Un nuovo modo di segmentare e proteggere la rete di fabbrica/impianto (con riferimento a IEC62443)

Da molto tempo parliamo della necessità di segmentare e proteggere la rete di fabbrica secondo quanto contenuto nello standard IEC62443 e come consigliato dai maggiori esperti per evitare eventuali propagazioni di problemi e contaminazioni da una zona della rete all’altra.

Poi quando ci viene presentato il caso concreto da parte di un Cliente, ecco che dobbiamo spesso scendere a compromessi: il Cliente vuole proteggere solo “quella parte della rete”, in quanto un intervento su “tutta la rete” potrebbe risultare troppo intrusivo e spesso anche troppo costoso, in definitiva, poco praticabile se la segmentazione fosse estesa a tutto la rete di fabbrica.

Non si tratta di non capire l’obiettivo della necessità di proteggere adeguatamente i sistemi di controllo ed automazione o di non apprezzarne i benefici, il problema è colmare il divario tra dove sono oggi e ciò che è necessario per implementare una rete segmentata completa e sostenibile in futuro.

È una strada lunga da percorrere e spesso le risorse sono scarse. Ne abbiamo parlato spesso anche in altri altri white paper sull’argomento.

La maggior parte delle soluzioni utilizza un approccio esteso all’intera rete per pianificare una soluzione.

Anche GE Digital ha pubblicato una guida parlando dell’importanza delle strategie e delle zone di segmentazione virtuale per uno SCADA con iFix e/o Cimpicity: si tratta di un documento molto valido, con una bella grafica che mette in evidenza molti punti importanti.  ( la trovate qui   https://www.ge.com/digital/sites/default/files/download_assets/ifix-secure-deployment-guide.pdf )

Questi alcuni punti che troviamo come ostacoli:

• Gli impianti e gli apparati elettro strumentali dei macchinari industriali si trovano spesso dentro cabinet (armadi) elettrici in posizioni fisse, in prossimità di macchinari ed impianti, talvolta distanti tra di loro e difficilmente raggiungibili, e quasi certamente non possono essere spostati  
• La vera segmentazione della rete, quella fisica, risulta quindi ancora più complessa di quanto si pensi, e spesso risulta difficile connettere in zone congrue tutti quegli endpoint fisicamente distanti e separati
• Le tecniche di rete aziendali tradizionali, come VLAN e regole di routing, sono a volte difficili da implementare e gestire con il personale limitato che si occupa di sistemi e reti ICS/OT

SOMMARIO DEL WHITE PAPER

• La segmentazione della rete ICS/OT
• Approcci alla segmentazione dell’intera rete
• Approccio alla “segmentazione selettiva”
• Cos’è un Trusted Domain Segment?