Avatar di Giuseppe Saccardi

a cura di Giuseppe Saccardi

Il progredire della digitalizzazione e della connessione in rete di impianti industriali, ha posto prepotentemente il problema della loro sicurezza e di come affrontarlo senza però stravolgere impianti  in  buona parte ancora basati su reti e protocolli proprietari.

Gli "Industrial Control Systems (ICS)" e i protocolli utilizzati ad esempio nelle reti di controllo  delle power utility - riferiti anche come "operational technology (OT) networks"-  sono soluzioni che sono state progettate avendo in mente la sicurezza operativa e l'affidabilità a livello di impianto.

In pratica, la sicurezza  informatica come la si intende oggigiorno, non era stata considerata una priorità da posizionarsi al top delle richieste progettuali.

Il progredire delle tecnologie, l'emergere di Internet, la crescente connettività tra impianti distribuiti, l'integrazione tra OT industriale e IT aziendale, i processi gestionali, l'integrazione con il magazzino e i sistemi gestionali, eccetera, hanno però cambiato profondamente lo scenario e fatto emergere le forti e inderogabili esigenze di protezione, con parametri ancora più stretti di quanto concerne il classico IT, visto l'importanza che le  infrastrutture hanno per un sistema paese, e i loro elevatissimi costi di esercizio e realizzazione.

L'importanza è stata riconosciuta da tempo sia dall'industria che dai governi, che hanno portato a stilare  un set di requirement per la protezione delle infrastrutture critiche, come il CIP (acronimo di Critical Infrastructure Protection) introdotto nel 2008 da  North American Electric Reliability Council (NERC).

Esperienze Check Point e RAD a fattor comune

E' però un settore dove le esperienze nelle reti e nella sicurezza devono esser emesse a fattor comune.

E' quello che hanno fatto Check Point e RAD (rappresentata in Italia da CIE Telematica)  che hanno sviluppato una soluzione congiunta  per una cyber security end-to-end il cui obiettivo è di garantire la protezione  di reti OT di Utility e di eliminare le vulnerabilità presenti in apparati RTU e SCADA, e allo stesso tempo difendere contro gli attacchi cibernetici che possono essere portati a livello di control e di data plane.

A livello implementativo la soluzione approntata da RAD e Check Point integra  il dispositivo ICS Security Gateway di Check Point all'interno dei dispositive di rete di RAD progettati con un approccio riferito come "secure-by-design multiservice networking equipment".

RAD Check Point   i building bloch della soluzione Check Point   RAD JPG

I building block della soluzione Check Point - RAD

La soluzione consiste di  svariati building block che permettono di risponder alle diverse esigenze implementative.

Nello specifico, la soluzione  risponde a una serie di  requiremet NERC-CIP quali (in anglosassone):

  • Malicious Communications Detection (CIP-005-5, CIP-007-5)
  • Device Connection Control (CIP-007-5)
  • Secure Interactive Remote Access - Intermediate System (CIP-005-5)
  • Patch management (CIP-007-5)
  • "Man in the Middle" (MITM) attack prevention (expected in NERC-CIP v6)
  • Logging (CIP-007-5)
Leggi altri articoli