La vostra infrastruttura di rete è voluta o casuale?
Pensateci un attimo. Come fate per far sì che sistemi diversi condividano i dati?
Naturalmente il modo più semplice è quello di mettere tutto sulla stessa rete. E questo non è un caso raro.
Per comodità, un'organizzazione può decidere di realizzare una rete “piatta” e non segmentata, dove lo scambio di informazioni è libero. Generalmente una rete non segmentata è il risultato non pianificato derivante da un'infrastruttura preesistente che si è espansa nel tempo senza sfruttare i vantaggi delle reti VLAN, dei firewall e di altri dispositivi di protezione.
Il problema delle reti non segmentate
Indipendentemente dai motivi che l’hanno generata, una rete non segmentata assicura un facile accesso e semplicità di comunicazione, ma lo fa a caro prezzo.
In primo luogo, un'infrastruttura di rete piatta e non segmentata espone tutti i dati, sia quelli critici sia quelli non critici, ai rischi legati alla sicurezza informatica. Senza barriere o limitazioni di accesso alla rete, gli hacker possono sfruttare i punti di ingresso più vulnerabili e accedere a tutti i dispositivi collegati.
I contenuti a rischio possono essere di qualsiasi tipo: dalle informazioni sulla produzione e le ricette fino ai dati sugli studi clinici, ai prezzi e alle strategie di marketing.
Inoltre, una rete non segmentata è in genere una rete poco efficiente. Le aziende inizialmente potrebbero non essere consapevoli dei problemi correlati alle prestazioni semplicemente perché riescono a gestire comunque la loro attività. Ma, via via che i sistemi vengono aggiornati e si aggiungono nuove capacità, il traffico di rete aumenta, le collisioni e i rallentamenti della rete si verificano più frequentemente, e spesso emergono problemi di produzione.
Se qualche volta vi è capitato di perdere dei dati o visibilità del sistema, sapete bene a cosa mi riferisco.
Nell'ambito di un approccio di difesa in profondità, la segmentazione della rete - o la suddivisione di una rete in reti più piccole - può contribuire a ridurre il traffico non necessario e a limitare ciò che potrebbe essere immediatamente disponibile per un eventuale hacker.
Segmentare un sistema
Quando avete costruito il vostro sistema di automazione, avete considerato come progettare la rete? E come avete eseguito la segmentazione per ridurre i rischi di potenziali violazioni e migliorare le prestazioni della rete?
In base alla mia esperienza, la aziende del settore Life Science sono abilissime a gestire i processi di produzione. Molte, tuttavia, non si rendono conto di come le loro scelte abbiano un impatto sull'infrastruttura di rete. Di conseguenza, spesso non sono consapevoli della mole di dati e di traffico presenti nella loro infrastruttura nonché dei potenziali rischi e dei limiti delle prestazioni.
Un audit di sistema può aiutarvi a capire meglio quali dati gestisce il vostro sistema, come comunicano i dispositivi e come viaggiano le informazioni. Come primo passo, questa verifica vi fornirà le informazioni fondamentali necessarie a identificare i potenziali rischi e valutare i miglioramenti delle prestazioni.
Una volta conclusa questa fase, una valutazione dei rischi in conformità con le linee guida della norma IEC 62443 è considerata una best practice ai fini di una progettazione e segmentazione ottimali della rete.
La norma IEC 62443 contiene una serie di standard internazionali che forniscono un quadro flessibile per gestire e mitigare le vulnerabilità di sicurezza attuali e future nei sistemi di automazione e controllo industriali (IACS). Specificatamente, la norma IEC 62443-3-2 fornisce le linee guida per la valutazione del rischio.
Tale valutazione fornirà un quadro preciso della vostra attuale postura di sicurezza e di ciò che è necessario fare per ridurre al minimo i rischi.
Scoprirete che aree diverse del vostro sistema hanno esigenze di sicurezza diverse. La valutazione vi aiuterà a prendere decisioni riguardo al livello di rischio che siete disposti ad accettare per implementare nuove tecnologie e segmentare la rete in maniera logica per raggiungere gli obiettivi di sicurezza e di produttività prefissati.
A seconda delle vostre esigenze, potete scegliere diversi metodi di segmentazione, tra cui liste di controllo accessi, firewall, VLAN, zone demilitarizzate (IDMZ) e altre tecnologie.
Proteggere un impianto connesso
Tenete presente che la segmentazione della rete è solo una delle tante pratiche raccomandate nell’ambito di un approccio difensivo in profondità per la sicurezza informatica. Una strategia efficace include vari livelli di protezione che vanno da semplici dispositivi di sicurezza fisici come porte, a sofisticate protezioni elettroniche e procedurali.
Infine, una strategia è efficace se sviluppata all’interno di processo che richiede non solo una progettazione ben ponderata, ma anche interventi attivi di manutenzione continua.
Scoprite come Rockwell Automation può aiutarvi a progettare e gestire il vostro sistema in conformità con le norme IEC 62443 e verificate le nostre recenti certificazioni IEC 62443.
