Manutenzione remota sicura di macchinari e impianti

In un mercato con personale tecnico qualificato in costante diminuzione, risulta necessario coinvolgere i fornitori di macchinari e impianti come portatori di know-how per affrontare le sfide attraverso un accesso sicuro alla manutenzione remota

  • La crescente digitalizzazione e l'uso competente dei dati richiedono un accesso remoto mirato e sicuro
    La crescente digitalizzazione e l'uso competente dei dati richiedono un accesso remoto mirato e sicuro
  • IT e OT pongono esigenze diverse per una soluzione di sicurezza
    IT e OT pongono esigenze diverse per una soluzione di sicurezza
  • I router VPN di Phoenix Contact consentono una manutenzione remota sicura
    I router VPN di Phoenix Contact consentono una manutenzione remota sicura
  • Accesso sicuro al sistema chiavi in mano tramite mGuard Secure Remote Service: il gestore mantiene il controllo della sua applicazione tramite gli interruttori locali
    Accesso sicuro al sistema chiavi in mano tramite mGuard Secure Remote Service: il gestore mantiene il controllo della sua applicazione tramite gli interruttori locali
  • L'ampia gamma di servizi nel settore della sicurezza comprende anche un'analisi dei requisiti di protezione, delle minacce e dei rischi
    L'ampia gamma di servizi nel settore della sicurezza comprende anche un'analisi dei requisiti di protezione, delle minacce e dei rischi

Lo sviluppatore conosce il suo prodotto al meglio ed è quindi in grado di correggere eventuali malfunzionamenti il più rapidamente possibile. Se vuole farlo per macchinari e impianti venduti a livello internazionale, deve poter accedervi a distanza. Il rispettivo operatore deve tenere conto di una serie di elementi per proteggere la propria rete di produzione ed aziendale da accessi non autorizzati (figura 1).

Un'azienda con diversi stabilimenti in diverse regioni del mondo deve quindi affrontare una serie di sfide aggiuntive nella modernizzazione della propria produzione. Obiettivi come una maggiore produttività, nuovi processi di produzione o il collegamento automatico della produzione con un mercato digitale non possono essere raggiunti senza l’integrazione del singolo macchinario o addirittura di ogni prodotto in un moderno concetto di comunicazione industriale. Le richieste di dati sempre più dettagliati per aumentare il potenziale nei settori dell'ottimizzazione dei processi, dell'efficienza energetica o della disponibilità sono troppo elevate. In molti paesi, a ciò si contrappone un mercato con personale tecnico qualificato in costante diminuzione. In questo contesto è sensato coinvolgere i fornitori di macchinari ed impianti come portatori di know-how nell’ affrontare le sfide attraverso un accesso sicuro alla manutenzione remota.

Architettura di rete adattata ai requisiti OT

Tale servizio è fornito da un numero sempre crescente di produttori di macchinari complessi. Tuttavia, i diversi concetti impiegati dai singoli costruttori di macchinari ed impianti, comportano per l'operatore una moltitudine di configurazioni e di parametri di comunicazione non coordinati. Un tale scenario rende difficile mantenere il controllo di questa delicata e importante infrastruttura aziendale. Al fine di padroneggiare i compiti che ne derivano, gli operatori stanno assumendo sempre più personale specializzato per occuparsi delle problematiche di natura informatica dal punto di vista della produzione. Spesso si distingue tra l'IT (Information Technology) nell'ambiente d'ufficio e l'OT (Operational Technology) nell'area di produzione (figura 2).

La differenziazione deriva dalle esigenze dei rispettivi reparti aziendali. Mentre nell'IT, ad esempio, una breve perdita di comunicazione è solitamente tollerabile, nella produzione ciò comporta costi considerevoli. Inoltre, la trasmissione dei dati nei capannoni di produzione influisce spesso sulla sicurezza dei macchinari, che a volte non può più essere garantita. Di grande importanza è inoltre la comunicazione in tempo reale quando si tratta del coordinamento preciso dei processi, come per l'arresto puntuale di un carrello dopo l'attivazione di un finecorsa. 

In una fabbrica intelligente produttiva in tutto il mondo, le sfide sopra descritte possono essere risolte con un'architettura adattata alle esigenze OT per un accesso remoto globale e sicuro, composta da componenti di rete industriali, come router e switch, che possono essere monitorati e controllati sia localmente nella fabbrica corrispondente sia dalla sede centrale dell'azienda. Infine, è essenziale proteggere l'intera IT aziendale dai rischi dell'interconnessione globale.

