probabilità di accadimento, si rivela una sfida ardua. Mentre gli incidenti e i guasti tecnici possono spesso essere associati alla probabilità, gli attacchi mirati sfuggono alla stima statistica. L’ISO/IEC 62443 (5) utilizza quindi i livelli di sicurezza da 1 a 4 che si orientano sulle capacità dei potenziali aggressori. Sarà necessario prevenire aggressioni professionali (SL-3)? O sarà sufficiente proteggersi da attacchi semplici o non mirati come i virus (SL-2)? Anche se l’analisi della minaccia richiederà, con ogni probabilità, il coinvolgimento di esperti esterni, costituisce la base per un’ulteriore definizione delle priorità e quindi un opportuno investimento economico. Sulla base dei risultati della valutazione del rischio verranno poi selezionate ed attuate misure tecniche ed organizzative.
Campi d’azione nell’ambito dell’automazione
Nell’ambiente dell’automazione si possono identificare diversi campi d’azione:
• Architettura a zone – Il sistema di automazione dovrebbe essere suddiviso in zone organizzate secondo compiti, disposizione o requisiti di protezione. Le transizioni tra le singole zone necessitano di particolare attenzione.
• Sicurezza della rete – Si consiglia di separare le reti di automazione in diversi segmenti che possono essere allineati alle zone. L’impiego di firewall permette di controllare il flusso delle informazioni tra i segmenti.
• Selezione di impianti e componenti sicuri – I sistemi selezionati dovrebbero includere le necessarie caratteristiche di sicurezza.
• Patch management – La sicurezza informatica non può essere raggiunta al 100%, pertanto sarà necessario classificare gli aggiornamenti software / le patch per criticità ed installarli di conseguenza.
• Prevenzione e risposta – Per poter rilevare gli attacchi, i dati devono essere raccolti ed analizzati e dovrebbe essere elaborato un piano di emergenza per la difesa o il rispristino.
Assistenza da parte dei fornitori
L’attuazione delle misure di protezione richiede il sostegno dei rispettivi fornitori. I macchinari e gli impianti dovranno disporre delle funzioni di sicurezza necessarie per poter essere integrati in modo sicuro nei sistemi del gestore. Ciò include la gestione degli utenti e delle autorizzazioni, registri sicuri o registrazione degli eventi. Nella sezione 3-3, la norma IEC 62443 descrive queste funzioni dal punto di vista del sistema. L’efficacia delle funzioni tecniche è garantita assicurando l’esperienza necessaria e la manutenzione continua nei processi di pianificazione ed operativi secondo IEC 62443 parte 2-4.
Per la scelta dei componenti utilizzati devono essere prese in considerazione le contigue sezioni 4-1 e 4-2 della norma IEC 62443. Le funzioni secondo la sezione 4-2 supportano le proprietà del sistema. La sicurezza degli endpoint è generata dai processi di sviluppo e manutenzione in conformità con la sezione 4-1 (Security Development Lifecycle, SDL). Il processo di manutenzione include anche la fornitura di patch per le vulnerabilità del prodotto. La dotazione delle funzioni e dei processi di sicurezza di cui sopra dovrebbe già essere presa in considerazione nella fase di selezione dei fornitori.
Conclusione
La sicurezza informatica nell’automazione si basa su un approccio olistico. Un buon livello di protezione può essere raggiunto solo attraverso l’interazione di misure organizzative e tecniche all’interno dell’azienda ed in collaborazione con i fornitori. I concetti di sicurezza possono essere sviluppati ed attuati internamente o ricorrendo a consulenti esterni. Phoenix Contact supporta i propri clienti lungo l’intero processo. L’offerta di servizi per la valutazione della situazione e l’analisi delle minacce costituisce la base per lo sviluppo di concetti di sicurezza. Con l’aiuto di componenti appropriati è possibile realizzare reti protette da accessi non autorizzati.
Una gamma completa per reti protette da accessi non autorizzati
Con i dispositivi della famiglia prodotti FL mGuard, Phoenix Contact fornisce soluzioni di sicurezza personalizzate per reti industriali. I robusti componenti includono funzioni firewall, routing e VPN per la protezione contro attacchi informatici e interferenze indesiderate. Consentono, inoltre, una manutenzione remota sicura tramite reti pubbliche.
A seconda delle esigenze, la gamma comprende diversi prodotti hardware e software per la sicurezza della rete:
- dispositivi su guida di supporto e schede PCI
- hardware portatile, dispositivi desktop e componenti da 19 pollici come stazioni remote per dispositivi da campo mGuard
- opzioni di licenza
- un software di gestione centrale
- client Secure VPN
- soluzioni cloud
In tutti i dispositivi di sicurezza, il firmware mGuard offre uno stateful inspection firewall, un user firewall, routing con NAT (Network Address Translation) e NAT 1:1, reti private virtuali IPsec sicure per l’accesso remoto, la prioritizzazione dei pacchetti tramite Quality of Service (QoS), il monitoraggio dell’integrità dei file system di Windows per la protezione da malware ed il supporto alla gestione della rete.