← Torna alla categoria Controllo e sistemi di processo

Controllo della produzione del sistema di sicurezza di rete

Fino a pochi anni fa, la sicurezza della rete si concentrava sui sistemi aziendali e faceva affidamento sui firewall per impedire ai virus di arrivare elettronicamente

Ora c'è una crescente consapevolezza che anche i sistemi di controllo della produzione devono essere protetti e che i virus possono essere caricati in molti modi. Industrie diverse come la produzione, la lavorazione, la raffinazione, la produzione di energia e la lavorazione di alimenti e bevande stanno tutti valutando modi per migliorare la sicurezza dei loro impianti e sistemi di controllo. John Browett della CLPA (Associazione dei partner CC-Link) prende in considerazione la posizione attuale e osserva come mitigare le potenziali minacce.

Poiché Ethernet diventa la rete industriale di fatto di scelta, gli installatori e gli utenti possono essere sedotti dai vantaggi che la tecnologia offre e non tengono in sufficiente considerazione la sicurezza della rete. Tuttavia, date alcune recenti situazioni di alto profilo, ora c'è una crescente consapevolezza che esiste la possibilità reale che le reti possano essere compromesse sia dall'importazione elettronica di un virus che dall'interno, accidentalmente o maliziosamente.

I problemi di hacking all'interno di un'azienda sono tanto un problema di sicurezza del personale quanto un problema di sicurezza generale della rete. Le considerazioni sulla sicurezza devono considerare sia gli atti deliberati di sabotaggio che la possibilità che il personale compia un errore non intenzionale.

Inoltre, le aziende stanno adottando sempre più sistemi che consentono l'accesso remoto alle piante e stanno ottenendo grandi benefici. Tuttavia, i processi di monitoraggio in genere utilizzano browser Web standard, che aprono il sistema fino alla possibilità di abuso della rete da parte di terzi.

Ora è ben chiaro che i sistemi SCADA (controllo di supervisione e acquisizione dati) e altri sistemi di controllo dell'impianto hanno punti deboli e vulnerabilità quando si tratta di sicurezza. Pertanto, molte aziende stanno rivalutando i loro metodi tradizionali per spostare le informazioni tra l'impianto / bene e il livello aziendale.

Il punto di attacco può essere a livello di sistema aziendale, livello di controllo dell'impianto o anche a livello di singolo dispositivo di campo. Gli attacchi di fascia alta sono stati in precedenza la preoccupazione principale, con il risultato che sono disponibili misure di sicurezza molto sofisticate. I dispositivi di campo vulnerabili sono relativamente facili da proteggere con le misure locali.

Tuttavia, nella "via di mezzo" del controllo degli impianti, spesso vediamo sistemi di controllo basati su PC con misure di sicurezza minime o inesistenti. Esistono persino casi in cui alcune tecnologie vengono ancora utilizzate malgrado le vulnerabilità note.

I problemi di sicurezza a questo livello ea livello di dispositivo di impianto sono esacerbati dal fatto che spesso esiste una collaborazione limitata tra il reparto IT di un'azienda ei dipartimenti di ingegneria di controllo. Inoltre, all'interno della comunità di controllo e di ingegneria, non sempre esiste un adeguato riconoscimento delle minacce e delle responsabilità per la sicurezza del sistema di automazione. In particolare, il business case per la sicurezza del sistema di automazione non è stato stabilito e la comprensione dei fattori di rischio del sistema di automazione è limitata.

La spinta verso le tecnologie di rete aperte in generale, e verso Ethernet in particolare, come mezzo per dare alle aziende la libertà che vogliono scegliere tra le migliori tecnologie di controllo ha esacerbato la minaccia alla sicurezza. Gli utenti vogliono standardizzazione, flessibilità e scelta, e questo è stato fornito attraverso protocolli aperti standardizzati. Il trade-off, tuttavia, che sta per essere realizzato, è che questi protocolli aperti sono meno robusti e più suscettibili agli attacchi. Al contrario, le vecchie reti proprietarie erano molto robuste in virtù della loro non standardizzazione, ma erano molto meno flessibili e alla fine limitavano la scelta del prodotto.

