Sicurezza informatica negli impianti industriali con IIoT

L'implementazione di una soluzione IIoT in una struttura industriale implica la gestione di dati sensibili che richiedono uno speciale grado di protezione. Anche la connettività a Internet necessita costantemente di attenzione e cura. La tecnologia si sta sviluppando molto rapidamente e i sistemi devono seguire l'evoluzione della sicurezza informatica - sia negli impianti industriali che altrove.

Per una gestione affidabile della sicurezza delle informazioni non serve solo la crittografia dei dati ma un approccio globale che includa quanto segue:

• Conformità alla legislazione e agli standard: è necessario rispettare le linee guida legali in materia e le norme raccomandate (ad es. ISO 27001, ISO 27017, GDPR, ecc.).
• Sicurezza dei dati: è ovvio che una soluzione IIoT è destinata a contenere dati sensibili che devono essere trattati con cura, secondo rigorosi processi.
• Localizzazione dei server: quando si utilizza il cloud computing, i dati vengono archiviati su server gestiti dal provider. A seconda della giurisdizione locale, la posizione dei server è indice di un livello di sicurezza informatica più o meno alto. Grazie alla legge sulla privacy dei dati, sono le sedi europee a offrire gli standard più elevati.
• Processi organizzativi: non è possibile garantire la sicurezza informatica senza ricorrere a processi organizzativi che definiscano quali dati devono essere trattati, da chi, in quali modi e in quale momento.
• Trasparenza: i fornitori più affidabili di soluzioni digitali dispongono di un sistema di supporto chiaro e trasparente che mostra al cliente, in ogni momento, lo stato della sua richiesta.
• Funzionalità: Endress+Hauser ha implementato tutti i requisiti di ISO 27001 e ISO 27017. Si tratta, in totale, di 121 misure che coprono l'intera struttura operativa dell'azienda e che, oltre a essere costantemente monitorate, vengono aggiornate appena necessario.

Quando si fornisce una tecnologia IIoT, è indispensabile considerare, implementare e controllare regolarmente tutti questi aspetti. I framework di audit e standardizzazione, oltre che le leggi e le best-practice esistenti, possono rappresentare un utile supporto in fase di implementazione.

Sottoponendolo alla valutazione di organismi di certificazione indipendenti, Endress+Hauser ha dimostrato che il suo ecosistema IIoT Netilion assicura elevati standard di sicurezza informatica. Fin dal primo giorno, i criteri relativi alla gestione della sicurezza delle informazioni hanno ricevuto la massima attenzione e rappresentano un'ottima guida alla salvaguardia della sicurezza informatica durante l'implementazione dei servizi digitali nel settore industriale.

• Conformità alla legislazione e agli standard: nel processo di definizione di una gestione professionale della sicurezza delle informazioni quando si utilizzano tecnologie IIoT, Endress+Hauser ha ottenuto le seguenti certificazioni per la gestione di Netilion:
• ISO 27001 - Gestione della sicurezza delle informazioni
• ISO 27017 - Codice di condotta per la sicurezza delle informazioni nei servizi su cloud
• Sistema di gestione della qualità ISO 9001
• Protezione dei dati: i dati dei clienti archiviati ed elaborati nell'ecosistema Netilion vengono sempre trattati con la massima cura. Gli utenti hanno il diritto di inserire i propri dati per poi accedervi, aggiornarli o cancellarli. Tutte le misure soddisfano i requisiti del GDPR.
• Localizzazione dei server: i server utilizzati dall'ecosistema Netilion si trovano a Francoforte e Dublino. Dal punto di vista della sicurezza informatica, i server situati nell'Unione Europea sono considerati tra i più sicuri.
• Processi organizzativi: Endress+Hauser ha predisposto una serie di procedure per reagire rapidamente in caso di emergenze relative alla sicurezza dei dati, tutte conformi al GDPR. L'adozione di immediate contromisure è accompagnata dalla tempestiva informazione delle parti interessate.
• Trasparenza: Endress+Hauser ha implementato un processo di supporto trasparente che informa chiaramente il cliente su come viene trattata la sua richiesta.
• Funzionalità: l'interfaccia utente dell'ecosistema IIoT Netilion ha tutte le necessarie funzionalità tra cui, a titolo non limitativo, linee guida all'avanguardia per la creazione delle password, gestione automatica delle password, logout temporizzato e funzioni di esportazione.

Per una gestione professionale della sicurezza delle informazioni, esistono alcuni criteri considerati indispensabili che l'ecosistema Netilion rispetta pienamente:

• Crittografia delle informazioni sensibili: l'ecosistema IIoT Netilion di Endress+Hauser assicura una protezione professionale delle informazioni:
• Le password vengono crittografate con "bcrypt + salt + pepper".
• L'identificazione dell'utente funziona con procedure basate su token supportate da OAuth2.
• La comunicazione è crittografata tramite https.
• Trasferimento dei dati di processo tramite gateway: quando si considera la sicurezza informatica negli impianti industriali, un elemento che richiede la massima attenzione è il gateway, in quanto punto di accesso. I gateway abilitati Netilion utilizzano la comunicazione unidirezionale: i dati di campo vengono trasmessi dal gateway e inviati al cloud ma la comunicazione in senso inverso è impossibile. Questa architettura serve proteggere gli impianti dalla manomissione.
• Certificazione: un organismo autonomo di certificazione ha confermato che l'ecosistema IIoT Netilion soddisfa i requisiti della norma ISO 27017, lo standard internazionale che detta i requisiti delle piattaforme cloud. Con la certificazione ISO 27017, i clienti possono stare tranquilli: l'ecosistema Netilion è un "porto sicuro" per i loro dati. Endress+Hauser Digital Solutions, l'azienda che sviluppa l'ecosistema IIoT Netilion, ha ottenuto anche la certificazione ISO 27001 per la sicurezza delle informazioni.