verticale

Proteggere il sistema produttivo nell’era di Industry 4.0

- Un approccio olistico per la security è un concetto che include :tecnologie, processi e persone
- Defense in Depth: la chiaveper un’infrastruttura sicura
- IEC 62443: Security per l’automazione
- IEC 62443: Framework
- PL: Funzione dei livelli dei processi e funzionalità
- Attacco rete elettrica Ucraina 2015

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Atti di convegni o presentazioni contenenti case history
SAVE ottobre 2017 La Cyber Security nella trasformazione digitale delle industrie: esigenze e soluzioni

Pubblicato
da Benedetta Rampini
SAVE 2017Segui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
Veronafiere 18-19 ottobre 2017 Gli atti dei convegni e pi di 8.000 contenuti su www.verticale.net Cogenerazione Termotecnica Industriale Pompe di Calore 27 ottobre Cogenerazione Termotecnica Industriale Pompe di Calore Alimentare Alimentare Petrolchimico Alimentare 28 ottobre Alimentare Petrolchimico Alimentare Alimentare Petrolchimico Visione e Tracciabilit 28 ottobre Luce Energia Domotica LED Luce Energia Domotica LED La Cyber Security nella trasformazione Digitale delle Industrie: Esigenze e Soluzioni Cristian Sartori Proteggere il sistema produttivo
nell'era di Industry 4.0
Top 10 minacce 2014 1. Infezioni malware via Internet e Intranet (p.es. server di posta) 2. Introduzione di malware con supporti di memoria removibili (p.es.
USB) o altro hardware 3. Social engineering 4. Errore umano e sabotaggio 5. Uso non autorizzato di accessi per teleassistenza 6. Controllori collegati a Internet 7. Problemi tecnici e 'Act of God' 8. Smartphones compromessi in ambienti produttivi 9. Componenti extranet e cloud compromessi 10. Attacchi (Distributed) denial-of-service ((D)DOS)) Source: BSI analysis on cyber security 2014 New Top 10 minacce 2016 1. Social engineering e (spear)phising 2. Introduzione di malware con supporti di memoria removibili (p.es.
USB) o altro hardware 3. Infezioni malware via Internet e Intranet (p.es. server di posta) 4. Intrusioni attraverso accessi remoti (p.es. teleassistenza) 5. Errore umano e sabotaggio 6. Controllori collegati a Internet 7. Problemi tecnici e force majeure 8. Componenti extranet e cloud compromessi 9. Attacchi (Distributed) denial-of-service ((D)DOS)) 10. Smartphones compromessi in ambienti produttivi New Source: BSI analysis on cyber security 2016 L'evoluzione della specie' Security legata a' Competenza Policy e procedure Misure di security Un approccio olistico per la security un concetto che include: tecnologie, processi e persone Defense in Depth: la chiave per un'infrastruttura sicura ' Muro impenetrabile
' Singolo livello di protezione
' Singolo punto di attacco Singola Barriera ' Protezione su pi livelli
' Ogni livello protegge gli altri livelli
' Un attaccante deve spendere tempo ed effort per ogni transizione Defense In Depth IEC 62443: Security per l'automazione IEC 62443: standard security in ambito IACS ' Industrial Automation and Control System - basato sul principo 'Defense in depth' ' protezione su pi livelli Policies, Procedures, Training Access Control Cards, Cameras, Locks Firewall, IPSec, Network Intrusion Detection System Hardening, Intrusion Detection Application Layer FW , Application Hardening Access Controls, Encryption, Digital Rights IEC 62443: Framework Terminologia, definizioni e concetti 62443-1 Requisiti per la sicurezza dei processi e organizzazione dell'end user e integratore 62443-2 Requisiti per raggiungere una soluzione sicura 62443-3 Requisiti per ottenere un componente sicuro 62443-4 PL: Funzione dei livelli dei processi e funzionalit Protection Level (PL) ' Valutazione delle funzionalit di security ' Basati su IEC 62443-3-3 Security Level Maturity Level ' Valutazione dei processi di security ' Basati su IEC 62443-2-4 and ISO27001 M aturit y Lev el 4 3 2 1 2 3 4 1 Security Level PL 2 PL 3 PL 4 PL 1 Attacco rete elettrica Ucraina 2015 Spear Phishing Intrusione nella rete IT Raccolta di informazioni sulla rete IT e OT Attacco sullo SCADA Source
https://www.isa.org/templates/news-detail.aspx'id=152995 Defense in Depth Network security
' Protezione di cella, DMZ assitenza remota ' Firewall e VPN Plant security
' Meccanismi di protezione fisica per accesso ad
aree critiche ' Implementazione processo di security
management Defense in Depth System integrity
' Hardening del sistema ' Piano di aggiormanto software permessi e
antivirus ' Autenticazione riservata a gruppi di operatori Plant Security ' Assessment della sicurezza della fabbrica in funzione
dello standard ISO 27001 e IEC 62443 ' Risk & Vulnerability Assessment: identificazione,
classificazione e valutazione per un programma basato
sulla metodologia del rischio Industrial Internet of Things - Security Trasmissione sicura:
Protezione attraverso firewall e Proxy
Black Box: agente di connessione non
accessibile per modifica Industrial IOT 10
01
01
11
01
00
11
10
10
01
01
11
10
01
01
11
10
01
01
00
01
00
11
10
10
01
01
11
10
01
01
11
10
01
01
11
01
00
10
01
10
01
01
11
01
10
01
01
00
01
00
11
10
01
00
11
10
01
01
11
10
01
01
11
00
10
Transito:
comunicazione HTTPS Transport Layer Security
(TLS) 1.2 standard e crittografia TSL a 256 bit Storage/Processing
Architettura multitenant per proteggere i diversi
servizi
Criteri IT per ISO 27001 Vendor A
Device Model Vendor B
Device Model Vendor C
Device Model APP IIOT per la security 'APP operanti su IIOT come strumento di supporto
per la gestione della sicurezza 'Censimento delle versioni SW/HW dei componenti 'Monitoraggio e segnalazione Patch e nuove
versioni applicabili 'Report su vulnerabilit Defense in Depth Network security
' Protezione di cella, DMZ assitenza remota ' Firewall e VPN Defense in Depth Switch managed - 'Go Managed!!!' ' Sfruttare protcolli per ridondanza ' Usare Password ' Usare VLAN ' Abilitare ACL 'Limitare Broadcast (DoS)
' Disabilitare porte non utilizzate e Loop Detection ' Abilitare SNMP V3 Firewall: Segmentazione - Cell Protection ' Separazione della rete
OT in celle di protezione ' Connessioni
autorizzate tramite
Firewall OT Network IT Network Unsecure zone DMZ zone VPN Server Secure zone Jump Station
VPN Client
Engineering Station External FW Internal FW Cell Protection
Firewall Cell Protection
Firewall Mobile User
Remote Desktop Session Process #1 Process #2 Teleassistenza sicura System Integrity Defense in Depth System integrity
' Hardening del sistema ' Piano di aggiormanto software permessi e
antivirus ' Autenticazione riservata a gruppi di operatori RFID - Autenticazione utenti HMI PWD devono essere robuste!
http://calc.opensecurityresearch.com/'pwLen=3&kpsSelect=9250000&charSelect=lalpha-numeric-all-
space&charsetLen=77&kps=9250000 Obiettivo Controllo di accesso alle macchine e
sistemi di automazione in funzione dei
diritti del 'utente/operatore tramite utilizzo di badge Soluzione Reader RFID che fornisce il controlllo di
accesso alla macchina di automazione
tramite badge standard (ISO 14443A/B e ISO 15693).

