Verticale
Verticale

Cyber security nei fieldbus

Cyber security a livello fieldbus per reti sempre più sicure

Sommario

La maggiore interconnessione e la diffusione estrema di protocolli di comunicazione basati su ethernet ad ogni livello, potrebbe rendere i sistemi più facilmente attaccabili.

Per non rinunciare ai vantaggi di utilizzare architetture ethernet distribuite è necessario prevedere degli accorgimenti di sicurezza.

I fieldbus ethernet based sono sicuri?

Le reti Industrial Ethernet si diffondono negli anni '90.

I primi fieldbus Ethernet based vengono standardizzati agli inizi degli anni 2000.

La maggior parte si basa su protocolli di livello 2 (o livello 2 modificato) per garantire determinismo e bassa latenza.

I fieldbus Ethernet based NON prevedono nativamente funzionalità specifiche di security.

Una progettazione attenta della rete ethernet consente comunque di garantire la massima sicurezza (ISA 99 / IEC 62443).


PROFINET da sempre attenta alla security

Le prime linee guida ufficiali di PROFINET per la security risalgono al 2006

- Forniva già importanti indicazioni su:
. Suddivisione in celle;
. Segmentazione delle reti e virtual LAN;
. Utilizzo di firewall.

- Le stesse indicazioni sono poi state standardizzate nel ISA 99/IEC 62443 e prevedono:
. << Dephense in Depth >>;
. Segmentazione della rete;
. Protezione accesso.


PROFINET security: perché?

Approccio
- Molti impianti industriali non consentono di implementare sempre tutti gli accorgimenti della IEC62443;
- Integriamo la sicurezza nei dispositivi e nel protocollo;
- Opzione configurabile per la sicurezza Endto-End.


Security per real-time Ethernet: considerazioni

Esigenza di un protocollo real time ethernet da garantire con l'implementazione della sicurezza:
- Non alterazione del determinismo del protocollo stesso;
- La possibilità di sostituzione del device senza programmazione;
- Il riavvio del sistema senza connessioni a server o a internet;
- L'assenza di restrizioni sull'utilizzo dei profili PROFINET attuali (PROFIsafe, PROFIdrive, PROFIenergy);
- La possibilità di aggiungere/modificare funzionalità di sicurezza via upgrade FW/SW dei device;
- Coesistenza di dispositivi PROFINET con e senza security;
- Compatibilità con l'installato;
- Utilizzo di misure di sicurezza che siano sempre lo << state of the art >>;
- La scalabilità della soluzione di sicurezza adottata.


Obiettivi di PROFISec
- Sicurezza del protocollo;
- Integrità del file GSD;
- Mantenimento del determinismo;
- Autenticazione dei componenti Profinet;
- Notifica degli eventi legati alla security.

Profinet security: le tre security Class

Robustness

Robustezza della rete in base alle specifiche di NetLoad ed in aggiunta:
- Firma digitale dei GSD;
- Configurazione estesa del SNMP;
- DCP in modalità di sola lettura.

Il sistema è separato in zone ed ha comunicazione limitata da e verso l'esterno.


Integrity + Authenticity

In aggiunta alla security Class 1:
- Integrità e autenticità dei dati scambiati tra IOController e IODevice;
- Confidenzialità dei dati di configurazione.

Il Sistema non può (facilmente) essere separato in zone; l'accesso non può essere reso sicuro (es: installazioni outdoor).


Confidentiality In aggiunta alla security Class 2:
- Confidenzialità della comunicazione dei dati di IO.

Il Sistema è come nella security Class 2, ma con l'aggiunta che informazioni riservate dell'azienda potrebbero essere dedotte
leggendo i dati di I/O del sistema (necessaria confidenzialità dei dati).

Conclusioni

Stato attuale
- White paper su PROFINET e security disponibile www.profibus.com/profinetsecurity;
- Funzionalità delle security Class 1 nelle specifiche PROFINET V2.4 MU 1 (04/2020):
. SNMP configurabile;
. DCP in sola lettura;
. Firma dei GSD.

In arrivo
- Estensione PROFINET security nello standard IEC 61158-2021 (V2.4 MU 2);
- Estensione specifiche per security Class 2 e 3;
- Definizione CSIRT per PROFINET.

Articoli tecnico scientifici o articoli contenenti case history
Fonte: mcT Cyber Security novembre 2021 CyberSecurity: l’importanza delle difese informatiche nel post-pandemia
Aggiungi ai preferiti Aggiungi ai preferiti


Settori: ,


Parole chiave: , , ,
© Eiom - All rights Reserved     P.IVA 00850640186