Produzione e IT: la connessione è sicura
Per connettere in sicurezza il mondo della produzione a quello IT, ServiTecno propone alcune soluzioni per un’integrazione a prova di attacco: dall’hub alla famiglia di gateway fino ai dispositivi per l’accesso remoto, i dati sensibili sono protetti
In epoca di cyber attacchi, per proteggere le risorse critiche in produzione e i dati sensibili, le reti di controllo di processo vengono spesso isolate fisicamente dal resto dell’azienda. Un isolamento totale della rete, però, non solo non basta a mettere in sicurezza gli impianti (molte intrusioni avvengono a livello locale), ma costringe a rinunciare ai benefici dell’interconnessione. Non si potrebbero infatti integrare i dati di produzione nelle piattaforme informatiche di supporto decisionale, né alimentare i sistemi di data analytics. Ad ogni modo, un sistema che permette di estrarre in modo sicuro dati utili da un sistema adeguatamente protetto può rappresentare una sfida ardua. Una risposta arriva da ServiTecno, distributore sul mercato italiano di soluzioni software avanzate.
L’hub al servizio dei dati di produzione
Sviluppata dall’azienda Skkynet, DataHub è una soluzione middleware che permette di integrare i dati provenienti da diverse sorgenti, e di utilizzarli in modo semplice e sicuro. Si possono così creare reti locali e geografiche collegando sensori, dispositivi e macchinari presenti sul territorio, realizzando architetture e soluzioni 4.0. Integrare i dati generati dai sistemi di produzione nei sistemi gestionali e nelle soluzioni di analytics su cloud, quindi fuori dal regno delle operation, è un’operazione essenziale ma anche rischiosa. Datahub permette la comunicazione fra i vari livelli di rete aziendali, gestiti dai firewall, con connessioni bidirezionali ma senza l’apertura delle porte in ingresso, trasferendo grandi moli di dati in modalità realtime. La soluzione consente infatti di effettuare connessioni bidirezionali in tempo reale tra il mondo della produzione, cioè client e server OPC UA e Classic (OPC DA), e qualsiasi database SQL, client o broker MQTT, ma anche a fogli di calcolo Excel e piattaforme cloud come Azure IoT Hub, Google IoT, Amazon IoT Core. DataHub comprende le diverse lingue parlate nel mondo OT e in quello IT, li traduce rapidamente, e crea un unico set di dati unificato a disposizione di qualsiasi piattaforma di analisi o visualizzazione. Potendo gestire oltre 50.000 variazioni di valore al secondo dei punti che generano i dati, DataHub è veloce, e consente di utilizzare i dati per fare monitoraggio e controllo degli impianti. L’interfaccia web HMI integrata (WebView) infatti consente di creare e visualizzare le pagine in un browser web. Inoltre permette di: registrare i dati in qualsiasi database SQL; creare una connessione sicura a qualsiasi piattaforma Industrial IoT; attivare azioni basate sulle variazioni dei dati; eseguire analisi in tempo reale con Microsoft Excel grazie a un add-in.
Un diodo digitale per separare apparecchiature e mondo esterno
Per separare le reti OT dalle altre reti, in genere si opta per un firewall con un set di regole ferree per tutelare il segmento di rete sottostante. Anche il migliore firewall però rischia di essere violato. Una soluzione è NetWall, una famiglia di gateway di sicurezza messa a punto da Bayshore. È composta da modelli unidirezionali (NetWall USG, Unilateral Security Gateway) e bidirezionali (NetWall BSG, Bilateral Security Gateway). I modelli unidirezionali sono disponibili in quattro taglie, in base alla velocità di scambio dati supportata: 50 Mbps, 100 Mbps, 1 Gbps e, ultimo arrivato, 10 Gbps. NetWall USG è un “diodo digitale” che si installa in un rack da 19” e separa fisicamente le apparecchiature industriali dal mondo esterno. Una soluzione hardware e software ad alta velocità che crea un segmento di rete sicuro. L’intera famiglia NetWall supporta la replica in tempo reale di file e dati al di fuori del perimetro elettronico verso sistemi aziendali come ERP, MES, PLM, PIM e altri. I modelli bidirezionali NetWall BSG offrono tutte le caratteristiche della versione unidirezionale, con l’aggiunta di poter ricevere dati di risposta da determinate destinazioni sulla rete untrusted. Entrambe le tipologie di NetWall supportano OPC UA.
La protezione sicura per i PLC
Bayshore offre anche la famiglia di prodotti per la protezione intelligente OTfuse, e la serie di dispositivi per l’accesso remoto sicuro OTaccess, disponibile per installazioni On Premise, in Cloud o su macchine virtuali. OTfuse è stato sviluppato per proteggere i PLC in un’applicazione SCADA/PLC in rete. Per installarlo basta posizionarlo a valle o a monte dello switch al quale sono collegati uno o più PLC. Facile da configurare, conosce i protocolli utilizzati dai PLC, apprende da solo le connessioni e il traffico fra i PLC, e fra PLC e PC/HMI/SCADA. Una volta “auto-istruito”, segnala se c’è qualcosa di sospetto da bloccare. OTfuse per iFix, in modo analogo alla sua variante general purpose, permette di proteggere le comunicazioni tra i diversi nodi SCADA in rete, ma è pensato appositamente per HMI/SCADA Proficy iFix di GE Digital.
OTfuse è disponibile anche nella versione “alleggerita” OTfuse Lite. Anche questo prodotto viene installato in prossimità degli endpoint che proteggono PLC e altri dispositivi collegati alla rete, si configura automaticamente e offre un sistema intelligente per la prevenzione delle intrusioni. La differenza sta nel fatto che OTfuse Lite è dedicato alle applicazioni industriali non critiche, che non richiedono quindi il massimo livello di disponibilità dell’OTfuse originale.
Garantire un accesso remoto sicuro e in tempo reale
Passiamo ora a OTaccess, una soluzione che gestisce in sicurezza l’accesso remoto in tempo reale. Offre un controllo granulare e personalizzato per protocollo, per attività dell’utente e per sede, con un monitoraggio continuo e l’applicazione delle politiche per la durata di ogni sessione.
Per consentire l’accesso, OTaccess richiede che venga esposto un servizio su un endpoint (definendo sia la porta di destinazione sia il protocollo/servizio), e che un utente abbia l’autorizzazione esplicita per accedere a quella combinazione endpoint/servizio. Si tratta di un prodotto software-defined ospitato su cloud con supporto per microtunnel crittografati, autenticazione a due fattori, utenti e gruppi di Microsoft Active Directory, e funzionalità di accesso agli endpoint specifici orientate ai requisiti di sicurezza della rete OT.