Guardando poi a ciò che la rete industriale ideale offrirebbe, possiamo costruire una lista dei desideri che offre la robustezza del vecchio combinato con la flessibilità del nuovo. Questa lista di desideri potrebbe includere cablaggio comune, connettori standard, standard aperti, facilità di configurazione, flessibilità, massima sicurezza possibile e ridotta vulnerabilità agli attacchi.

Guardando come potremmo essere in grado di adattare l'Ethernet industriale per soddisfare i requisiti di questa lista di desideri, vale la pena rivisitare la nostra definizione di Ethernet, perché da nessuna parte nel linguaggio di rete una parola è stata così abusata come un termine generico per così tanti disparati standard, tecnologie e applicazioni. E il miglior punto di partenza è lo stesso modello a sette livelli OSI.

Il Layer 1, il Physical Layer, definisce tutte le specifiche elettriche e fisiche per i dispositivi. In particolare, definisce la relazione tra un dispositivo e il supporto fisico. Layer 2 è il livello di collegamento dati, che fornisce i mezzi funzionali e procedurali per trasferire i dati tra entità di rete e per rilevare e eventualmente correggere gli errori che possono verificarsi nel livello fisico. È qui che Ethernet è definito come protocollo di rete secondo lo standard IEEE 802.3.

Nel corso degli anni, Ethernet è diventato sinonimo della suite TCP / IP, ma non implica necessariamente l'altra. L'IP è definito in Network Layer (Layer 3) del modello OSI. Questo Layer fornisce i mezzi funzionali e procedurali per trasferire sequenze di dati di lunghezza variabile da una sorgente a una destinazione attraverso una o più reti. Il Transport Layer (Layer 4) fornisce il trasferimento trasparente dei dati tra gli utenti finali e definisce i like di TCP e UDP.

Il Session Layer (Layer 5) controlla le connessioni tra computer, mentre il Presentation Layer (Layer 6) trasforma i dati per fornire un'interfaccia standard per il Layer Applicazione (Layer 7) nella parte superiore del modello. È qui che trovi applicazioni tipiche come FTP, HTTP, RTP, SMTP, SNMP e altri. In breve, quando si tratta di operare come un'architettura di comunicazione nelle reti industriali, Ethernet è in grado di pochissimo senza gli strati che si trovano sopra di esso.

Non tutte le offerte Ethernet industriali implementano lo stack Ethernet nello stesso modo. All'interno di Application Layer le diverse organizzazioni Ethernet industriali implementano i propri kernel e protocolli che definiscono gran parte dei vantaggi funzionali delle loro tecnologie. Da un punto di vista della sicurezza, però, ciò che realmente interessa sono gli strati inferiori più vulnerabili.

Sotto il modello a sette livelli, tutto ciò che serve è che un livello cada su un attacco prima che l'intero sistema di comunicazione venga compromesso, potenzialmente senza che gli altri livelli siano consapevoli che c'è un problema. La sicurezza è forte quanto l'anello più debole.

Sono disponibili numerosi prodotti di sicurezza discreti, che funzionano bene, ma uno dei maggiori problemi nell'arena industriale consiste nell'implementare sistemi di sicurezza strettamente integrati senza incorrere in costi eccessivi e senza imporre un livello di complessità tale da rendere difficile il mantenimento del sistema e supporto. Inoltre, le soluzioni di sicurezza standard disponibili in commercio sono raramente all'altezza dei rigori della vita in ambienti industriali difficili.

In termini di tecnologia di rete, è stato fatto molto lavoro per rendere Layer 2 più sicuro, ma nelle classiche implementazioni di Ethernet industriale è stato fatto poco per risolvere i punti deboli del Network Layer (Layer 3) e del Transport Layer (Layer 4). Come l'implementazione Ethernet dell'ufficio, la stragrande maggioranza delle tecnologie Ethernet industriali sono ancora costruite attorno all'IP all'interno di Layer 3 e TCP / UCP all'interno di Layer 4.

