Applicando in modo diffuso e continuo un paradigma rivoluzionario come quello che caratterizza l’Industry 4.0 le aziende del gruppo ILPA si sono trovate quasi in automatico di fronte alla necessità di proteggere la continuità. Quella operativa, di produzione e di business, tutte minacciate sia da guasti accidentali che intenzionali. La soluzione è stata puntare sulla tecnologia di rete Software Defined Network, con un progetto Stoorm5 chiamato Edge SDN, non solo conforme alle normative, ma anche meritevole di un posto in finale ai Digital360 Awards 2024 nella categoria Information & Cybersecurity.
Una security zone compliant ed efficace
Partendo dalla normativa IEC 62443, la zona di sicurezza implementata ha comportato la segregazione di dispositivi industriali con percorsi di propagazione dei dati sicuri e perimetrati. Ma non ha comportato alcuna modifica della rete esistente, rispettando tutti i requisiti tipici di quando si vuole e si deve mettere in sicurezza gli asset informatici di stabilimento.
Evitare di cambiare configurazione di rete e di dispositivi, per esempio, ma anche riutilizzare quanto possibile l’infrastruttura esistente, senza introdurne di nuova, ma non per questo rinunciando a rendere il reparto OT autonomo rispetto alla gestione della protezione. E poi, da assicurare, ci sono anche la compliance e la possibilità di far gestire il sistema anche a operatori non professionali.
Gli aspetti tecnologici della soluzione
La tecnologia Software Defined Network presente negli switch del cliente è alla base della soluzione che ha permesso di ridefinire la segregazione degli asset e i percorsi di instradamento della VLAN di stabilimento. Questo è avvenuto attraverso diversi passaggi, tra cui una micro-segmentazione minimizzata al traffico necessario alle attività produttive e una esplorazione delle vulnerabilità analizzando il traffico degli switch.
Il team OT e quello IT hanno lavorato sulle varie fasi progettuali per circa 6 mesi. Il primo si è focalizzato soprattutto sull’assessment iniziale, per creare le Security Zone e i Conduit. Il secondo sulla riconfigurazione degli switch SDN e sulla gestione della infrastruttura virtualizzata della Console di Edge SDN. Proseguendo, si è arrivati anche ad affrontare l’analisi delle comunicazioni tra Security Zone per identificare il traffico applicativo davvero necessario all’attività produttive. Una Central Management Console ha preso in carico la gestione della rete e la riconfigurazione degli swicth in modalità SDN, poi è stato configurato l’ambiente di gestione per rendere autonomo il reparto OT.
“Sicurezza sicura”, moderna e replicabile
La prima caratteristica apprezzata di questa soluzione basata su SDN è la sicurezza introdotta nella rete attraverso l’uso di standard switch di mercato. La protezione risulta basata sulla IEC62443 in modo indipendente dal comportamento degli operatori OT e questo tranquillizza chi implementa una nuova soluzione.
Essenziale anche la segregazione automatica di un attaccante e la continuità operativa assicurata, anche in presenza di una compromissione. La possibilità di integrazione con altri sistemi di protezione, l’indipendenza del reparto OT da quello IT e la conformità agli standard internazionali sono altri punti di forza decisivi per questa soluzione che si distingue anche per la sua replicabilità.
Edge SDN riutilizza la rete esistente per la segregazione e la protezione delle informazioni e sfrutta switch SDN standard di mercato, assicurando comunque una protezione non by-passabile e la sua facile replicabilità, in qualsiasi rete industriale. Oltre all’uso di switch SDN, il team di Stoorm5, sta estendendo questo approccio anche a switch non SDN compatibili, permettendo così la protezione a tutta la rete.
