Garantire la sicurezza informatica a lungo termine con Bihl+Wiedemann
ASi garantisce la massima sicurezza dei dati
La sicurezza informatica è oggi indispensabile ovunque, anche nel settore della sicurezza funzionale. Con l'avvento dell'Industria 4.0 nella tecnologia della sicurezza, sempre più dati diagnostici e informazioni aggiuntive vengono scambiate attraverso le reti. Poiché i sistemi di sicurezza e standard sono spesso collegati tramite interfacce TCP/IP in ambienti IT e OT, emergono nuove vulnerabilità. È quindi fondamentale che tutti i sistemi siano sicuri dal punto di vista informatico.
Con la tecnologia ASi, Bihl+Wiedemann garantisce la massima sicurezza dei dati in tutti i settori: tutti i moderni gateway ASi-5/ASi-3 possono essere aggiornati e, grazie al firmware certificato, possono soddisfare i futuri requisiti di sicurezza anche molto tempo dopo la messa in funzione. Inoltre, l'interruzione della comunicazione tra ASi e TCP/IP aumenta la sicurezza informatica. Ciò significa che gli elevati requisiti di sicurezza devono essere posti solo sul master ASi e non su un gran numero di dispositivi di campo. Per garantire la sicurezza dei dati nel mondo IT, offriamo anche metodi di crittografia autenticati come AES-256 con SHA fino a 512 o RSA. Sono inoltre supportati certificati personalizzati per la comunicazione TLS e OPC UA.
Indice
- ASi garantisce la massima sicurezza dei dati
- ASi rende difficile la registrazione dei messaggi scambiati
- Aggiornamenti del firmware – garantiscono l'integrità del sistema a lungo termine
- L'interruzione comunicativa tra ASi e TCP/IP aumenta la sicurezza informatica
- Ulteriori misure per una maggiore sicurezza
- Pacchetto software per PC specifico per i requisiti di sicurezza informatica
- Effetti del Cyber Resilience Act sull'utilizzo dell'ASi
- FAQ sul tema della sicurezza informatica
Aggiornamenti del firmware – garantiscono l'integrità del sistema a lungo termine
Gli aggiornamenti del firmware sono più importanti che mai in un'epoca in cui la rete è sempre più estesa. Questo perché contribuiscono in modo decisivo alla sicurezza e alle prestazioni dei dispositivi. Aggiornamenti regolari possono colmare in modo rapido ed efficacele future lacune di sicurezza che potrebbero consentire l'accesso agli aggressori.
Il processo di aggiornamento dei componenti Bihl+Wiedemann si basa sulla premessa che l'integrità del sistema deve essere sempre garantita. Garantiamo ciò con le seguenti misure:
- Tutti i moderni gateway ASi-5/ASi-3 possono essere aggiornati e soddisfare i futuri requisiti di sicurezza anche molto tempo dopo la messa in funzione.
Il firmware sul server di aggiornamento è firmato
Crittografia end-to-end basata su certificati tra il server di aggiornamento e il dispositivo da aggiornare
La crittografia end-to-end impedisce l'infiltrazione di malware nei dispositivi Bihl+Wiedemann.
La sincronizzazione con il server garantisce il rilevamento delle versioni del firmware obsolete.
Il processo certificato dal TÜV è approvato anche per il firmware dei prodotti di sicurezza
L'interruzione comunicativa tra ASi e TCP/IP aumenta la sicurezza informatica
La sicurezza informatica è aumentata anche dal fatto che il gateway crea un'interruzione logica tra TCP/IP e ASi, nonché ASi Safety. I requisiti di sicurezza elevati devono quindi essere posti solo sul master ASi, che stabilisce la connessione al TCP/IP. I moduli ASi, invece, sono molto meno problematici in termini di sicurezza, poiché non possono comunicare nelle reti TCP/IP. I responsabili della sicurezza di rete devono quindi concentrarsi su un numero molto inferiore di dispositivi e possono controllarli con maggiore attenzione.
Il gateway per bus di campo ASi-5/ASi-3 di Bihl+Wiedemann disaccoppia fisicamente il TCP/IP dall'ASi-5 e dall'ASi-5 Safety, cioè dal bus di campo e dal livello di campo. Questo vale per i sensori e gli attuatori con connessione ASi integrata. Ma anche per i moduli ASi e i sensori e attuatori ad essi collegati, anche con protocolli seriali come IO-Link.
ASi rende difficile la registrazione dei messaggi scambiati
AS-Interface è sempre stata praticamente a prova di intercettazione. Il motivo è che sia l'ASi-3 che l'ASi-5 hanno metodi di comunicazione speciali che sono molto difficili da intercettare e analizzare. Ciò è garantito, nel caso dell'ASi-3, dagli specifici impulsi sin² e, nel caso dell'ASi-5, dal metodo OFDM (Orthogonal Frequency-Division Multiplexing) personalizzato con assegnazione dinamica delle frequenze. Ciò rende la registrazione dei messaggi scambiati molto difficile, soprattutto nel caso di ASi-5 e ASi-5 Safety. Questo perché è necessario l'intero contesto della configurazione della connessione tra il master ASi e il partecipante ASi. Inoltre, è necessaria una precisa sincronizzazione delle frequenze di clock, come avviene tra il master ASi e il partecipante ASi secondo il protocollo ASi-5.
