Non è possibile ignorare la CYberSecurity.
Quando si opera in ambiente industriale, le possibili conseguenze di una non adeguata protezione di una rete possono essere molto costose... o peggio:
- Perdita di dati: costo ricostruzione dei dati stessi;
- Perdita di KNOW-HOW: dati venduti ai competitor;
- Fermo di produzione: costo dovuto agli arresti produttivi;
- Ore di lavoro dei lavoratori: costo ore necessarie per il ripristino;
- Reputazione: quanto costa la perdita di reputazione sul mercato?
Con fieldbus su base seriale (Modbus RTU, PROFIBUS, Devicenet, CAN) le macchine non sono interconnesse direttamente tra loro.
I progettisti di automazione come security intendevano evitare accessi al progetto installato sul sistema di controllo.
Le reti industriali tradizionali sono organizzate secondo livelli gerarchici. Dialogo verticale solo tra controllori dei singoli livelli.
Real-Time Ethernet
Dal 2000 nascono le Real-time Ethernet
- A basso livello si può usare Ethernet;
- Piccole aggiunte a Ethernet standard per garantire determinismo (jitter < 1us);
- 3 classi di implementazione:
1. Real-time sopra lo stack IP;
2. Real time sopra Ethernet;
3. Real time sopra Ethernet + modifiche HW.
- Prestazioni: Class 3 > Class 1;
- Class 2 e Class 3 spediscono i dati di processo direttamente nei pacchetti ethernet.
Nuovi accessi per Industry 4.0
Il modello di Industry 4.0 è a << cubo >> (RAMI 4.0)
La gerarchia è meno evidente
Accessi verticali verso ogni dispositivo
Firewall
Un Firewall è dispositivo hardware e/o firmware che si parametrizza per controllare gli accessi.
Per esempio può permettere la comunicazione solo da una rete protetta (rete LAN) verso l'esterno(rete WAN, normalmente non sicura), impedendo accessi in senso opposto.
Applicazione della teoria alla pratica
Misure e soluzioni tecnologiche scelte in funzione di esigenze specifiche:
- Opportuna segmentazione di rete con adeguata protezione (routing/firewall) dei punti di segmentazion;
- Corretta gestione delle prerogative di accesso locale alla rete;
- Protezione degli accessi da remoto (VPN, firewall, security cloud).
Nota: l'utilizzo di strumenti di monitoraggio continuo di rete permetterà anche la rilevazione immediata di tentativi di intrusioni non autorizzate.
Applicazione alla pratica: le zone
Dividere in "zone"!
Per il concetto di segmentazione della rete può essere utile fare riferimento alla serie di norme IEC 62433, all'interno della quale vengono esplicitati i concetti di ''zone'' (anche dette ''celle'' o ''isole'') e ''percorsi''.
Una ''zona'' è definita come un insieme di dispositivi appartenenti a una rete che condividono medesime necessità di security Ogni scambio dati tra diverse ''zone'' deve seguire un ben determinato ''percorso'' Ogni ''percorso'' deve essere adeguatamente protetto (Routing/Firewall/VPN) .
La Topologia: traffico non real time
- Dispositivi non PROFINET presenti sulla rete, oppure accessi << Industry 4.0 >> possono generare un consistente carico di rete "non controllato" !
- Sistema mal progettato: il traffico non real time sovraccarica molti dispositivi;
- Sistema progettato in modo migliore:
. Il traffico non real time ha un percorso nella rete il più possibile diverso da quello di PROFINET;
. Il traffico non real time è gestito.
Minacce Reali
- Access Point wireless << di servizio >>;
- Accessi Fisici;
- Switch managed installati in rete ma non configurati;
- Attacchi DoS;
- Interfacce di Configurazione.
Le minacce più trascurate - Accessi Wireless
- Access Point wireless << di servizio >>:
. Non gestiti (spesso neppure industry grade);
. Spesso dimenticati dopo il commissioning;
. La comodità di solito non è indice di sicurezza....
Le minacce più trascurate - Accesso fisico
Spesso gli sforzi per incrementare la security sono facilmente vanificati:
- Usare solo cabinet che si possono chiudere a chiave (chiavi codificate);
- Evitare porte di rete facilmente accessibili in posti non sorvegliati.
Le minacce più trascurate
Switch Managed non configurati
- Switch managed installati in rete ma non configurati:
. Collocati nei cabinet senza prima essere configurati;
. Hanno tutti valori di default, esattamente come sul manuale del costruttore.....
- Rischio potenzialmente altissimo
(attacchi Man-In-The-Middle)
Le minacce più trascurate - attacchi DoS
- La rete è inondata di messaggi non utili:
. Broadcast o Multicast flooding (volontari oppure involontari);
. Richiesta di connessioni TCP anomale.
- Bisogna sorvegliare il comportamento del sistema.
Le minacce più trascurate - interfacce di configurazione
- Tool e protocolli di configurazione dei dispositivi di campo basati su TCP oppure su pagine WEB:
. Spesso con protezioni non attivate o importanti falle di sicurezza;
. Cambiare sempre le password di default;
. Sorvegliare il comportamento del sistema;
. Aggiornare Firmware dei dispositivi in campo.
Le minacce più trascurate - accessi VPN
- Le Virtual Private Network permettono una comunicazione crittografata e quindi sicura attraverso una rete "insicura" (ad esempio Intenet)...;
- Spesso usate per teleassistenza via Internet
. Il collegamento è cifrato: nessuno lo può analizzare, neanche gli antivirus!