Possibilit di tenere traccia tramite log su
base utente PLC ' Protezione dei blocchi con password
' Protezione copia programma con riconoscimento serial number di CPU o Memory Card ' Protezione di accesso con diversi diritti di accesso
' Comunicazione tra PLC, HMI e Engineering con security integrata
' Supporto certificati secondo standard X.509
' Server OPC UA con autenticazione e encryption
' Web Server con gestione utenti con diversi di diritti di accesso
' Comunicazione TCP/IP con crittografia HMI ' Supporto di Antivirus testati
' Compatibilit con le Security Patches di Microsoft
' Comunicazione sicura tra server e client tramite crittografia SSL ' Utilizzo di Domain Controller e gestione utenti ereditando le policy di sicurezza di Windows ' IPSEC tra i Server e Web Navigator
' Possibilit di configurare la comunicazione HTTPS nei server Web, obbligatoria in WebUX ' Supporto di reti VPN per i client web
' Configurazione dell'accesso in lettura/scrittura ai PLC ' Per l'engineering, Know-how Protection di script, pagine
grafiche Security
Module
Client_1 Client_2 Server_1 Server_1_R Web Server WAN Web Client Process Bus DMZ -Netzwerk Terminal Bus HTTPS / VPN Web Client Web Server In conclusione ' 1 2 3 4 5 Con la digitalizzazione necessario affrontare il tema della cyber security per
proteggere i propri impianti industriali. Non esiste la singola misura di protezione perfetta! La protezione ottimizzata solo
implementando contemporaneamente pi misure complementari
La IEC 62443 la normativa di riferimento per la cyber security in ambito industriale,
basata sul principio ' Defense In Depth
La secuirity un processo sempre 'ongoing': assess, implement & manage Si pu collegare l'industria con l'Internet of Things in modo facile, affidabile e sicuro. E anche sfruttarlo per avere lo stato sempre aggiornato,


In evidenza

ExxonMobil
Grassi Mobil™ - Formulati per fornire elevate prestazioni anche in condizioni operative estreme
SD Project
SPAC : Il Software per la progettazione Elettrica
2G Italia
Cogenerazione e trigenerazione dal leader tecnologico mondiale
select * from VERT_CONTENUTI as con left join VERT_UTENTI_AZIENDE as azi on con.iduteazienda = azi.iduteazienda where testataurl like '%%' or eventourl like '%'%' or testataurl like '%'eiomfiere.it%' or eventourl like '%'eiomfiere.it'%'
Array ( ) Array ( [0] => Array ( [0] => 42000 [SQLSTATE] => 42000 [1] => 102 [code] => 102 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. ) [1] => Array ( [0] => 01000 [SQLSTATE] => 01000 [1] => 16954 [code] => 16954 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. ) )
© Eiom - All rights Reserved     P.IVA 00850640186