Chi si ricorda ancora di Stuxnet? Era in 2010, quando un attacco informatico bloccò il programma nucleare iraniano, interferendo direttamente con i PLC incaricati del controllo della centrale nucleare stessa. Per la prima volta, il mondo si rese conto che anche il settore industriale poteva essere vittima di attacchi informatici. Da allora la consapevolezza è cresciuta, ma è ancora diffusa l’illusione che gli impianti industriali, con il loro corredo di cavi ed apparati, non rappresentino un obiettivo per i criminali informatici. Un’illusione, appunto. Perché anche la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato un allarme congiunto con il Dipartimento dell’Energia USA, la National Security Agency e l’FBI dopo avere identificato strumenti che presentavano una minaccia avanzata persistente per i server OPC UA.
Cambia l’approccio alla Security
Si tratta di uno scenario preoccupante, ma ancora inesplorato, che deve però essere preso in seria considerazione da tutti i punti di vista. Una delle aziende all’avanguardia in questo ambito è Lapp, realtà nota nel mondo del cablaggio e produzione di cavi per la trasmissione di dati.
Oltre alla fornitura, Lapp opera anche nell’ambito della progettazione delle reti di trasmissione dati a servizio delle macchine e degli impianti industriali. Un’attività, che per quanto erroneamente sottovalutata, ha assunto un ruolo determinante, in quanto il paradigma Industria 4.0 si basa proprio sullo scambio dei dati, che devono transitare su infrastrutture di cablaggio affidabili e sicure, sia per quanto riguarda gli aspetti fisici che informatici. Un ambito nel quale poche aziende dispongono di autentici specialisti.
Per questo, come ha spiegato Roberto Pomari, AD di LAPP Italia, nel corso del convegno “Industrial Network Security: come proteggere le infrastrutture 4.0?”, Lapp non si limita a fornire cavi di nuova generazione e specifici per le singole applicazioni industriali, “ma si propone in qualità di partner anche per la progettazione e la formazione nell’ambito della sicurezza e della security”. Perché, evidenzia lo stesso Pomari, “è necessario far crescere la consapevolezza tra i costruttori di macchine e gli utenti finali. Da qui la nostra scelta di accompagnare i clienti, combinando componentistica e servizi, con una particolare attenzione per la formazione e la consulenza, oltre alla progettazione e all’analisi della rete. Una rete che, complice l’evoluzione tecnologica, deve essere vista come parte integrante di qualunque processo di automazione”.
Segmentazione e segregazione delle reti
Proprio l’evento “Industrial Network Security: come proteggere le infrastrutture 4.0?”, finalmente in presenza, ha offerto l’occasione per un confronto con OEM ed utilizzatori finali, portando sul palco esperienze e competenze diverse.
In particolare Marco Artoli, Project Manager Industrial Communication di LAPP, si è focalizzato sul concetto di Security by Design. Un approccio diverso da quello seguito dalla maggior parte dei costruttori, che cercano di aggiungere la sicurezza informatica solo al termine del processo di progettazione, dimenticando che oggi rappresenta invece un prerequisito. Da qui l’esigenza, prioritaria e non banale, di definire e mappare correttamente gli indirizzi IP di ogni macchina collegata alla rete industriale. Solo partendo da una corretta pianificazione è infatti possibile affrontare il secondo, e più noto, problema che affligge le infrastrutture: la lentezza delle reti. Artoli spiega infatti che, per poter collegare più macchine in modo efficace, è necessario definire una serie di regole ed instradare i flussi di dati, oltre ad utilizzare i cavi corretti. In caso contrario, infatti, si possono verificare dei sovraccarichi, che rallentano il transito dei dati, alcuni dei quali strategici per il corretto funzionamento delle macchine collegate. Il tutto aggravato dal fatto che, in alcuni casi, sulle reti industriali transitano anche segnali (come le immagini delle videocamere di sorveglianza) con effetti devastanti sulla qualità del traffico “industriale”.
Proprio la necessità di avere maggior velocità, oltre ad una certa dose di inconsapevolezza, induce spesso a trascurare la security, dimenticandosi che le infrastrutture industriali interconnesse sono esposte agli stessi attacchi di qualunque rete in ambito Office, ma con il limite di non poter essere protette con le stesse soluzioni.
Da qui la necessità di creare reti correttamente segregate e segmentate, due caratteristiche che vengono erroneamente considerate come sinonimi.
Un aiuto dalle norme
Queste condizioni sono ben note anche agli enti di normazione, al punto che è in fase di rilascio la nuova Direttiva Macchine, che non prenderà in considerazione i soli aspetti fisici della sicurezza, ma anche quelli informatici.
In attesa di questa svolta epocale, già oggi è in vigore la IEC 62443, che rappresenta lo standard internazionale per la sicurezza dei sistemi di controllo industriale. “Proprio la IEC 62443 – spiega Artoli – aiuta a prevenire gli attacchi, compresi quelli accidentali, spesso causati da personale inconsapevole o non adeguatamente formato. La norma prevede la creazione di aree precise alle quali interconnettere le macchine. Ogni zona, infatti, ha un punto di accesso ben identificato, attraverso il quale transitano solo le informazioni davvero necessarie. Inoltre, utilizzando una soluzione come EtHERLINE ACCESS NAT/Firewall di LAPP, vengono definiti con precisione i soggetti abilitati ad accedere, prevendo così accessi indesiderati o non autorizzati.