. Un utente remoto compromesso pregiudica l'intero sistema.
Sistemi di difesa
- La conoscenza della rete e tecnologie in campo;
- La Formazione;
- Scelta degli Strumenti;
- Implementazione sistemi sicuri e monitorati.
Come controllare e gestire la sicurezza
1. Irrobustimento;
2. Segregazione;
3. Autenticazione;
4. Autorizzazione;
5. Monitoraggio di rete;
6. Monitoraggio degli eventi;
7. Ripristino dei backup.
Livello di sicurezza in base alla situazione
- Per meglio adattarsi all'uso a livello industriale si può agire sulla sicurezza in base alla situazione;
- Esempi di situazioni di rischio:
. Funzionamento normale:
Avvio
Arresto
Dipendente dal prodotto
. Manutenzione;
. Emergenza.
- Si può costruire una matrice in funzione dei dati da scambiare e delle situazioni;
- Le operazioni possono essere: ammesse, bloccate, unidirezionali, ammesse a tempo.
Classi di sicurezza in PROFINET
- Proprietà del dispositivo non modalità operativa;
- Parte del modello gerarchico di certificazione;
- Si adatta in base alle esigenze dell'utente.
Classi di sicurezza: gli use case
- "Confidentiality":
. Cifratura dei dati ciclici(riservatezza)
- "Integrity + Authenticity":
. Solo partner di comunicazione affidabile (autenticità);
. Identificazione della manipolazione (integrità);
. Crittografia dei dati aciclici (riservatezza);
. Allarmi diagnostici e record (eventi sicuri).
- "Robustness":
. Firma del file GSDML;
. Configurazione SNMP;
. DCP Sola lettura.
Come usare le classi di sicurezza
- Classe 1
. Gli impianti esistenti che operano in strategia di isolamento possono essere migliorati aggiornando il firmware e la firma GSDML;
- Classe 2
. Impianti in cui la protezione di cella non è applicabile al 100%;
. Conforme all'IEC 62443;
. L'accesso tra dispositivi e applicazioni deve essere protetto.
È necessaria la protezione dell'integrità;
. Cifratura comunicazione aciclica.
- Classe 3
. Impianti in cui la protezione di cella non è applicabile al 100%;
. Conforme all'IEC 62443.;
. I dati ciclici hanno informazioni sensibili e devono essere criptati.
I principi per la sicurezza di PROFINET (classi 2 e 3)
- I certificati sono la base di attendibilità per l'autenticazione reciproca:
. I ruoli sono legati ai certificati. Nessuna password e gestione da parte dell'utente;
. "Proof of Origin" è garantito attraverso certificati del produttore;
. La protezione dell'integrità è sempre garantita;
. I protocolli PN esistenti sono espansi e migliorati;
. La crittografia può essere attivata facoltativamente.
- Due modalità operative consentono l'uso dei dispositivi in ambienti diversi:
. ONLY-SECURE: Comunicazione esclusivamente sicura;
. MIXED: Comunicazione sicura e non protetta.
Gestione dei certificati (installazione)
1. L'operatore recupera una Sub-CA dal sistema IT-PKI;
2. Setup del Circle of Trust e generazione della Sub-CA per loro;
3. Generare certificati per dispositivi e strumenti in base al concetto di ruolo e al Circle of Trust;
4. Distribuire certificati nei tool software;
5. Distribuire certificati nei dispositivi.
I concetti di sicurezza per gli ambienti office non possono essere << semplicemente >> trasferiti alle reti di automazione.
Le misure di sicurezza implementate per i sistemi di automazione non devono essere in conflitto con i requisiti operativi relativi ai protocolli real-time.
L'obiettivo delle misure di sicurezza nell'area di automazione è una rete di automazione affidabile che soddisfa i requisiti.
Sistemi di automazione: prestazioni massime e non per massima sicurezza.
Un sistema sicuro garantisce la riservatezza, l'integrità e la disponibilità di sistemi e dati, anche in presenza di attacchi dannosi.
Per ottenere il massimo livello di sicurezza ragionevole per i sistemi e le reti di automazione, è essenziale un processo di gestione della sicurezza.
Analisi dei rischi (misure per la riduzione del rischio a un livello ragionevole).
Misure organizzative / tecniche (ingegneria dei sistemi) coordinate.
Security per IT e per reti industriali
Nei sistemi IT i ritardi e il jitter nella trasmissione dei dati sono tollerabili.
Nei sistema di automazione, ritardi e jitter definiscono le prestazioni real-time.
Contesto generale: i sistemi di automazione si basano su una grande varietà di dispositivi anche con risorse limitate
Interazione uomo-macchina: controllo affidabile e funzionamento dei processi tecnici devono essere possibili in tutte le situazioni (anche in critiche): le misure di sicurezza non devono interferire con l'operatività dei sistemi di automazione.
Ulteriori obiettivi
- Le classi di sicurezza PROFINET 2/3 coprono la sicurezza di PROFINET e la protezione della sicurezza;
- La parte securing-the-security si preoccupa di fornire e gestire le credenziali per i componenti PROFINET secondo:
. Piena integrazione con PROFINET nativo;
. Facilitazione di soluzioni che non richiedono ai proprietari /operatori di diventare esperti di sicurezza.
- Importante:
. Tutti gli elementi discussi in questa presentazione sono necessari per proteggere la sicurezza;
. Ma solo un piccolo sottoinsieme diventerà visibile al di fuori delle celle di produzione.