Nelle operazioni industriali contemporanee, l’integrazione della tecnologia operativa, ovvero l’OT, e della tecnologia dell’informazione, ovvero l’IT, non è più una questione di scelta. Si tratta invece di un percorso necessario verso la produzione intelligente e la trasformazione digitale. Lo scopo di tale integrazione è eliminare le barriere tra la tradizionale rete di controllo industriale chiusa e la rete informatica aziendale e raggiungere una perfetta integrazione di dati, processi e sistemi. Il suo scopo principale è utilizzare le capacità di elaborazione e analisi dei dati dell'IT per rafforzare il controllo tempestivo e l'efficienza dei processi fisici del sistema OT e, infine, migliorare la flessibilità, la trasparenza e l'intelligenza del processo decisionale nella produzione.
Perché le aziende industriali hanno bisogno di reti OT e IT convergenti
In passato, le reti OT si concentravano sulla garanzia dell’affidabilità, della sicurezza e della natura in tempo reale del processo di produzione. In genere utilizzavano protocolli dedicati ed erano isolati dal mondo esterno. Le reti IT sono orientate al business aziendale e si impegnano a ottenere un'elaborazione flessibile e una trasmissione dei dati ad alta velocità. L'isolamento tra i due ha portato alla nascita di "isole di dati". La direzione non ha modo di ottenere i dati del sito di produzione in tempo reale, rendendo difficile condurre analisi accurate e ottimizzare le decisioni. La principale forza trainante dell’integrazione è consentire ai dati di produzione dell’officina di entrare senza problemi nella piattaforma dati di livello aziendale, fornendo assistenza per la manutenzione predittiva, la gestione dell’energia e l’ottimizzazione della catena di fornitura.
Lo stato delle apparecchiature, i parametri di processo e i dati di qualità possono essere trasmessi ai sistemi IT in tempo reale attraverso l'architettura convergente, che consente alle aziende di rispondere rapidamente in base alle situazioni di produzione reali, proprio come adeguare dinamicamente i programmi di produzione in base ai cambiamenti negli ordini. Allo stesso tempo, le policy di sicurezza IT e gli strumenti di gestione possono coprire l’ambiente OT in modo più efficiente. Sebbene ciò abbia causato nuovi problemi, un’architettura di rete unificata rappresenta la base per affrontare questi problemi.
Quali sono le principali sfide di sicurezza che devono affrontare le architetture OT/IT convergenti?
La sfida più grande deriva dal fatto che i sistemi OT non sono stati progettati fin dall’inizio per l’interconnessione. Molti dispositivi di controllo industriale presentano vulnerabilità note, sono difficili da applicare con patch e il loro ciclo di vita può durare decenni. Una volta collegati alla rete IT, questi dispositivi fisicamente isolati saranno esposti a una gamma più ampia di minacce informatiche. Le tradizionali soluzioni di sicurezza IT, come le frequenti operazioni di patching e la scansione intrusiva, possono influire direttamente sulla stabilità e sulle prestazioni in tempo reale del processo di produzione, quindi dobbiamo essere estremamente cauti quando le implementiamo sul lato OT.
Un altro grosso problema è il conflitto delle politiche di sicurezza. OT si concentra sulla disponibilità e sull’integrità e le perdite causate dai tempi di inattività della linea di produzione sono enormi. L’IT presta maggiore attenzione alla riservatezza dei dati. Nella rete convergente è necessario progettare un sistema di difesa in profondità a strati, a condizione di garantire la continuità della produzione. Ciò include la disposizione di firewall industriali ai confini della rete per eseguire analisi approfondite dei protocolli, la segmentazione e l’isolamento del traffico di rete e l’implementazione di sistemi di rilevamento delle anomalie per i protocolli industriali.
Come pianificare un percorso di integrazione di rete OT/IT graduale
Non adottare il tipo di metodo di integrazione che è come una grande esplosione in un solo passaggio. Un percorso sicuro dovrebbe essere quello di iniziare la sperimentazione da quei collegamenti che non sono critici e hanno un basso coefficiente di rischio. La prima fase consiste nel creare una connessione in grado di realizzare un flusso unidirezionale sicuro di dati dall'OT all'IT predisponendo un gateway dati unidirezionale tra le reti OT e IT, soddisfacendo i requisiti per la raccolta preliminare dei dati e impedendo al tempo stesso alla rete IT di accedere direttamente all'OT.
