Thinking security to ensure productivity La strategia di Siemens per la sicurezza degli impianti industriali www.siemens.com/industrial-security
Industrial Security Prerequisito fondamentale per la digitalizzazione Digitalizzazione Connettività totale Big data Utilizzo di standard aperti Aumento vulnerabiltà in ambito industriale Sabotaggio impianto Utilizzo non autorizzato Indisponibilità produzione a causa di malware Industrial Security: Proteggere il mondo reale e digitale
La sfida della digitalizzazione Il problema è reale anche in ambito OT 51% delle compagnie in Germania ha subito un attaco sulla security negli ultimi due anni 1 Automotive (68%), Chemicals e Pharma (66%) le industrie che hanno subito maggiormente attacchi 1 e 1 Billion Euro è la stima delle mancato ricavo early loss in Germania dovuti ad attacchi sulla security 1 Nella prima metà del 25 negli U.S.A il 19% dei problemi riportati sono stati causati da network scanning e il 4% usando meccanismi di tipo Brute Force 2 Ma nel 28% dei casi non è stato possibile identificare la causa di infezione 2 e ci vuol del tempo: mediamente il periodo impiegato per accorgersi dell attacco subito è tra 98 e 197 giorni 3 C è una significativa necessità e bisogno di utilizzare sistemi di industrial security per rilevare, tracciare e reagire rapidamente 1 Source Bitkom Research 25 2 Source ICS CERT Monitor Jun25 US CERT 3 Source Ponemon Institute
IT OT IT security & OT Security Diverse priorità 3 Disponibilità 1 2 Integrità 2 1 Confidenzialità 3
In primis, la security è legata a Policy e procedure Misure di security Competenza Un approccio olistico per la security è un concetto che include: tecnologie, processi e persone
Defense in Depth Principio Singola Barriera Defense In Depth Muro impenetrabile Singolo livello di protezione Singolo punto di attacco Protezione su più livelli Ogni livello protegge gli altri livelli Un attaccante deve spendere tempo ed effort per ogni transizione La protezione è ottimizzata solo implementando simultaneamente più misure complementari
IEC 62443 Security per OT (Operation Technology) IEC 62443: standard security in ambito IACS Industrial Automation and Control System - basato sul principo Defense in depth protezione su più livelli Plant security Meccanismi di protezione fisica per accesso ad aree critiche Implementazione processo di security management Security threats demand action Network security Protezione di cella, DMZ assitenza remota Firewall e VPN System integrity Hardening del sistema Piano di aggiornamento software permessi e antivirus Autenticazione riservata a gruppi di operatori
Maturity Level Protection Level Proposta Siemens per estensione IEC 62443 Security Level Valutazione delle funzionalità di security Basati su IEC 62443-3-3 Protection Level (PL) Maturity Level Valutazione dei processi di security Basati su IEC 62443-2-4 and ISO270 4 PL 4 3 PL 3 2 PL 2 1 PL 1 1 2 3 4 Security Level
Siemens - Concetto Defense in Depth ISA 99 / IEC 62443 Plant security Meccanismi di protezione fisica per accesso ad aree critiche Implementazione processo di security management Defense in Depth
Plant Security Services Assessment Assessment della sicurezza della fabbrica in funzione dello standard ISO 270 e IEC 62443 Risk & Vulnerability Assessment: identificazione, classificazione e valutazione per un programma basato sulla metodologia del rischio
MindSphere: Cloud-Based Open IoT Operating System App per la security App di Mindsphere per il censimento, monitoraggio e report delle vulnerabilità per HW/SW industriale MindSphere 11 00 11 11 11 00 11 11 11 11 11 00 11
Siemens - Concetto Defense in Depth ISA 99 / IEC 62443 Defense in Depth Network security Protezione di cella, DMZ assitenza remota Firewall e VPN
Reti industriali richiedono di indirizzare aspetti chiave Aspetti di produzione relativi al networking Network structure Architettura segmentata e ridondata per una rete di comunicazione affidabile e sicura Remote service Abilitare una comunicazione sicura ed affidabili ad impianti di produzione e macchine Network security Permessa da un approccio olistico e un concept con portfolio security-integrated Network management Massima trasparenza delle reti industriali e relativi dispositivi collegati Sono diversi gli aspetti da considerare per la progettazione di una rete industriale
Situazione non sicura Rete OT non segmentata Mobile User Remote Desktop Session Ethernet Switch Switch Macchina #1 Firewall esterno Engineering Station ES Switch Switch Macchina #N
Soluzione di Network Security Protection cell + Backbone Aggregation +Jump Host Mobile User Remote Desktop Session Open VPN Tunnel Ethernet S615 Macchina #1 Firewall esterno Remote Desktop Sinema RC Client TIA Engineering Station Sinema RC Server ES Ring S615 Macchina #N XM400
Concetto Defense in Depth ISA 99 / IEC 62443 Defense in Depth System integrity Hardening del sistema Piano di aggiormanto software permessi e antivirus Autenticazione riservata a gruppi di operatori
System Integrity SIMATIC Controllers Protezione dei blocchi con password Protezione copia programma con riconoscimento serial number di CPU o Memory Card Protezione di accesso con diversi diritti di accesso Comunicazione tra PLC, HMI e Engineering con security integrata Supporto certificati secondo standard X.509 Server OPC UA con autenticazione e encryption Web Server con gestione utenti con diversi di diritti di accesso Comunicazione TCP/IP con crittografia -> comunicazione diretta con MindSphere
Industrial Security Security Vulnerability Handling Abbiamo creato un sofisticato team di esperti security: Product Computer Emergency Response Team (ProductCERT) Manteniamo la massima trasparenza nella comunicazione con I clienti Pubblichiamo informazioni su vulnerabilità e relative soluzioni in modo aperto sui nostri siti web
Certificazione IEC 62443-4-1 DF and PD Product Development Lifecycle SIEMENS Security by design Security verification and validation testing Per ulteriori informazioni: http://www.siemens.com/press/en/pressrelease/?press=/en/pressrelease/26/digi talfactory/pr26080373dfen.htm Security update management Siemens è stata la prima azienda al mondo con Certificazione TÜV SÜD IEC 62443-4-1 per i processi R&D Siemens DF & PD (Product Development Lifecycle based on IEC 62443-1)
Grazie per l attenzione Angelo Candian Business segment Manager Industrial Communication E-Mail: angelo.candian@siemens.com Mobile: +39 335 87302 Cristian Sartori Sales Specialist Industrial Communication & Security E-Mail: cristian.sartori@siemens.com Mobile: +39 337 1393399