Proprio l’installazione di un prodotto come EtHERLINE ACCESS NAT/Firewall, in corrispondenza del punto di accesso di una macchina, permette di creare filtri o traduzione degli indirizzi delle singole macchine collegate. “In realtà – evidenzia Artoli – questa tipologia di prodotti è in commercio da tempo. Ma la svolta offerta da LAPP, in questo caso, è rappresentata dallo sviluppo di un dispositivo ingegnerizzato appositamente per il mondo industriale, sia in termini di affidabilità che di funzionalità”.
In particolare, infatti, è possibile integrare con sicurezza la rete della macchina con l’infrastruttura di comunicazione di fabbrica, abilitando il traffico dei soli nodi accessibili ed utili dai livelli superiori (ad esempio HMI e plc…). In questo modo, tra l’altro, il progettista della macchina è in grado di modificare i nomi dei dispositivi e gli indirizzi IP in base alle specifiche esigenze del contesto industriale in cui si trova ad operare.
Si passa così da una gestione “artigianale” della rete ad un approccio realmente industriale, basato su una standardizzazione che, oltre a garantire una maggior sicurezza, in quanto già ampiamente testata, permette di ridurre drasticamente i tempi di installazione e configurazione. Oltre a creare delle regole, inoltre, la funzionalità del firewall rende accessibili alcuni indirizzi IP strategici solo ai soggetti abilitati, prevendo qualunque intromissione non prevista.
Nel prossimo futuro, ha sintetizzato Artoli, i clienti chiederanno sempre più macchine certificate anche in termini di security “ Da qui il nostro impegno nell’ambito della formazione e della consulenza. A cui si aggiungono le dotazioni necessarie, in termini di cavi, ma anche di componenti attivi delle infrastrutture di comunicazione e protezione delle macchine, la cui security dovrà essere certificata”.
Capire la rete e l’usura dei cavi
In questo processo di progressiva garanzia della completa sicurezza di una macchina o di un impianto industriale si inserisce anche l’analisi delle reti esistenti. La realtà industriale, infatti, è tipicamente molto complessa e, spesso, la sicurezza deve essere aggiunta all’esistente. Da qui l’offerta di un progetto completo di analisi della rete, corredato da un report che spiega come raggiungere il livello di sicurezza auspicato.
“Il livello di complessità di una simile analisi – spiega Artoli – è ovviamente molto diverso, perché dipende dall’estensione e dalla storia di ogni singola realtà industriale. Per questa ragione abbiamo creato un team di specialisti in possesso di competenze e di strumentazioni particolarmente sofisticate, in grado di identificare anche i singoli problemi puntuali”.
Emblematica, in tale ambito, la capacità di individuare addirittura lo stato di usura dei singoli elementi e, in particolare, dei cavi. Questi elementi, soprattutto quando sottoposti a ripetute sollecitazioni (ad esempio nel caso delle teste robot o di una posa mobile anche all’interno di una catena portacavi) o a contatto con olio, hanno necessariamente una vita limitata. Ma con quale frequenza sostituire i cavi prima di una loro rottura? I manuali prevedono ovviamente dei parametri ben determinati, ma necessariamente conservativi, che inducono a sostituire un cavo con un certo margine di sicurezza rispetto all’effettiva vita utile. Una scelta, conservativa, che ha però ripercussioni negative in termini di disponibilità di una macchina.
Da qui la capacità, attraverso strumentazione specifica come etherline guard di Lapp, di analizzare l’effettivo stato di usura di un cavo Ethernet, passando così da una manutenzione preventiva ad un’effettiva manutenzione predittiva, con la sostituzione dei singoli cavi solo a fronte di una reale necessità. Si tratta di una soluzione, applicabile su qualunque sistema su base Ethernet industriale, configurabile attraverso una pagina web e dotato di autoapprendimento. In pratica il sistema esegue una serie di misure sul cavo nuovo, per poi analizzarne l’andamento nel tempo. “L’impiego di una simile soluzione – conclude Artoli -non è disgiunto dai concetti di sicurezza, oltre che di efficienza. Poiché anche i componenti passivi rivestono un ruolo fondamentale nella sicurezza”.
Una simile analisi puntuale giunge però al termine di uno studio complessivo, proposto da Lapp per verificare innanzitutto l’effettiva tipologia (e topologia) di rete, oltre al reale carico a cui sono sottoposti i singoli cavi. Una simile valutazione è utile anche per i costruttori di macchine, che possono così prevenire una serie di problemi e di contestazioni legate proprio ai limiti dell’infrastruttura di comunicazione industriale, spesso colpevole di problemi che, verificandosi in modo casuale, danno origine a contenzioni che si trascinano per anni”.
“La nostra capacità di essere vicini ai clienti, sia con prodotti innovativi che con un reale servizio di consulenza – ha concluso Pomari – ha portato Lapp a fatturare quasi 1,5 miliardi in tutto il mondo, con risultati particolarmente interessanti proprio in Italia, con 200 milioni e 400 dipendenti. Il tutto con una continua crescita e con l’obiettivo di investire circa 100 milioni per il potenziamento delle attività produttive e logistiche nel nostro Paese. Da noi, in particolare, sono attivi gli stabilimenti di Camuna Cavi, specializzata in cavi per strumentazione di processo, e Ceam Cavi Speciali di Monselice, che sarà il centro di competenza mondiale di Lapp proprio per i cavi di trasmissione dati”.
Clicca qui per vedere l’intervista con Roberto Pomari, AD di LAPP Italia
Clicca qui per vedere l’intervista con Marco Artoli, Project Manager Industrial Communication di LAPP Italia
