La trasformazione in atto delle reti dei service provider in reti intelligenti, definite a software e dotate di intrinseche capacità di adattamento ai flussi variabili di traffico, è di certo un'evoluzione positiva sia per gli utenti che per gli operatori, che hanno la possibilità di erogare servizi basati sulla qualità del servizio in grado di soddisfare meglio sia le esigenze dei clienti che quelle di ottimizzare Capex e Opex.
Si tratta però di reti che proprio perchè sono intelligenti e sempre più basate sul software, interconnesse con altre reti e sistemi, inserite in ambienti cloud, diventano più suscettibili di attacchi di tipo cibernetico. In sostanza, più intelligenza implica più cyber risk e di conseguenza è necessario approntare soluzioni robuste per la loro sicurezza.
Valido per le reti di qualsiasi azienda in generale, lo è ancor di più per quelle reti che controllano l'erogazione di servizi primari come il gas, l'acqua, l'energia elettrica, i trasporti pubblici ed altri servizi di pubblica utilità.
Si tratta di sistemi che, evidenzia Luigi Meregalli, general manager di CIE Telematica, società di ingegneria specializzata nella progettazione e realizzazione di reti di accesso ad alte prestazioni in rame e in fibra, (http://cietelematica.it/), subiscono giornalmente migliaia di attacchi cibernetici e che quindi richiedono severi sistemi di protezione.
La sicurezza è uno degli aspetti maggiormente curati nei progetti di CIE per le reti delle public utilities, basati sulle piattaforme e i servizi di RAD, uno dei partner storici che CIE Telematica rappresenta in esclusiva in Italia.
In particolare, la protezione da attacchi cibernetici è fornita da soluzioni di Service Assured Networking che garantiscono che la rete operativa rimanga continuamente affidabile e protetta. In pratica, viene garantita la protezione del perimetro che nella parte di accesso della rete comprende il dispositivo RAD (come il Megaplex-4) e i dispositivi periferici che vi sono collegati.
La soluzione è aderente alle direttive North American Electric Reliability Corporation Critical Infrastructure Protection (NERC-CIP) e permette di migliorare la cyber security e i livelli di compliance con le normative tramite:
- Cifratura e protezione dell'integrità per le comunicazioni al di fuori del perimetro protetto.
- Firewall application (SCADA) aware.
- Registrazione/Monitoraggio di tutti i dispositive connessi a livello di sottostazione periferica.
In sostanza, osserva Meregalli, si viene a disporre di un livello di sicurezza SCADA-aware che comprende funzioni di firewall, di intrusion prevention e di rilevamento delle anomalie.
A questo si aggiunge anche la MACsec e la IPsec encryption, oltre che la verifica dlel'integrità dei dati, funzioni che nel complesso permettono di prevenire attacchi quali source-sproofing, session hijacking, Man in the Middle e DDoS.
Controllato è anche l'accesso locale remoto tramite funzioni per la user authentication e il controllo dei privilegi, il tutto in accordo agli standard Secure Shell (SSH), TACAS e RADIUS.