La maggior parte delle installazioni di reti Ethernet industriali implementano la sicurezza perimetrale (servizi firewall) nei punti in cui si connettono ad altre reti per fornire protezione a questi livelli vulnerabili. I firewall filtrano sugli indirizzi IP di origine e di destinazione e sui numeri di porta del protocollo (ad esempio le porte TCP e UDP) per limitare ulteriormente il traffico autorizzato a entrare in una rete Ethernet. Il filtraggio dei pacchetti può essere implementato anche tra le comunità di rete note e, in alcuni casi, il filtraggio degli accordi con indirizzi di dispositivi e porte di applicazione molto specifici per fornire un livello di sicurezza di accesso esclusivo per un dispositivo e un'applicazione collegati. Nonostante ciò, nelle classiche implementazioni Ethernet industriali, Layer 3 e Layer 4 sono ancora molto vulnerabili agli attacchi.

CC-Link IE, tuttavia, è diverso. CC-Link IE (Ethernet industriale di controllo e comunicazione industriale) è stato sviluppato da CLPA come la prima rete Gigabit Ethernet completamente integrata per l'automazione industriale, definendo la nuova soglia per gli standard aperti per Industrial Ethernet. CC-Link IE combina il meglio di molte tecnologie esistenti e le applica a un sistema di rete industriale ottico o in rame con un'architettura ridondante che consente il trasferimento di dati estremamente veloce e affidabile tra dispositivi di campo e altri controllori tramite collegamenti Ethernet. La velocità di segnalazione di 1Gbps ridefinirà le aspettative degli utenti e le capacità dei sistemi; è più che sufficiente per soddisfare le esigenze di comunicazione in tempo reale delle attuali industrie manifatturiere.

Esistono varianti di CC-Link IE per soddisfare i requisiti di controllo a tutti i livelli della rete di automazione. A livello di controller, c'è CC-Link IE Control. A livello di dispositivo, c'è CC-Link IE Field e CC-Link IE Motion. E naturalmente c'è una stretta integrazione con il bus di campo CC-Link.

Ancora più importante, CC-Link IE differisce dalle implementazioni convenzionali definendo un "Protocollo Real-Time" aperto all'interno dei livelli dello stack. Adottando questo approccio per implementare questi livelli all'interno dello stack Ethernet, CC-Link IE realizza i vantaggi della nostra lista di desideri della tecnologia di rete. Utilizza connettori Ethernet standard, è facile da configurare ed è estremamente robusto. È anche uno standard aperto, quindi gli utenti hanno ancora quella libertà di scelta nella selezione delle migliori tecnologie di componenti. Ma soprattutto dal punto di vista della sicurezza, offre intrinsecamente la massima sicurezza possibile ed è quindi meno suscettibile agli attacchi. Questi sono vantaggi significativi rispetto alle implementazioni Ethernet industriali alternative. Il fattore chiave di distinzione è una base di conoscenza aperta ma controllata per la tecnologia di rete. Quindi, mentre le aziende bona-fide possono implementare la tecnologia su base aperta, sarà più difficile per i "cattivi" infiltrarsi.

I requisiti di sicurezza per le reti Ethernet industriali continuano ad evolversi, con requisiti sofisticati che migrano sempre più dalle reti Enterprise al controllo del processo e ad altri ambienti industriali. Ovunque ci siano installazioni di rete, le aziende devono considerare la probabilità di attacchi alla rete e il rischio associato a qualsiasi attacco. In ogni caso, poiché la sicurezza diventa più importante, le aziende devono esaminare i modi per mitigare il rischio, ridurre il rischio o eliminare il rischio in modo appropriato all'interno di ciascun ramo della topologia della rete. Con il suo approccio basato su standard aperti combinato con la tecnologia di comunicazione proprietaria, l'implementazione CC-Link IE di Ethernet industriale rappresenta un'opzione estremamente interessante nell'azionamento per massimizzare e ottimizzare la sicurezza della rete.

Process Industry Informer

Notizie correlate

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati dei tuoi commenti.