Sicurezza industriale Quanto è sicura la tua azienda?

Le anomalie e i virus, ad esempio provenienti dall'ambiente dell'ufficio, possono essere trasferiti direttamente nell'area di produzione.

Soluzione: segmentazione della rete

Dividendo grandi reti in piccoli segmenti, è possibile controllare lo scambio di dati tra le diverse zone, ad esempio tra la produzione e l'ufficio o tra le diverse parti dell'impianto. La separazione dei singoli segmenti può essere effettuata con l'aiuto di VLAN o firewall. Per la comunicazione tra i singoli segmenti di rete devono quindi essere utilizzati router o switch di livello 3. Questi dispositivi catturano gli errori di rete tipici, in modo che non possano diffondersi ulteriormente nel resto della rete.

Spesso i software dannosi sono progettati per diffondersi e infettare i sistemi adiacenti. Un esempio pratico è il software dannoso WannaCry, che ha infettato i sistemi Windows senza patch.

Soluzione: limitazione della comunicazione

L'uso di firewall può limitare o impedire la diffusione di tali software dannosi. Impedendo ogni possibilità di comunicazione che non sia tecnicamente necessaria, molti attacchi non sono più possibili. Inoltre, il monitoraggio dell'integrità utilizzato per rispondere alle esigenze industriali, (ad es. CIM), aiuta a rilevare e a contenere tempestivamente le modifiche e le manipolazioni ai sistemi basati su Windows, come i controllori, le unità di comando o i PC.

Tramite una connessione a Internet aperta i criminali possono copiare i dati o apportare modifiche all'impianto.

Soluzione: trasmissione dei dati codificata

I sistemi di automazione non dovrebbero essere accessibili da Internet. Tale obiettivo può essere conseguito grazie a un firewall che impedisce di accedere liberamente a Internet e limita tutto il traffico in entrata ma anche in uscita alle connessioni necessarie e consentite. Tutte le connessioni ad ampio raggio devono essere codificate, ad esempio tramite VPN con IPsec.

Gli hardware infetti, come le chiavette USB o i laptop, possono trasmettere software dannosi alla rete.

Soluzione: proteggere le porte

Con la funzione Port Security puoi configurare direttamente i tuoi componenti di rete, in modo da impedire lo scambio di dati con la rete da parte di utenti non autorizzati. Inoltre, è necessario disattivare le porte libere che non sono necessarie. Alcuni componenti offrono anche la possibilità di notifica all'utente tramite SNMP e di inviare un contatto di segnalazione se viene registrato un accesso non autorizzato alla rete.

Da remoto vengono inavvertitamente apportate modifiche al sistema sbagliato.

Soluzione: accesso remoto sicuro

L'accesso remoto sicuro a una o più macchine può essere realizzato con diverse soluzioni tecnologiche: da un lato, la comunicazione verso l'esterno viene codificata, ad esempio tramite IPsec o OpenVPN, dall'altro, la manutenzione remota può essere avviata tramite un interruttore a chiave sulla macchina.

In questo modo si garantisce che le modifiche vengano apportate solo alla macchina a cui sono destinate. Allo stesso tempo, l'interruttore a chiave può essere utilizzato per bloccare le regole di comunicazione nella rete per tutta la durata del processo di manutenzione remota.

Gli apparecchi intelligenti non autorizzati si collegano tramite l'interfaccia WLAN.

Soluzione: assegnazione sicura della password WLAN

Se le password WLAN sono note e rimangono invariate per un lungo periodo di tempo, è possibile anche che alla rete di macchine accedano terzi non autorizzati. I componenti WLAN di Phoenix Contact consentono quindi la gestione automatica del codice da parte del controllore della macchina, garantendo accessi sicuri alle macchine WLAN sotto forma di password una tantum.

Inoltre, la comunicazione WLAN può essere protetta tramite una zona demilitarizzata (DMZ) e isolata dal resto della rete.