Garantire la sicurezza informatica a lungo termine con Bihl+Wiedemann

A causa del forte collegamento in rete dei dispositivi di Industria 4.0, il tema della sicurezza dei dati sta assumendo un'importanza enorme, poichè qualsiasi dispositivo con accesso ad altri dispositivi in una rete può essere utilizzato come piattaforma di attacco. Noi consentiamo la perfetta integrazione dei nostri dispositivi nei concetti di sicurezza IT esistenti e garantiamo la sicurezza dei dati come segue:

• Tutti i moderni gateway ASi-5/ASi-3 sono aggiornabili e possono soddisfare i futuri requisiti di sicurezza anche dopo la messa in funzione.

• Il firmware sul server di aggiornamento è firmato.

• Ogni dispositivo compatibile con il protocollo TCP/IP riceve un certificato individuale per la comunicazione SSL in produzione.

• ASi aumenta la sicurezza attraverso l’interruzione della comunicazione tra TCP/IP e i dispositivi sul campo.

• OPC UA utilizza metodi di crittografia consolidati come AES-256 con SHA fino a 512 o RSA.

• Gli aggiornamenti software e OPC UA possono essere bloccati anche localmente sul dispositivo: una protezione affidabile e assoluta.

Di solito i dispositivi con AS-Interface (ASi) rientrano nella categoria di "prodotti con elementi digitali", ma non nelle categorie di prodotti dai criteri decisamente più rigidi, cioè i "prodotti importanti con elementi digitali" e i "prodotti critici con elementi digitali".

Bisogna quindi soddisfare alcune valutazioni fondamentali dei rischi e funzionalità che, tuttavia, sia ASi-3 che ASi-5 sono in grado di offrire.
In particolare, nei dispositivi Bihl+Wiedemann più complessi e parametrizzabili - quindi i gateway e i gateway di sicurezza - è implementata una gestione utente valida anche per i moduli collegati. Per questi dispositivi deve essere possibile anche l'aggiornamento software in campo, il che è già ora il caso per tutti i nostri attuali gateway e gateway di sicurezza.

I fabbricanti sono inoltre tenuti al monitoraggio e all'eventuale risoluzione di possibili lacune di sicurezza dei loro software e delle biblioteche utilizzate. Bihl+Wiedemann è consapevole di questa responsabilità che si assume pienamente già oggi.

Il processo di aggiornamento dei componenti Bihl+Wiedemann segue la premessa: L'integrità del sistema deve essere sempre garantita.

L'integrità dei dati è un requisito di base fondamentale nei sistemi di automazione. Con l'aumento della rete di dispositivi, tuttavia, questo requisito non è più sufficiente. Piuttosto, deve essere garantita l'integrità dell'intero sistema, non solo della trasmissione, ma anche del software o del firmware dei singoli componenti.

ZVEI e. V., l'associazione dell'industria elettrica e digitale, ha riassunto in un white paper, ciò che conta quando si ha a che fare con l’integrità.

• Gli aggiornamenti svolgono un ruolo importante nell'eliminazione delle vulnerabilità rilevanti per la sicurezza dei componenti.
• Gli aggiornamenti devono essere controllati per verificarne l'integrità e l'autenticità prima di essere installati (soprattutto per escludere modifiche da parte di possibili aggressori).
• Se l'integrità è violata, l'aggiornamento non deve essere installato.
• Le semplici checksum non forniscono una protezione contro le modifiche intenzionali da parte degli aggressori, in quanto possono anche essere manipolate.
• Le firme o le funzioni hash crittografiche basate su chiavi invece proteggono efficacemente da una modifica della checksum.

Le nostre misure tengono coerentemente conto delle specifiche di ZVEI. Come garantiamo in modo affidabile la vostra sicurezza nel processo di aggiornamento:

• Crittografia end-to-end basata su certificato tra il server di aggiornamento e il dispositivo da aggiornare.
• La crittografia end-to-end impedisce l'infiltrazione di malware nei dispositivi Bihl+Wiedemann.
• Il confronto con il server garantisce il rilevamento di versioni del firmware non aggiornate.
• La procedura approvata dal TÜV è autorizzata anche per il firmware dei prodotti di sicurezza.

Riteniamo che questa serie di norme sia la migliore attualmente in vigore per la sicurezza del settore Sistemi di automazione e controllo industriale (Industrial Automation and Control Systems - IACS). Si è partiti dal presupposto che l'ulteriore sviluppo di questa norma venisse armonizzata per il CRA, cioè che venisse accettata come standard tecnico conformemente al CRA. In base al grado di pericolo, la serie di norme prevede diversi Security Level (SL) che si differenziano per il grado di protezione della rispettiva misura attuata. Probabilmente i dispositivi di livello superiore ai sensi del CRA (prodotti importanti o critici) dovranno soddisfare SL più rigidi.

Perché l'impiego di ASi risulta una soluzione intelligente con l'introduzione del Cyber Resilience Act (CRA)?

Sia ASi-3 che ASi-5 possiedono metodi di comunicazione particolari, molto difficili da intercettare e analizzare. Questa caratteristica è garantita dagli impulsi sin² specifici di ASi-3 e dall'adattamento del processo OFDM (Orthogonal Frequency-Division Multiplexing) nel caso di ASi-5.
 

Questi processi rendono le soluzioni ASi molto più sicure rispetto ai protocolli Ethernet industriali disponibili che, al contrario, possono essere intercettati con i comuni componenti network in commercio.