Ci sono le policy e ci sono le prassi aziendali. Entrambe hanno a che fare con la sicurezza. La vostra azienda ha prassi definite da far rispettare ai fornitori quando questi ultimi si collegano ai controlli industriali, sia da connessione remota che in loco? Se il fornitore toccasse i sistemi senza alcuni accorgimenti, infatti, la sicurezza dei dati aziendali potrebbe essere a rischio. Gli esperti evidenziano alcune prassi da eseguire per proteggere efficacemente i sistemi di controllo industriale in queste situazioni.
Le policy quando il fornitore è in sede…
Quando un venditore arriva sul posto, prima di iniziare a lavorare sui sistemi di controllo industriale gli esperti consigliano di rivedere con lui le vostre aspettative in merito alle prestazioni di sicurezza. Alcune considerazioni fondamentali da fare sono:
- prima di utilizzare qualsiasi portatile multimediale (come, per esempio, unità USB) o collegare computer portatili ai sistemi di controllo industriali, assicuratevi che questi device non contengano alcun malware. Verificate sempre che sui computer portatili sia installato un antivirus, che le firme sono aggiornate e una scansione sia stato eseguita prima di collegare il dispositivo mediante cavo o via wireless
- spesso i fornitori portano sul posto di lavoro i propri wireless access point e li connettono al collegamento Internet più vicino (e spesso si tratta della rete aziendale): ebbene, assicuratevi che i venditori sappiano di non poter collegare i propri dispositivi alla rete aziendale senza esplicito consenso, preferibilmente scritto. E se impostano un punto di accesso devono essere applicati i requisiti di sicurezza fondamentali per gli ID di trasmissione (come SSID) e la password. Non dovrebbe essere permesso l’utilizzo di password di default, indipendentemente da dove sia collegato il punto di accesso
- ricordare il fornitore che tutte le modifiche al sistema di controllo industriale devono essere pre-approvate dal vostro punto di contatto in loco. Non lasciate che il fornitore apporti modifiche senza prima discuterne con voi gli effetti e prima che vi garantisca la presenza di un piano di back-out pronto per essere attuato
… e quando invece lavora da remoto
Spesso il venditore prevede l’accesso a distanza alle apparecchiature e ai sistemi tramite dial-up a o via Internet. Se condotto in modo errato, questo tipo di accessi può portare a seri problemi di sicurezza IT. Ecco cosa fare, secondo gli esperti, per gestire gli accessi da remoto senza incorrere in problemi.
- Il mezzo migliore e più sicuro di stabilire l’accesso remoto per il venditore è tramite una rete privata virtuale (VPN). Questo VPN dovrebbe essere impostato per avere il punto di contatto iniziale sia nella rete aziendale che in DMZ, ma non direttamente alla rete di produzione. La VPN dovrebbe essere criptata o incanalata attraverso un tunnel SSL. Inoltre, gli esperti raccomandano di richiedere sempre al venditore di utilizzare l’autenticazione a due fattori
- Alcune organizzazioni utilizzano un approccio “a tempo” che consente l’accesso al fornitore solo per una durata preimpostata. Inoltre, l’accesso ad hoc per alcuni fornitori andrebbe consentito solo con un permesso esplicito da parte del personale dello stabilimento
- I termini e le condizioni contrattuali devono richiedere al fornitore di informare la vostra azienda quando uno dei venditori che aveva in precedenza l’accesso alla connessione remota non lavora più per quel fornitore. Ciò permette di evitare accessi “accidentali” di personale non autorizzato