La migrazione in atto a livello di infrastrutture industriali nel quadro di quello che viene riferito come Industry 4.0, accompagnata dalla diffusione dell'IoT, sta ponendo serie sfide ai gestori delle reti che collegano i sensori e gli apparati di controllo. Una ulteriore sfida è posta dall'esigenza di erogare servizi a qualità garantita sia nell'ambito delle public utilities quali l'energia, il gas o il settore idrico, che nei trasporti pubblici e nella PA.
Si tratta di settori che per la loro criticità necessitano di una elevata sicurezza nelle operation e la garanzia che i dati che viaggiano in rete siano protetti, inalterabili e certi nella loro consegna.
Quello che serve in sostanza, evidenzia Luigi Meregalli, general manager di CIE Telematica e storicamente rappresentante unico di RAD in Italia, sono sistemi di Service Assured Networking (SAN) pensati specificatamente per essere applicati in infrastrutture critiche.
Esistono però diversità a seconda del settore e per questo RAD si è mossa su due diverse linee che si sono consolidate in due principali categorie di soluzioni.
La prima risponde alle esigenze delle infrastrutture critiche di mercati verticali quali le citate Utilities, il Trasporto e la PA. Comprende soluzioni di Operational WAN (con apparati Megaplex), Automation Backhaul (con la soluzione SecFlow), Wireless Point-to-Point e Point-to-Multipoint (con la famiglia Airmux), Teleprotezione (le soluzioni Megaplex), Rugged LAN per ambienti critici (sempre con SecFlow) e di broadband mobility (Airmux).
Per quanto riguarda le applicazioni rivolte alle power utility, RAD ha posizionato i propri prodotti nella distribuzione e nella trasmissione di energia concentrandosi su quanto non coinvolge il lato della generazione.
Si tratta, evidenzia Meregalli, di interventi a largo respiro volti ad assicurare sia le corrette funzioni di rete, che la sicurezza delle informazioni e l'operatività delle infrastrutture anche in ambienti estremi, il tutto in linea con le normative che sottostanno alle soluzioni SCADA.
Reti SCADA sicure con RAD e CheckPoint
SCADA (acronimo di "Supervisory Control And Data Acquisition") si riferisce a un sistema di gestione e controllo distribuito per il monitoraggio di sistemi fisici.
Tipicamente, i sistemi di tipo SCADA sono costituiti da sensori, che effettuano misurazioni di grandezze fisiche, microcontrollori, una rete che collega i microcontrollori con il supervisore, un computer con funzione di supervisore che raccoglie i dati e ne estrae le informazioni utili e che fa scattare allarmi in caso di malfunzionamenti.
E' proprio la rete e il diffondersi di applicazioni informatiche di nuova generazione che può aprire la strada ad attacchi alla sicurezza e creare danni anche seri agli operatori e agli utenti nel caso l'attacco portasse alla interruzione di servizi critici.
Per mitigare o annullare del tutto i rischi di attacchi, RAD ha stretto un accordo con Check Point per sfruttarne nei suoi apparati, come ad esempio la famiglia SecFlow, i criteri e le tecnologie per la sicurezza delle reti e delle applicazioni.
In particolare, l'accordo è relativo alla integrazione nel portfolio di prodotti SAN di RAD della soluzione
ICS Security Gateway di CheckPoint. Il risultato è che diventa possibile disporre di una soluzione che gestisce in modo sicuro tutti gli accessi elettronici al perimetro di sicurezza elettronico (ESP) delle sottostazioni di un impianto e protegge l'asset interno al perimetro da attacchi interni o esterni, compresi i classici ‘man-in-the-middle’, sessioni di hijacking, source-spoofing e DDoS.
SecFlow2 per la sicurezza delle infrastrutture
SecFlow2 è una soluzione che permette di connettere la tecnologia SCADA ai dispositivi RAD di sicurezza di rete della famiglia SecFlow attraverso la porta seriale in modo da creare un tunnel IPsec criptato nella rete VPN che comunica con un firewall Checkpoint .
Va osservato che i dispositivi SecFlow sono soluzioni Switch/Router in versione rugged e "SCADA aware", disponibili sia in versione compatta o in versione modulare. Tra le funzioni che realizzano vi sono: autenticazione, autorizzazione, cifratura, il tutto su reti fisse in rame o fibra e su reti mobili, sia a livello 2 che 3.
Specificatamente per la sicurezza, SecFlow-2, è un prodotto che incorpora la funzione di
Firewall che permette di disporre a livello di rete delle funzioni di sicurezza per applicazioni SCADA (IEC 104, Modbus TCP, e DNP3 DCP).
Il dispositivo monitorizza i comandi SCADA tramite la deep packet inspection in modo da verificare se essi corrispondono o meno agli scopi dell'applicazione. A questo aggiunge la funzione di gateway VPN con due diversi modi operativi: connessione tra siti con tunnel IPSec; acceso remoto SSH (Secure SHell).
In pratica, la connessione trasparente e sicura di reti Ethernet a livello 2 e 3 è assicurata tramite VPN intersite basate su tunnel GRE (Generic Routing Encapsulation) su link criptati IPSec. Per l'accesso remoto la sicurezza è assicurata tramite un tunnel SSH criptato, la autenticazione dell'utente e specifiche autorizzazioni e credenziali di accesso.