La seconda fase è la segmentazione della rete, seguita dall'integrazione. In base alle funzioni di produzione e ai livelli di sicurezza, la rete OT è suddivisa in diverse aree e condutture, come l'isolamento logico dei sistemi di controllo industriale, reti di monitoraggio e reti di uffici. Sulla base di ciò, è possibile introdurre gradualmente servizi di rete condivisi, come la sincronizzazione temporale unificata, l'autenticazione dell'identità e la gestione dei log. La terza fase consiste nel realizzare in modo condizionale una comunicazione bidirezionale e applicazioni integrate più complesse dopo la stabilizzazione dell'architettura di sicurezza.
Come garantire la disponibilità dei sistemi di produzione durante l'implementazione di reti convergenti
L’obiettivo fondamentale di un progetto di convergenza è garantire la disponibilità. Eventuali modifiche alla rete o l'introduzione di nuove apparecchiature devono essere completamente verificate in un ambiente di test offline per valutarne l'impatto sulla logica di controllo esistente e sulle prestazioni in tempo reale. Le modifiche devono essere implementate entro le finestre di manutenzione pianificate e devono essere sviluppati piani di ripristino dettagliati. In termini di progettazione della rete, è necessario utilizzare tecnologie ad alta disponibilità come la topologia ad anello, la ridondanza delle apparecchiature e l'aggregazione dei collegamenti per garantire che un singolo punto di guasto non provochi l'arresto della linea di produzione.
La massima priorità di rete viene assegnata al controllo del traffico con elevati requisiti di tempo reale. Con l'aiuto della qualità del servizio, o politica QoS, è necessario garantire che i dati di comando tra il PLC e il servoazionamento abbiano sempre la priorità rispetto al traffico non critico come il trasferimento di file o la videosorveglianza. Inoltre, deve essere stabilita una linea di base per il monitoraggio continuo delle prestazioni della rete. Una volta rilevata un'anomalia di ritardo o jitter, è possibile localizzarla e gestirla immediatamente per evitare di influenzare il ritmo di produzione.
Quali tecnologie e componenti chiave dovrebbero essere selezionati nell’architettura convergente?
Le tecnologie di rete principali includono protocolli Industrial Ethernet come /IP che trasportano il traffico IT e OT sulla stessa rete fisica. La componente chiave è la DMZ industriale, che costituisce una zona cuscinetto tra le reti OT e IT e viene utilizzata per organizzare sistemi condivisi come database storici e server applicativi per ottenere lo scambio di dati e bloccare l’accesso diretto.
Quando si tratta di tecnologia di sicurezza, i firewall di nuova generazione, i sistemi di rilevamento delle intrusioni industriali e le piattaforme di gestione delle informazioni e degli eventi sulla sicurezza sono assolutamente indispensabili. Quando si tratta di integrazione dei dati, le piattaforme IoT industriali e i gateway di edge computing svolgono un ruolo chiave. Il gateway edge può eseguire la pre-elaborazione e la conversione del protocollo vicino all'origine dati, quindi caricare i dati standardizzati nel cloud o nel sistema IT aziendale, riducendo efficacemente il carico sul sistema centrale e la pressione sulla rete.
Come gestire e mantenere una rete unificata unificata dopo la convergenza
Una volta integrata la gestione della rete, gli ingegneri OT devono lavorare a stretto contatto con il team IT e persino creare un team operativo di integrazione dedicato. È necessario sviluppare una strategia unificata di gestione del ciclo di vita che copra l'intera rete, coprendo l'individuazione delle risorse, la gestione delle vulnerabilità, il backup della configurazione e i processi di modifica. Tutte le apparecchiature di rete, i controller e i terminali intelligenti devono essere inclusi in un elenco di risorse unificato per la gestione dinamica.
I lavori di manutenzione devono essere continuamente monitorati e collegati agli audit. Con gli strumenti di monitoraggio della rete centralizzati, è necessario verificare contemporaneamente lo stato di salute del traffico delle applicazioni IT e del traffico di controllo OT. Le valutazioni della sicurezza e i test di penetrazione devono essere effettuati regolarmente, soprattutto per le nuove interfacce di interconnessione. Allo stesso tempo, dovrebbe essere implementata una formazione trasversale per il personale OT e IT per migliorare la comprensione reciproca e garantire che possano lavorare insieme di fronte a guasti o incidenti di sicurezza e risolvere problemi in un linguaggio comune.
Nella tua fabbrica o nel tuo settore, qual è la resistenza più grande o la difficoltà più inaspettata che incontri nel processo di promozione dell’integrazione della rete OT/IT? Benvenuto per condividere la tua esperienza pratica e approfondimenti nell'area commenti. Se questo articolo ti ha ispirato, metti mi piace anche a lui e condividilo con più colleghi.
Lascia un commento