Segmentazione dell'infrastruttura in funzione degli impianti e delle funzioni

Sulla base di una valutazione dei rischi, ad es. secondo la norma IEC 62443, la suddivisione dell'infrastruttura in zone si rivela utile, tenendo conto dei flussi di informazioni e dei rischi. A seguito della già citata divisione in IT e OT, queste aree sono separate l'una dall'altra da un firewall. Una tale interfaccia richiede anche un'intensa collaborazione tra i dipendenti di entrambe le parti dell'azienda. In futuro la comunicazione dal sensore installato sul campo verso Internet sarà sempre più intensa.

Nella produzione, area di competenza OT, si procederà poi ad un'ulteriore segmentazione dell'infrastruttura legata agli impianti ed alle funzioni. In questo modo, la diffusione di un possibile incidente può essere limitata a singole zone. Le regole memorizzate nei router garantiscono che tra gli impianti esistano solo rapporti di comunicazione selettivi, il che riduce di conseguenza il potenziale di attacco e di disturbo. Ciascuna delle zone è protetta da un router VPN, ad esempio da FL mGuard RS 4004 TX/DTX VPN di Phoenix Contact. I dispositivi di sicurezza, sviluppati appositamente per applicazioni industriali, offrono al personale di manutenzione la possibilità, grazie ad ingressi e uscite digitali, di abilitare un canale di comunicazione per il relativo produttore del macchinario o dell’impianto, continuando comunque a proteggere l'impianto da accessi non autorizzati. A tale scopo viene attivato un tunnel VPN tramite uno switch semplicemente collegato al dispositivo. Un LED segnala contemporaneamente lo stato del collegamento, riducendo il rischio di un'apertura inosservata della connessione di comunicazione. Sotto il firewall, ad esempio, gli switch della serie FL Switch 22xx possono essere utilizzati per impostare reti ridondanti per gli accessi alle macchine, al fine di garantire una stabile trasmissione dei dati. I dispositivi di facile utilizzo supportano i protocolli e le funzioni speciali di Profinet Classe B ed Ethernet/IP ampiamente utilizzati in ambienti industriali (figura 3).

Gestione locale e globale degli accessi

Il router VPN può essere gestito localmente utilizzando il software FL mGuard Device Manager. Tuttavia, se è necessario implementare una soluzione globale per la gestione delle connessioni, mGuard Secure Remote Service fornisce un'infrastruttura VPN chiavi in mano. Utilizzando un'interfaccia web intuitiva, il personale dell'assistenza tecnica del costruttore di macchinari ed impianti può collegarsi in modo rapido e sicuro all'applicazione del gestore con il consenso di quest'ultimo. La tecnologia VPN con il collaudato protocollo IPsec garantisce la riservatezza, l'autenticità e l'integrità di tutti i dati scambiati tra le utenze collegate tramite mGuard Secure Remote Service. La soluzione di manutenzione remota ospitata presso AWS è conforme ai più elevati standard europei di protezione dei dati (reg. UE 2016/679) ed è sempre aggiornata. Ciò significa che i gestori non solo risparmiano l'investimento nell'hardware e nell'amministrazione necessaria, ma beneficiano anche di bassi tempi di latenza e di un centro dati ad elevata disponibilità (figura 4).

In qualità di fornitore certificato, Phoenix Contact supporta anche i progettisti di aziende produttrici internazionali durante l'intero processo di pianificazione sicura della rete. La gamma di servizi si estende dall'analisi delle specifiche e delle minacce alla gestione del rischio e all'implementazione della soluzione, che oltre all'esecuzione puramente tecnica di un accesso remoto sicuro include anche la protezione dei processi. Il gestore riceve così, infine, una base documentabile per la sua politica informatica (figura 5).

Conclusione

Spinta dalla crescente adattabilità della produzione e dalla digitalizzazione che la accompagna, la comunicazione industriale è in costante progresso. I requisiti che ne derivano indicano come i produttori dei macchinari e degli impianti utilizzati debbano essere integrati nella soluzione tramite accessi remoti sicuri. A ciò si contrappone una crescente minaccia per l'intera Information Technology dell'azienda. Le aziende produttrici devono quindi introdurre una procedura documentata e standardizzata per la comunicazione. Le architetture e i processi basati su di essa continueranno anche in futuro a far fronte al crescente flusso di informazioni, contribuendo così alla stabilità e alla crescita delle aziende.

Wilhelm Scholle, responsabile della gestione industriale del reparto Vertical Markets Factory Automation, Phoenix Contact Electronics GmbH, Bad Pyrmont, Germania