Acqua nella Nuvola Sistema di Telecontrollo in Cloud per Sistema Idrico Proof-Of-Concept per Acquedotto Multiutility Enzo M. Tieghi ServiTecno/GE-Intelligent Platforms etieghi@servitecno.it www.telecontrollo.biz www.ourwatercounts.org
Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 2
Enzo Maria Tieghi Amministratore Delegato di ServiTecno (da oltre 20 anni software industriale) Consigliere AIIC, attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) In Advisory Board, gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 3
Requisiti del Sistema: Acquisizione dati distribuiti sul territorio Semplicità di deployment e scalabilità Alta Disponibilità Vincoli di costo per implementazione e manutenzione (TCO ridotto) Accesso multi-dispositivo ai dati (BYOD) Contestualizzazione di grandi volumi di dati storicizzati e real time (B.I./Big Data)
RTU su APN Privata/Pubblica 1 Datacenter/Historian 5 6 7 KPI/ ALM 2 SCADA 3 4 Mobile BI- KPI/ Allarmi Client Scada-Historian-KPI
RTU su APN Privata/Pubblica 1 SCADA
1 Connessione RTU-SCADA su APN Privata o Pubblica Ogni modulo/rtu dispone di indirizzo IP Pubblico (o Privato) SCADA dispone di un indirizzo IP Pubblico (o Privato) A tempo (o su evento) ogni modulo/rtu invia a SCADA i dati collezionati/allarmi Comunicazione avviene su porta UDP Il traffico non è cifrato. RTU e SCADA sono però autenticati. Per maggiore security si utilizza APN Privata su APN Pubblica non è possibile vpn tra RTU e SCADA
2 Datacenter/Historian SCADA
2 Connessione SCADA-Historian Connessione tra SCADA e Historian richiede collegamento TCP/IP (si seleziona porta). su rete Pubblica, è possibile una vpn. Comunicazione su porta TCP Il traffico non viene cifrato Si può utilizzare tunnelling Si può utilizzare Diodo (Data-Diode)
SCADA 3 Client Scada-Historian-KPI
3 Connessione Client-Scada (ifix) La connessione tra Client e Scada ifix richiede collegamento TCP/IP, con suo protocollo Su rete pubblica, è possibile usare vpn. La comunicazione avviene su porta TCP Il traffico può essere criptato Client: Fat-client tradizionale, Thin-Client o WebSpace
Datacenter/Historian 4 Client Scada-Historian-KPI
4 Connessione Client-Historian Tra Client Historian- Historian collegamento TCP/IP. Su rete pubblica con vpn. Comunicazione su porta TCP Protocollo proprietario Traffico può essere cifrato Client possibili: Web Client, Client ifix/pulse, API, Excel add-in, OleDB, XML, ecc.
Datacenter/Historian 5 KPI/ ALM
5 Connessione Historian-KPI Connessione Historian-KPI via TCP/IP. su rete pubblica, è possibile usare una vpn Comunicazione su porta TCP Il traffico può essere cifrato VisualKPI è a tutti gli effetti un client ONE-WAY di Historian
KPI/ ALM 6 7 Mobile BI- KPI/ Allarmi Client Scada-Historian-KPI
6/7 Connessione Client-KPI Connessione Client-KPI via http(s) (HTML5) Client solo in consultazione Autenticazione User/Mobile device (certificati) Gestione di livelli differenti di accesso ai dati SMS, email e Messaggistica per Operatori/Allarmi/dati
RTU su APN Privata/Pubblica 1 Datacenter/Historian 5 6 7 KPI/ ALM 2 SCADA 3 4 Mobile BI- KPI/ Allarmi Client Scada-Historian-KPI
Zones & Conduits (ISA99/IEC62443) Laptop computer Workstation Mainframe Enterprise Zone Enterprise Conduit Plant A Zone Plant B Zone Plant C Zone Router Router Router Laptop computer Workstation Laptop computer Workstation Laptop computer Workstation File/Print App. Data File/Print App. Data File/Print App. Data Plant A Control Zone Firewall Plant B Control Zone Firewall Plant C Control Zone Firewall App. Data Maint. Firewall App. Data Maint. Firewall App. Data Maint. Firewall Plant Control Conduit Plant Control Conduit Plant Control Conduit Controller Controller Controller Controller Controller Controller I/O I/O I/O I/O I/O I/O
AIIC Associazione Italiana esperti Infrastrutture Critiche
AIIC Associazione Italiana esperti Infrastrutture Critiche
AIIC Associazione Italiana esperti Infrastrutture Critiche
AIIC Associazione Italiana esperti Infrastrutture Critiche WORK- IN- PROGRESS GdL "Sicurezza dei Sistemi Idrici", coordinatori Roberto Setola e Enzo Maria Tieghi GdL "Sicurezza dei Sistemi SCADA", coordinatore Stefano Panzieri www.infrastru;urecri<che.it
Dubbi? Domande Enzo M. Tieghi etieghi@servitecno.it