La questione dell’accesso remoto ai dati di un sistema di controllo ed automazione industriale non è nuova.
Per anni chi gestisce gli impianti ha studiato modi per manager, operatori, tecnici di manutenzione System Integrator e partner commerciali per avere accesso alle preziose informazioni in tempo reale.

Industria4.0, IIoT, globalizzazione, manutenzione TPM, produzione just-in-time, ecc. hanno determinato la necessità di avere un accesso remoto a bassa latenza ai dati di macchine ed impianti, nell’industria come nelle utility, spesso attraverso reti non affidabili per utenti semi-affidabili.

Ad esempio, un produttore potrebbe voler condividere alcune delle informazioni sulla produzione con un fornitore remoto all’interno della sua supply-chain, ma non fornire l’accesso al sistema di produzione o all’intero database.

Ecco alcuni problemi di security che sono sorti da questa esigenza di accesso remoto ai dati in tempo reale:

  • Esposizione ad attacchi da Internet. Quando si consente a un utente di accedere da remoto al sistema di controllo ed automazione dell’impianto, si allarga naturalmente la superficie di attacco della rete per malintenzionati che potrebbero tentare di accedere anche al sistema.
  • Esposizione ad attacchi dalla rete IT. Se si consente a un utente di accedere al sistema da remoto, si rischia di esporre anche l’infrastruttura di rete del sistema IT dell’Azienda. Sarebbe raccomandato che la rete dell’impianto fosse una sottorete all’interno della rete aziendale più vasta. L’accesso alla rete di stabilimento avviene spesso tramite l’infrastruttura informatica. Ne consegue che alcuni tipi di problemi nella rete IT potrebbero interrompere il normale flusso di dati di rete dalla rete dell’impianto. È quindi consigliabile separare il più possibile le reti IT da quelle OT.
  • Accesso remoto con limitazione di acceso i dati. Dare a un utente remoto l’accesso a un desktop, Con VNC, TeamViewer, o Microsoft RDP, significa che un utente curioso (o malintenzionato) possa tentare di ottenere l’accesso a programmi e dati oltre a quanto previsto. Anche se l’utente è affidabile, ma il suo PC è già compromesso, un RAT (Remote Access Tool) diventa un punto di attacco alla rete OT/IT.
  • Esposizione di una porzione della rete OT. Alcuni stabilimenti hanno scelto di utilizzare connessioni VPN (Virtual Privare Network) per limitare gli attacchi Internet. Tuttavia, una VPN mette efficacemente tutti i partecipanti su una sottorete locale, che fornisce alle macchine partecipanti un accesso efficace tra computer in rete. La compromissione di una qualsiasi macchina sulla rete (on site ma anche da remoto) offre a un utente malintenzionato l’opportunità di hackerare la rete dell’impianto tramite la VPN.
  • Alti costi. VPN, RAT, firewall e router richiedono competenza, attenzione e un impegno costanti da parte del personale IT. Questo costo ha un costo che aumenta all’aumentare del numero di partecipanti alla rete.

Skyynet DataHub all’interno del perimetro aziendaleSkyynet DataHub all’interno del perimetro aziendale

Cosa si può fare con Skkynet e SkkyHub?

Skkynet, con SkkyHub ™ forniscono una efficace soluzione per affrontare tutti i tradizionali problemi di security nell’accesso remoto ai dati dell’impianto.

Ecco come:

  • Protezione da attacchi/incidenti da Internet. Con SkkyHub di Skkynet si installa un Agent all’interno della rete OT che raccoglie le informazioni sull’impianto e le invia ai server di dati in tempo reale di Skkynet. Poiché questa connessione è solo in uscita, dall’impianto a Internet, non è necessario aprire alcuna porta TCP in entrata nel firewall e quindi la rete OT di impianto non è esposta ad attacchi o incidenti da Internet.
  • Protezione da attacchi/incidenti provenienti dalla rete IT. È buona norma isolare l’impianto dalla rete IT, secondo quanto contenuto anche nello standard ISA/IEC62443, utilizzando firewall e/o router che consentano solo connessioni in uscita dall’impianto alla rete IT, utilizzando una DMZ (De-Militarized Zone) . Utilizzando il servizio SkkyHub, la rete IT può essere trattata come una connessione “non affidabile” all’impianto e firewall aggiuntivo posto tra le due reti, non consentendo connessioni in entrata alla rete OT. Le interruzioni sulla rete IT non influenzeranno il flusso di dati all’interno della rete dell’impianto, sebbene potrebbero influire sul flusso di dati dall’impianto al servizio Skkynet. L’impianto rimane sicuro e funzionante, anche se l’accesso remoto ai dati è interrotto o degradato in termini di prestazioni.

SkkyHub di SkkyNet per gli accessi sicuri da remoto

Con SkkyHub di SkkyNet abbiamo una soluzione per affrontare i tradizionali problemi di security per l’accesso remoto ai dati d’impianto.

Ecco alcuni dettagli per la sicurezza dati ed accessi:

  • Accesso solo ai dati necessari/richiesti. Tramite SkkyHub, il personale di impianto decide quali dati rendere disponibili da remoto. I responsabili della gestione dell’impianto possono scegliere qualsiasi sottoinsieme dei dati prodotti da macchine ed impianti per renderli disponibili agli utenti remoti, in modo ordinato/organizzato. Ogni gruppo può avere le proprie autorizzazioni di lettura/scrittura con limitazioni basate sul nome utente remoto e sull’indirizzo IP da cui l’utente remoto si connette. L’utente remoto non può in nessun modo estendere il suo accesso ai dati oltre a quanto ha deciso il responsabile dell’impianto.
  • Nessuna esposizione oltre alla porzione di rete dell’impianto definita. Il servizio SkkyHub non crea una VPN o alcun tipo di struttura di rete generica. Effettua solo una connessione TCP per la trasmissione dei dati. Di conseguenza, nessuna macchina partecipante è mai esposta a un’altra tramite una rete locale o VPN. I dati possono essere instradati attraverso proxy di rete, proxy di dati e server DMZ per garantire che la rete dell’impianto non abbia mai una connessione diretta a Internet, anche per le connessioni in uscita. I sistemi partecipanti al servizio Skkynet non condividono mai una rete o una sottorete.
  • Costi limitati e scalabili. SkkyHub risolve moti dei problemi di security, riducendo così in modo sostanziale i costi di implementazione e scaricando l’impegno (e responsabilità) dell’IT. Spesso un impianto può installare il servizio Skkynet senza alcuna modifica all’infrastruttura IT esistente: non è necessario attingere a competenze IT aggiuntive o installare altre apparecchiature in rete. Spesso l’unico costo è il tempo per la configurazione dell’Agent Skkynet (semplice ed alla portata di personale con minimo skill IT/OT) e del servizio Skkynet stesso, con un canone periodico dai costi ben definiti.

La tecnologia di Skkynet segue le buone pratiche del settore utilizzando connessioni SSL per tutto il traffico Internet e connessioni sicure (trusted) con utilizzo di certificati. Ciò migliora la security per la rete OT e per l’IoT industriale e protegge da molte minacce, tra le quali lo snooping della rete OT e attacchi man-in-the-middle.

Di seguito qualche esempio di architettura realizzata con SKKYNET

Fonte.