Dopo anni di esperienze nella remediation o messa in sicurezza di sistemi e reti di fabbrica per la OT Cyber Security, abbiamo maturato la convinzione che per proteggere in modo adeguato i sistemi che gestiscono impianti e macchinari, sia nell’Industria come nelle Utility, bisogna partire dalle persone.
A valle dell’analisi del rischio, far capire l’importanza dei corretti comportamenti (ovvero quella che viene chiamata Igiene Cyber) ai tecnici che disegnano, implementano e poi mantengono i sistemi, PLC, SCADA Server e Client, HMI, e dispositivi della rete OT è il primo passo verso la Security-by-Design. Anche comportamenti virtuosi da parte degli operatori che utilizzeranno poi tutti i giorni i sistemi in fabbrica per la gestione degli impianti e la produzione sono l’arma che permette di abbattere il rischio informatico in modo consistente.
Poi, come spesso avviene, ci sono i tool da adottare, indispensabili per l’implementazione efficace delle policy di Cyber Security Industriale decise dall’Azienda per garantire i livelli di Continuità Operativa necessari a soddisfare i requisiti di Business definiti dal Management.
Vediamo quelli adottati più di frequente.
Firewall a protezione della rete SCADA-PLC con OTfuse
Per questo livello di protezione, secondo i criteri di segmentazione della rete suggeriti dallo standard IEC62443, nella proposta ServiTecno abbiamo i dispositivi OTfuse di Bayshore Networks con funzioni IPS/IDS Advanced Threat Detection, Policy Learning e Policy Enforcement. OTfuse va posizionato in prossimità di endpoint critici, proteggendo PLC e dispositivi SCADA/DCS da usi non autorizzati, istruzioni e attività pericolose e acquisizione remota da fonti ostili. È dotato di una coppia di porte di bypass per pacchetti dati in entrata e in uscita, non richiede alcun reindirizzamento della rete o delle risorse ed è completamente autonomo. E’ gestibile anche da remoto ma non è richiesta alcuna console di gestione remota per l’installazione o la manutenzione.
OTfuse è disponibile in diverse varianti:
- OTfuse: offre una protezione chiavi in mano per PLC,SCADA e DCS. Supporto nativo per Modbus Ethernet IP, S7, DNP3, BACnet, SLMP, FINS, EGD, ecc.
- OTfuse iFix: Bayshore Networks ha collaborato con GE Digital per raggiungere un nuovo livello di sicurezza della rete relativamente ai protocolli proprietari utilizzati sulle reti su cui operano server, client e driver di iFIX
- OTfuse Cimplicity: supporta in modo unico i protocolli proprietari del software Cimplicity di GE Digital.
- OTfuse Lite: versione “leggera” di OTfuse che consente di disporre a un prezzo ridotto di gran parte delle caratteristiche di OTfuse Standard tra cui Advanced Threat Detection, Policy Learning e Policy Enforcement.
Qui altre informazioni:
Diodo Dati per trasmissione sicura mono-direzionale o anche bi-direzionale: NetWall
Il gateway di sicurezza unidirezionale Bayshore Networks NetWall USG per IT/OT è una soluzione hardware e software ad alta velocità che permette la replica dei dati in una sola direzione, dalla rete “trusted” a rete “untrusted” che sia on-premise ma anche in Cloud. In pratica crea un segmento di rete sicuro quando viene installato, schermando e isolando le risorse critiche e le reti sensibili da incidenti, attacchi e dall’uso improprio. Questa è la soluzione preferita quando sia necessario replicare dati da un Historian sulla rete di fabbrica “protetta/trusted” verso un Historian o altro server database sulla rete Enterprise.
NetWall è disponibile anche in versione BSG (Bilateral Security Gateway) che incorpora tutte le caratteristiche della versione NetWall USG (Unidirectional Security Gateway), ed aggiunge la possibilità di ricevere dati di risposta da determinate destinazioni sulla rete untrusted.
Come funziona? Utilizzando la soluzione NetWall Bilateral Security Gateway si avvia una connessione TCP dalla rete protetta verso la rete “untrusted”. A questo punto la rete di destinazione è autorizzata a rispondere al “mittente” inviando dei dati. L’attività consentita è solo quella di risposta, mentre resta inibita ogni altra attività di comunicazione autonoma verso la rete protetta.