Queste procedure rendono l'ASi molto più a prova di intercettazione rispetto ai protocolli Ethernet industriali esistenti, che possono essere intercettati da componenti di rete disponibili in commercio.
Ulteriori misure per una maggiore sicurezza
Per garantire la sicurezza dei dati, Bihl+Wiedemann offre metodi di crittografia autenticati come AES-256 con SHA fino a 512 o RSA. Sono inoltre supportati certificati personalizzati per la comunicazione TLS e OPC UA. Ciò consente di integrare perfettamente i dispositivi nei concetti di sicurezza IT esistenti. Bihl+Wiedemann offre anche la possibilità di utilizzare aggiornamenti software firmati che vengono autenticati dal dispositivo prima dell'uso. Gli aggiornamenti software e OPC UA possono anche essere bloccati localmente sul dispositivo: una protezione affidabile e assoluta.
Ulteriori misure di sicurezza vengono continuamente implementate e messe regolarmente a disposizione grazie all'aggiornamento del firmware. Ad esempio, è prevista la crittografia della comunicazione Safe Link, delle chip card dei gateway e della gestione degli utenti nei gateway.
Pacchetto software per PC specifico per i requisiti di sicurezza informatica
Se necessario, offriamo una versione del nostro pacchetto software per PC appositamente ottimizzata per i requisiti di sicurezza informatica dell'IT, soprattutto nel contesto di gruppi di utenti più numerosi, e continuamente migliorata. Ad esempio, questa versione supporta la gestione degli utenti con protezione tramite password e diritti individuali all'interno del software, nonché un “logout di sicurezza” automatico dopo un lungo periodo di inattività. Ciò significa che anche l'accesso ai dispositivi tramite i PC del sistema è effettivamente limitato al gruppo di persone autorizzate.
Effetti del Cyber Resilience Act sull'utilizzo dell'ASi
Secondo il Cyber Resilience Act (CRA), i dispositivi con AS-Interface (ASi) rientrano generalmente nella categoria "Prodotti con elementi digitali", ma non nelle categorie molto più severe "Prodotti importanti con elementi digitali" o "Prodotti critici con elementi digitali". Ciò significa che devono essere soddisfatte alcune valutazioni del rischio e funzioni di base, ma queste possono essere realizzate sia con ASi-3 che con ASi-5.
In particolare, per i dispositivi più complessi e parametrizzabili di Bihl+Wiedemann, ossia i gateway e i gateway di sicurezza, viene implementata la gestione degli utenti, che si applica anche ai moduli collegati. Anche per questi dispositivi deve essere possibile l'aggiornamento del software sul campo, come già avviene per tutti i nostri attuali gateway e gateway di sicurezza.
La cybersicurezza è più attuale che mai. In campo industriale acquista importanza crescente soprattutto la stabilità di processo e di produzione.
ASi-5 Safety è per sistema a prova di intercettazione, come anche la comunicazione Standard ASi-5. Il motivo: a causa della trasmissione di dati tramite OFDM con assegnazione dinamica delle frequenze, la registrazione dei messaggi scambiati è molto dispendiosa. È necessario cioè l'intero contesto della configurazione della connessione tra master ASi e partecipante ASi. Inoltre, è necessaria una sincronizzazione esatta delle frequenze di clock, come avviene tra master e partecipante ASi conformemente al protocollo ASi-5.
La cybersicurezza è aumentata anche dal fatto che attraverso il gateway si verifica un’interruzione della logica tra TCP/IP e ASi-5 e ASi-5 Safety. Gli elevati requisiti di sicurezza devono quindi essere posti solo sul master ASi-5, che stabilisce il collegamento al TCP/IP. I moduli ASi-5, invece, sono molto meno problematici in termini di sicurezza, in quanto non possono comunicare nelle reti TCP/IP. I responsabili della sicurezza della rete possono quindi concentrarsi su un numero significativamente inferiore di apparecchi e controllarli con maggiore attenzione.
A causa del forte collegamento in rete dei dispositivi di Industria 4.0, il tema della sicurezza dei dati sta assumendo un'importanza enorme, poichè qualsiasi dispositivo con accesso ad altri dispositivi in una rete può essere utilizzato come piattaforma di attacco. Noi consentiamo la perfetta integrazione dei nostri dispositivi nei concetti di sicurezza IT esistenti e garantiamo la sicurezza dei dati come segue:
Tutti i moderni gateway ASi-5/ASi-3 sono aggiornabili e possono soddisfare i futuri requisiti di sicurezza anche dopo la messa in funzione.
Il firmware sul server di aggiornamento è firmato.
Ogni dispositivo compatibile con il protocollo TCP/IP riceve un certificato individuale per la comunicazione SSL in produzione.
ASi aumenta la sicurezza attraverso l’interruzione della comunicazione tra TCP/IP e i dispositivi sul campo.
OPC UA utilizza metodi di crittografia consolidati come AES-256 con SHA fino a 512 o RSA.