Per info, vedi:
Accesso da remoto per manutenzione, visualizzazione, gestione sistema con OTaccess
OTaccess di Bayshore Networks è l’unica soluzione di accesso remoto sicuro in tempo reale che offre un controllo granulare dell’accesso e consente il controllo personalizzato per protocollo, per attività dell’utente e per sede, con monitoraggio continuo e applicazione delle politiche per la durata di ogni sessione.
In pratica, OTaccess permette un accesso remoto granulare e sicuro, più preciso delle VPN correnti.
Accesso Controllato per user, per protocollo, per attività, ed assicura che le risorse e la rete OT non possano essere manipolate a distanza al di fuori per permessi accordati. E’ disponibile come soluzione hardware/software locale o come servizio Cloud e riduce al minimo la superficie di attacco, essendo l’opzione più sicura per dipendenti remoti o fornitori di terze parti per accedere agli endpoint (PLC, SCADA, Engineering workstation, ecc.) all’interno della rete OT.
Per info vedi figura e:
Assett Inventory con Scrutiny di Bayshore Networks
Scrutiny è lo strumento di rilevamento e visualizzazione degli asset OT di Bayshore Networks: in pratica permette di fare un’ Asset Inventory in maniera passiva di tutta la rete di fabbrica , senza influire sulle normali attività. Consente agli operatori di creare una mappa di tutti i dispositivi sulla propria rete industriale, con informazioni riguardanti porte e protocolli industriali in uso che possono raggiungere o essere raggiungi dai diversi dispositivi di fabbrica: PLC, SCADA, DCS, Robot, ecc. che siano.
Gli operatori di rete OT con l’utilizzo di Scrutiny sono in grado di ottenere informazioni sulle connessioni e comunicazione di rete OT, macchinari connessi e protocolli utilizzati in fabbrica o comunque durante il processo. Dopo che Scrutiny ha esaminato anche solo per pochi minuti il traffico dati su impianti, la maggior parte dei team OT rileva le anomalie, tra le quali potremmo avere:
- Apparecchiature che pensavano fossero state disattivate che stanno ancora comunicando.
- Rallentamenti nella comunicazione e consumo/occupazione anomalo di banda.
- Protocolli o porte e servizi in uso in segmenti della rete che normalmente avrebbero dovuto essere non raggiungibili o addirittura essere isolate.
- Discrepanze tra l’inventario e ciò che rileva il traffico effettivo di rete
Utilizzando Scrutiny periodicamente si possono avere fotografie successive della situazione delle reti di fabbrica da confrontare e poter quindi verificare variazioni avvenute ed eventuali contromisure da apportare.
Per info vedi:
MDT Autosave per il Change Management e la gestione dei Back-up dei dispositivi OT
Per il Change Management & Configuration Control per il controllo delle variazioni di processo su SCADA, PLC, DCS e soprattutto per la gloro estione dei Back-up, MDT AutoSave è il Change Management Software più avanzato e ricco di funzionalità presente sul mercato, appositamente studiato per la gestione delle versioni e per il controllo dei cambiamenti in ambiente di Fabbrica e Processo (Change Management), supportato da servizi di supporto ed assistenza sul campo adeguati ed altamente professionali.
Mettendo insieme tutti i dati generati dall’attività di change management all’interno di un unico strumento web, il cruscotto/portale di AutoSave per la gestione degli impianti di produzione e le utility, si possono facilmente identificare problemi che potrebbero influenzare le prestazioni e la Security dell’impianto.
Per info, vedi:
Conclusioni
Abbiamo detto che il primo passo per avere impianti e macchinari in fabbrica più sicuri dal rischio informatico è tenere altra l’attenzione delle persone che installano, fanno manutenzione ed utilizzano i sistemi e le reti OT che li gestiscono, nell’Industria come nelle Utility: questo si ottiene con buoni programmi di awareness (consapevolezza) e training.
Inoltre possono essere adottati tool che permettono di elevare il livello di resilienza della rete OT, permettendo all’Azienda di raggiungere i livelli di Continuità operativa, sia in produzione che nell’erogazione dei servizi, ed in definitiva, gli obiettivi di Business decisi dal Management.