Gli aggiornamenti software e OPC UA possono essere bloccati anche localmente sul dispositivo: una protezione affidabile e assoluta.
Di solito i dispositivi con AS-Interface (ASi) rientrano nella categoria di "prodotti con elementi digitali", ma non nelle categorie di prodotti dai criteri decisamente più rigidi, cioè i "prodotti importanti con elementi digitali" e i "prodotti critici con elementi digitali".
Bisogna quindi soddisfare alcune valutazioni fondamentali dei rischi e funzionalità che, tuttavia, sia ASi-3 che ASi-5 sono in grado di offrire.
In particolare, nei dispositivi Bihl+Wiedemann più complessi e parametrizzabili - quindi i gateway e i gateway di sicurezza - è implementata una gestione utente valida anche per i moduli collegati. Per questi dispositivi deve essere possibile anche l'aggiornamento software in campo, il che è già ora il caso per tutti i nostri attuali gateway e gateway di sicurezza.
I fabbricanti sono inoltre tenuti al monitoraggio e all'eventuale risoluzione di possibili lacune di sicurezza dei loro software e delle biblioteche utilizzate. Bihl+Wiedemann è consapevole di questa responsabilità che si assume pienamente già oggi.
Il processo di aggiornamento dei componenti Bihl+Wiedemann segue la premessa: L'integrità del sistema deve essere sempre garantita.
L'integrità dei dati è un requisito di base fondamentale nei sistemi di automazione. Con l'aumento della rete di dispositivi, tuttavia, questo requisito non è più sufficiente. Piuttosto, deve essere garantita l'integrità dell'intero sistema, non solo della trasmissione, ma anche del software o del firmware dei singoli componenti.
ZVEI e. V., l'associazione dell'industria elettrica e digitale, ha riassunto in un white paper, ciò che conta quando si ha a che fare con l’integrità.
- Gli aggiornamenti svolgono un ruolo importante nell'eliminazione delle vulnerabilità rilevanti per la sicurezza dei componenti.
- Gli aggiornamenti devono essere controllati per verificarne l'integrità e l'autenticità prima di essere installati (soprattutto per escludere modifiche da parte di possibili aggressori).
- Se l'integrità è violata, l'aggiornamento non deve essere installato.
- Le semplici checksum non forniscono una protezione contro le modifiche intenzionali da parte degli aggressori, in quanto possono anche essere manipolate.
- Le firme o le funzioni hash crittografiche basate su chiavi invece proteggono efficacemente da una modifica della checksum.
Le nostre misure tengono coerentemente conto delle specifiche di ZVEI. Come garantiamo in modo affidabile la vostra sicurezza nel processo di aggiornamento:
- Crittografia end-to-end basata su certificato tra il server di aggiornamento e il dispositivo da aggiornare.
- La crittografia end-to-end impedisce l'infiltrazione di malware nei dispositivi Bihl+Wiedemann.
- Il confronto con il server garantisce il rilevamento di versioni del firmware non aggiornate.
- La procedura approvata dal TÜV è autorizzata anche per il firmware dei prodotti di sicurezza.
Riteniamo che questa serie di norme sia la migliore attualmente in vigore per la sicurezza del settore Sistemi di automazione e controllo industriale (Industrial Automation and Control Systems - IACS). Si è partiti dal presupposto che l'ulteriore sviluppo di questa norma venisse armonizzata per il CRA, cioè che venisse accettata come standard tecnico conformemente al CRA. In base al grado di pericolo, la serie di norme prevede diversi Security Level (SL) che si differenziano per il grado di protezione della rispettiva misura attuata. Probabilmente i dispositivi di livello superiore ai sensi del CRA (prodotti importanti o critici) dovranno soddisfare SL più rigidi.
Sia ASi-3 che ASi-5 possiedono metodi di comunicazione particolari, molto difficili da intercettare e analizzare. Questa caratteristica è garantita dagli impulsi sin2 specifici di ASi-3 e dall'adattamento del processo OFDM (Orthogonal Frequency-Division Multiplexing) nel caso di ASi-5.
Questi processi rendono le soluzioni ASi molto più sicure rispetto ai protocolli Ethernet industriali disponibili che, al contrario, possono essere intercettati con i comuni componenti network in commercio.
Should we find a software vulnerability in one or more devices, the stock is immediately blocked and checked so that no further devices are delivered until the vulnerability has been fixed.
Since 2019, we have offered customers the option of updating newer devices that they have already received themselves. We also offer a TÜV-certified process for security-related firmware updates.
Should we become aware of any security issues, all customers will be informed promptly.
Se scopriamo una vulnerabilità nel software di uno o più dispositivi, lo stock viene immediatamente bloccato e controllato in modo che non vengano forniti altri dispositivi finché la vulnerabilità non è stata corretta.
Per i dispositivi più recenti, dal 2019 offriamo ai clienti la possibilità di aggiornare i dispositivi che hanno già ricevuto. Offriamo anche un aggiornamento del firmware rilevante per la sicurezza con una procedura certificata TÜV.
Se dovessimo riscontrare problemi di sicurezza, tutti i clienti saranno informati tempestivamente.